카스퍼스키, 랜섬웨어 '건라' 분석...두바이 병원 등 공격

글로벌 사이버 보안기업 카스퍼스키(한국지사장 이효은)는 최근 국내 기관 공격에 사용된 것으로 추정되는 ‘Gunra(건라)’ 랜섬웨어에 대한 기술 분석 결과를 22일 발표했다.

'Gunra'는 올 4월 처음 활동이 포착된 신종 랜섬웨어다. 2022년 유출된 'Conti' 랜섬웨어의 소스코드를 기반으로 파생된 것으로 밝혀졌다. 이 랜섬웨어는 보건의료, 보험, IT 인프라 관리기업 등 고부가 산업군을 정조준하고 있는 고도화된 위협으로 평가된다고 카스퍼스키는 밝혔다.

Conti에서 재탄생한 공격 도구

카스퍼스키의 위협 어트리뷰션 엔진(KTA, Kaspersky Threat Attribution Engine)을 통해 Gunra 랜섬웨어의 주요 구성 코드를 비교한 결과, 약 25% 이상이 과거 콘티(Conti) 랜섬웨어 코드와 구조적으로 유사함을 확인했다. Gunra는 Conti의 특성을 이어받아 다중 스레드 기반 암호화 처리, 서비스 및 보안 프로세스 강제 종료 루틴, 네트워크 공유 탐색 로직을 그대로 계승했다.

암호화 구조: ChaCha20 + RSA-2048의 하이브리드 방식

Gunra는 감염된 시스템 내 모든 파일에 대해 ChaCha20 대칭키 암호화 알고리즘을 사용해 파일 내용을 암호화하고, 그 키를 다시 RSA-2048 공개키로 비대칭 암호화하는 방식으로 작동한다. 이중 암호화 구조로 피해자는 복호화 키 없이는 데이터 복원이 이론상 불가능하다. 모든 암호화 파일의 헤더에는 'GRNC'라는 고유 식별자가 삽입, 감염 여부를 빠르게 파악할 수 있는 표식 역할을 한다.

암호화 대상 파일은 문서(.docx, .xlsx), DB 파일(.sql, .sqlite), 가상머신 이미지(.vmdk, .vhdx) 등 기업 핵심 자산이 포함되며, .dll, .lnk, .sys 등 운영체제에 치명적인 영향을 주는 파일은 의도적으로 제외하여 협상을 유도하는 전략이 명확히 드러났다고 덧붙였다.

감염 후: 폴더별 랜섬노트 및 협박 시나리오 실행

감염이 완료되면, Gunra는 시스템 내 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 자동 생성한다. 이 파일은 피해자가 Tor 기반 협상 사이트(.onion)에 접속하도록 유도하며, 협상이 이뤄지지 않을 경우 다크웹 상 자신들의 전용 블로그에 피해 정보를 공개하겠다는 협박 문구를 포함하고 있다.

실제로 Gunra 운영자들은 다크웹에 구축한 인프라를 통해 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있으며, 최근 40TB 이상의 민감한 환자 데이터가 유출된 두바이 내 아메리칸 호스피탈 두바이(American Hospital Dubai)의 피해 사실 또한 해당 블로그에 게시됐다.

감염 경로 및 공격 체인: 취약한 엔드포인트가 주요 진입점

Gunra는 다양한 초기 접근 기법을 사용하며, 스피어 피싱 이메일을 통한 악성 문서 및 매크로 실행, 패치되지 않은 VPN 소프트웨어 및 공개 취약점(CVE) 이용, 인터넷에 노출된 RDP(Remote Desktop Protocol)에 대한 비밀번호 크래킹 또는 취약점 공격 등 세 가지 방법을 자주 활용했다.

카스퍼스키는 Gunra 랜섬웨어 감염을 막기 위해 다음과 같은 대응을 권고했다. 첫째, RDP 포트 제한 및 다단계 인증(MFA) 활성화 둘째, 전체 시스템 백업 및 오프사이트 백업 저장 셋째, EDR과 NDR 등에 최신 Yara 룰 반영, 넷째, IOC 기반 로그 모니터링 강화 등이다.

또 협박성 다크웹 유출에 대응하기 위한 법적 자문 체계와 데이터 유출 대응 시나리오 수립도 병행해야 한다고 강조했다.