랜섬웨어 공격이 고도화되면서 의료, 보험, IT 인프라 등 고가치 산업군을 겨냥한 표적형 공격이 증가하고 있다. 특히 최근에는 과거 유출된 악성코드 소스코드를 재활용해 정교하게 변형한 위협들이 속속 등장하며, 국내 주요 기관도 피해 대상에 포함되는 등 대응의 시급성이 커지고 있다.

글로벌 사이버 보안 기업 카스퍼스키(kaspersky, 지사장 이효은)가 최근 국내 기관 공격에 사용된 것으로 추정되는 ‘건라(Gunra)’ 랜섬웨어에 대한 기술 분석 결과를 22일 공개했다. 

콘티에서 재탄생한 공격 도구

건라는 2025년 4월 처음 활동이 포착된 신종 랜섬웨어로, 2022년 유출된 ‘콘티(Conti)’ 랜섬웨어의 소스코드를 기반으로 파생됐다. 이 랜섬웨어는 보건의료, 보험, IT 인프라 관리기업 등 고가치 산업군을 정조준하고 있는 고도화된 위협으로 평가된다.

카스퍼스키의 위협 어트리뷰션 엔진(KTAE)을 통해 건라 랜섬웨어의 주요 구성 코드를 비교한 결과, 약 25% 이상이 과거 콘티 랜섬웨어 코드와 구조적으로 유사했다. 건라는 콘티의 ▲다중 스레드 기반 암호화 처리 ▲서비스 및 보안 프로세스 강제 종료 루틴 ▲ 네트워크 공유 탐색 로직을 그대로 계승했다. 

하이브리드 암호화 방식

건라는 감염된 시스템 내 모든 파일에 대해 ‘차차(ChaCha)20’ 대칭키 암호화 알고리듬을 사용해 파일 내용을 암호화하고, 그 키를 다시 ‘RSA-2048’ 공개키로 비대칭 암호화하는 방식으로 작동한다. 

이중 암호화 구조로 인해, 피해자는 복호화 키 없이는 데이터 복원이 이론상 불가능하다. 모든 암호화 파일의 헤더에는 ‘GRNC’라는 고유 식별자가 삽입되며, 감염 여부를 빠르게 파악할 수 있는 표식 역할을 한다.

암호화 대상 파일은 문서(.docx, .xlsx), DB 파일(.sql, .sqlite), 가상머신 이미지(.vmdk, .vhdx) 등 기업 핵심 자산이 포함되며, .dll, .lnk, .sys 등 운영체제에 치명적인 영향을 주는 파일은 의도적으로 제외해 협상을 유도하는 전략이 명확히 드러난다.

폴더별 랜섬노트 및 협박 시나리오

감염이 완료되면, 건라는 시스템 내 각 폴더마다 ‘R3ADM3.txt’라는 랜섬노트를 자동 생성한다. 이 파일은 피해자가 Tor 기반 협상 사이트(.onion)에 접속하도록 유도하며, 협상이 이뤄지지 않을 경우 다크웹 상 자신들의 전용 블로그에 피해 정보를 공개하겠다는 협박 문구를 포함하고 있다.

실제로 건라 운영자들은 다크웹에 인프라를 구축해 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있으며, 2025년 6월 40TB 이상의 민감한 환자 데이터가 유출된 두바이 내 아메리칸 호스피탈 두바이(American Hospital Dubai)의 피해 사실 또한 해당 블로그에 게시됐다. 

취약한 엔드포인트로 감염

건라는 다양한 초기 접근 기법을 사용하며 ▲스피어 피싱 이메일을 통한 악성 문서 및 매크로 실행 ▲패치되지 않은 VPN 소프트웨어 및 공개 취약점(CVE) 이용 ▲인터넷에 노출된 RDP(Remote Desktop Protocol)에 대한 비밀번호 크래킹 또는 취약점 공격 등의 세 가지 방법이 자주 활용된다. 

카스퍼스키는 다음 탐지 명칭으로 건라의 악성 활동을 식별하고 있으며, 관련 IOC 및 야라(Yara) 룰은 위협 인텔리전스 포털을 통해 제공하고 있다:

· HEUR:Trojan-Ransom.Win32.Gunra.gen

· HEUR:Trojan-Ransom.Win64.Generic

· Trojan-Ransom.Win32.Conti.gen (코드 기반 유사성으로 탐지 가능)

건라 공격 대응 전략

카스퍼스키는 건라 랜섬웨어 감염을 막기 위해 다양한 대응을 권고한다.

우선 RDP 포트 제한 및 다단계 인증(MFA)을 활성화한다. 그리고 전체 시스템 백업 및 오프사이트를 백업 저장하고 EDR, NDR 등에 최신 야라 룰을 반영한다. 아울러 IOC 기반 로그 모니터링을 강화한다. 협박성 다크웹 유출에 대응하기 위한 법적 자문 체계와 데이터 유출 대응 시나리오 수립도 병행돼야 한다.

카스퍼스키 이효은 한국지사장은 “건라는 포스트-콘티 위협이 아니라, Ransomware-as-a-Service(RaaS) 시장의 실질적인 진화를 보여주는 대표 사례다. 고급 랜섬웨어 기술의 재활용과 정교화는 향후에도 대형 기관과 기간 산업 등 고위험 산업군을 대상으로 한 집중적 위협이 향후에도 지속될 가능성이 높다.”라고 우려를 표했다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFP Door 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BFP Door 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.