[보안뉴스][SGI서울보증 랜섬웨어] 13.2T 규모 SGI 데이터 ‘매물’로 나왔다…“후폭풍 심각”

내용 요약

SGI서울보증이 '건라'라는 랜섬웨어 그룹의 공격을 받아 13.2TB에 달하는 방대한 데이터베이스(DB)를 탈취당했습니다. 이 데이터는 다크웹에 매물로 올라왔으며, "모든 계약서"가 포함될 정도로 심각한 민감 정보를 담고 있어 2차 피해가 우려됩니다. SGI서울보증이 협상 없이 시스템을 복구하자, '건라' 그룹은 탈취한 데이터를 이용해 2차 협박을 시도하는 것으로 추정됩니다.

핵심 포인트

• SGI서울보증이 '건라' 그룹으로부터 랜섬웨어 공격을 받았습니다.
• 13.2TB라는 엄청난 양의 SGI서울보증 데이터베이스가 탈취되었습니다.
• 탈취된 데이터는 다크웹에 판매 목적으로 게시되어 심각한 2차 피해가 예상됩니다.
• 데이터에는 "모든 계약서" 수준의 민감 정보가 포함되어 있습니다.
• SGI서울보증이 몸값 협상 없이 시스템을 복구하자, '건라' 그룹은 데이터 유출을 통한 2차 협박 전술을 사용했습니다.

기술 세부 내용

1️⃣ Ransomware (랜섬웨어)

• 설명: Ransomware는 피해자의 컴퓨터 시스템에 대한 접근을 제한하거나 파일들을 암호화하여 접근을 불가능하게 만든 다음, 접근 권한을 다시 부여하거나 파일들을 복구해주는 대가로 금전(주로 암호화폐)을 요구하는 악성 소프트웨어입니다. 최근에는 단순히 데이터를 암호화하는 것을 넘어, 데이터를 먼저 탈취한 후 이를 공개하거나 판매하겠다고 협박하는 '이중 갈취(Double Extortion)' 방식이 널리 사용되고 있습니다. SGI서울보증의 경우도 데이터 탈취 후 다크웹에 매물을 게시한 것이 이중 갈취의 한 형태입니다.
• 작동 방식:
  • 감염 (Infection): 피싱 이메일, 악성 웹사이트 방문, 취약한 원격 데스크톱 프로토콜(RDP) 포트, 소프트웨어 취약점 등을 통해 시스템에 침투합니다.
  • 암호화 (Encryption): 시스템에 침투한 랜섬웨어는 지정된 파일 확장자를 가진 문서, 이미지, 비디오 등의 파일을 암호화합니다.
  • 몸값 요구 (Ransom Note): 암호화가 완료되면 피해자에게 몸값 지불 방법과 기한이 담긴 랜섬 노트를 남깁니다.
  • 데이터 유출 (Data Exfiltration): 이중 갈취 랜섬웨어의 경우, 파일을 암호화하기 전에 중요한 데이터를 먼저 외부 서버로 빼돌립니다.
• 영향: 데이터 손실, 시스템 마비로 인한 업무 중단, 복구 비용 발생, 탈취된 데이터로 인한 2차 피해(사기, 신분 도용 등), 기업 이미지 손상, 법적 소송 및 규제 기관의 벌금 부과 등이 있습니다.

2️⃣ Dark Web (다크웹)

• 설명: Dark Web은 일반적인 검색 엔진(Google, Naver 등)에 의해 인덱싱되지 않으며, 특정 소프트웨어(예: Tor 브라우저)를 통해서만 접근할 수 있는 인터넷의 숨겨진 부분입니다. 이는 익명성을 강조하여 사용자의 신원을 숨기고 활동을 추적하기 어렵게 만듭니다. 다크웹은 합법적인 목적으로 사용되기도 하지만(예: 언론의 자유가 억압된 국가의 저널리스트나 활동가들의 안전한 통신), 주로 불법적인 활동, 즉 마약 거래, 무기 밀매, 해킹 도구 판매, 그리고 이번 사건처럼 탈취된 민감 정보의 거래 장소로 악용됩니다.
• 특징:
  • 익명성: 사용자의 IP 주소 및 위치를 숨겨 신원 노출 위험을 줄입니다.
  • 암호화된 통신: 데이터 전송 시 여러 계층의 암호화를 사용하여 보안성을 높입니다.
  • 규제 부재: 정부나 법적 규제의 영향력이 미치기 어렵습니다.
• 이번 사건에서의 역할: '건라' 그룹은 SGI서울보증으로부터 탈취한 13.2TB의 방대한 데이터를 다크웹에 매물로 올렸습니다. 이는 다크웹이 사이버 범죄자들이 불법적으로 얻은 데이터를 판매하고 수익화하는 주요 통로로 활용되고 있음을 보여줍니다.

3️⃣ Data Breach (데이터 유출) & Data Exfiltration (데이터 탈취)

• 설명:
  • Data Breach (데이터 유출): 승인되지 않은 개인이 민감하거나 기밀 데이터에 접근하거나 이를 공개하는 보안 사고를 의미합니다. 이는 데이터가 외부로 노출되어 당사자에게 피해를 줄 수 있는 상황을 포괄합니다.
  • Data Exfiltration (데이터 탈취): 조직의 네트워크 또는 시스템에서 승인되지 않은 방식으로 데이터를 복사하거나 이동시키는 행위를 구체적으로 지칭합니다. 랜섬웨어 공격의 경우, 공격자가 시스템을 암호화하기 전에 데이터를 먼저 '탈취'하는 경우가 많으며, 이후 이 탈취된 데이터가 외부에 노출되면 '유출'로 이어집니다.
• SGI서울보증 사례: '건라' 그룹은 랜섬웨어 공격 과정에서 SGI서울보증의 데이터베이스로부터 13.2TB라는 엄청난 양의 데이터를 성공적으로 '탈취'했습니다. 이 탈취된 데이터가 다크웹에 매물로 올라왔다는 것은 잠재적인 '데이터 유출'이 발생했음을 의미하며, 이는 개인 정보, 계약 정보 등 민감한 데이터의 광범위한 노출로 이어질 수 있습니다.
• 2차 피해 우려: 탈취된 데이터가 "모든 계약서"를 포함할 정도로 광범위하다는 점은 심각한 2차 피해를 야기할 수 있습니다. 예를 들어, 계약 당사자들의 개인 식별 정보, 금융 정보, 사업 기밀 등이 노출되어 신분 도용, 금융 사기, 표적 피싱, 경쟁사 악용, 또는 추가적인 협박 등으로 이어질 위험이 매우 큽니다.

4️⃣ Database (DB) ️

• 설명: Database는 구조화된 정보 또는 데이터의 조직적인 집합으로, 일반적으로 컴퓨터 시스템에 전자적으로 저장됩니다. 정보를 효율적으로 저장, 관리, 검색 및 업데이트하기 위해 설계되었습니다. 기업의 데이터베이스는 고객 정보, 재무 기록, 계약서, 직원 데이터, 운영 데이터 등 매우 민감하고 중요한 정보를 포함하고 있습니다.
• 이번 사건에서의 역할: SGI서울보증의 데이터베이스는 '건라' 그룹의 랜섬웨어 공격의 주요 표적이 되었고, 13.2TB의 데이터가 바로 이 DB에서 탈취되었습니다. 이는 데이터베이스가 기업의 핵심 자산이며, 공격자들이 가장 가치 있는 정보를 얻기 위해 노리는 주요 목표물임을 다시 한번 보여줍니다.
• 보안의 중요성: 데이터베이스의 보안은 매우 중요합니다. 강력한 접근 제어, 데이터 암호화(저장 및 전송 중), 정기적인 보안 패치 적용, 취약점 관리, 백업 및 복구 전략 수립 등이 필수적입니다. 데이터베이스가 침해되면 조직의 핵심 비즈니스 운영에 막대한 지장을 초래하고 막대한 재정적, 평판적 손실을 입을 수 있습니다.

5️⃣ Threat Actor (위협 행위자) & Extortion (협박)

• 설명:
  • Threat Actor (위협 행위자): 정보 시스템 또는 데이터에 위협을 가하는 개인 또는 그룹을 지칭합니다. '건라'는 이번 사건에서 SGI서울보증을 공격하고 데이터를 탈취한 특정 위협 행위자 그룹의 이름입니다. 이들은 주로 금전적 이득을 목적으로 활동하는 사이버 범죄 조직으로 추정됩니다.
  • Extortion (협박): 폭력이나 위협을 통해 금품을 갈취하는 행위를 의미합니다. 사이버 보안 분야에서는 데이터를 암호화하거나 유출하겠다는 위협을 통해 돈을 요구하는 것을 말합니다.
• 이번 사건에서의 '건라'의 협박 전술:
  • 초기 협박 (Primary Extortion): 랜섬웨어 공격을 통해 SGI서울보증의 시스템을 마비시키거나 데이터를 암호화하여 몸값을 요구했을 것으로 예상됩니다.
  • 2차 협박 (Secondary Extortion): SGI서울보증이 몸값 협상 없이 시스템을 복구하자, '건라' 그룹은 탈취한 13.2TB의 데이터를 다크웹에 게시하여 판매하겠다고 위협하며 추가적인 압력을 가하고 있습니다. 이는 피해 기업이 몸값을 지불하지 않더라도, 데이터 유출로 인한 평판 손상, 법적 문제, 그리고 고객들의 2차 피해를 유발하여 결국 금전적 또는 다른 방식으로 자신들의 요구를 관철시키려는 시도입니다. 이는 현대 랜섬웨어 공격의 일반적인 전략 중 하나입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138537&kind=&sub_kind=