[보안뉴스][SGI서울보증 랜섬웨어] 해킹 그룹 ‘건라’ SGI 매물 거뒀다... 데이터 해독 성공? 재협상?

내용 요약

해킹 그룹 ‘건라’는 SGI서울보증에서 13.2 TB의 데이터를 탈취해 다크웹에 공개했으나 최근 게시물을 삭제했습니다. 일반 랜섬웨어와 달리 데이터 판매를 노린 행보이며, 해제·삭제 협상 가능성이 제기되고 있습니다.

핵심 포인트

• 대규모 데이터 탈취(13.2 TB)와 다크웹 게시물 삭제로 공격 패턴이 전형적 랜섬웨어와 차별화.
• 데이터 판매 기반 공격(구매자와의 거래, 가격 협상 등)와 관련된 위험요소.
• 협상·해제 가능성: 데이터 삭제 요청 또는 암호화 데이터 복호화 시도에 대한 이슈.

기술 세부 내용

1️⃣ Dark Web & Data Marketplace

• Dark Web: TOR 네트워크를 통해 접근되는 비공개 인터넷 공간.
• Marketplace: 해커가 탈취한 데이터(개인정보, 기업 비밀)를 ‘구매자’에게 판매하는 가상 상점.
• 게시물 삭제: 게시물 삭제는 구매자 보호를 위한 “두 번째 판매” 방지 및 사기 방지 조치.
• 기술: 게시물은 암호화된 게시판에 업로드되며, 거래는 가상화폐(비트코인, 라이트코인 등)를 통해 이루어짐.

2️⃣ 데이터 탈취 규모와 랜섬웨어와의 차이

• 13.2 TB: 일반 랜섬웨어가 보통 수 GB 수준인 반면, 이 규모는 “대용량 데이터 유출”을 목표로 함.
• 데이터 판매 전략: 탈취된 파일을 다크웹에 공개해 가격을 매도하고, 구매자가 직접 구매하도록 유도.
• 랜섬: 암호화한 파일을 복호화하려면 금전적 대가를 요구하지만, 이번 사건은 “암호화보다 판매”를 우선시.

3️⃣ 협상·삭제 및 복호화 시나리오

• 협상 단계: 피해자가 데이터 삭제를 요청하면, 해커는 게시물 삭제를 약속하거나, 암호화된 파일을 복호화해줄 수도 있음.
• 복호화 가능성: 일부 랜섬웨어는 해커가 암호키를 제공해 파일 복원, 혹은 “데이터가 이미 공개되어 있으므로 복호화 필요 없음”이라는 상황.
• 보안팀 역할: 사고 대응팀은 데이터를 백업·보관하고, 법적·규제상 데이터 공개 여부를 검토하며, 협상 전 법률 자문을 받아야 함.

---

보안 팁
- 데이터 백업을 정기적으로 수행하고, 암호화 저장소에 보관하세요.
- 민감 데이터가 포함된 서버는 외부 접근을 최소화하고, MFA를 적용해 보안 강화.
- 다크웹 모니터링 도구를 활용해 자체 데이터가 유출되었는지 사전 감지하세요.

 

출처: http://www.boannews.com/media/view.asp?idx=139121&kind=&sub_kind=