랜섬웨어 직접 운영(왼쪽)과 RaaS 운영(오른쪽) (출처: 트렌드마이크로)

서비스형 랜섬웨어, RaaS 

랜섬웨어는 기업 시스템에 침투해 시스템을 잠그거나 데이터를 암호화한 뒤, 이를 풀 어주는 대가로 금전을 요구하는 사이버 공격입니다. 최근 랜섬웨어 공격의 빈도와 규모가 점점 증가하고 있는데 이는 서비스형 랜섬웨어(Ransomware as a Service, 이하 RaaS)의 확산으로 공격의 진입장벽이 크게 낮아졌기 때문입니다. RaaS는 랜섬웨어를 일종의 서비스 형태로 제공하는 모델입니다. 프로그래밍이나 해킹에 대한 전문 지식이 없어도 개발자에게 일정 비용만 지불하면 누구나 랜섬웨어를 이용한 공격을 수행할 수 있습니다. RaaS 이용자는 피해자가 몸값을 지불할 경우 수익의 일부를 가져가거나 정해진 비율의 수수료를 받는 방식으로 수익을 분배받습니다. 개발자는 다크웹을 통해 의뢰인을 모집하고 모든 거래는 가상자산을 통해 이루어집니다. 이 과정에는 자금 세탁자와 초기 접근 브로커도 함께 가담해 공격 체계를 더욱 조직화합니다. RaaS 운영 구조 덕분에 이제는 전문 지식이 없는 사람도 특정 대상을 손쉽게 공격할 수 있어 이에 대한 각별한 주의가 필요합니다.

데이터 유출 공지 (출처: 사이퍼마)

랜섬노트 (출처: 지니언스)

정교화된 RaaS, 건라(Gunra) 랜섬웨어

최근 보건의료, 보험, IT 인프라 기업 등 고가치 산업군을 대상으로 한 건라(Gunra) 랜섬 웨어가 발견되었습니다. 건라는 2025년 4월 처음 활동이 포착된 신종 랜섬웨어로 2022년 유출된 Conti 랜섬웨어 소스코드를 기반으로 개발되었으며, 전체 코드의 약 25%가 구조적으로 유사한 것으로 분석되었습니다. 

건라는 ChaCha20 대칭키와 RSA-2048 공개키를 결합한 이중 암호화 방식을 사용하며, 암호화된 파일에는 GRNC 식별자가 삽입됩니다. 시스템 감염 후에는 각 폴더마다 R3ADM3.txt라는 랜섬노트를 생성하고 피해자가 Tor 기반 협상 사이트(.onion)에 접속하도록 유도합니다. 협상이 이루어지지 않을 경우 공격자는 다크웹에 구축된 전용 블로그를 통해 피해 기업의 민감 정보를 공개하겠다고 협박합니다. 주요 감염 경로는 스피어피싱 이메일, 패치되지 않은 VPN, 외부 노출 RDP 등이며, 암호화 대상은 문서, 데이터베이스, 가상머신 이미지 등 기업 자산에 집중됩니다. 운영체제 핵심 파일은 암호화에서 제외돼 시스템 마비보다는 협상을 유도하려는 의도가 드러납니다.

결론

건라(Gunra) 랜섬웨어는 단순 Conti 랜섬웨어의 변종이 아니라 서비스형 랜섬웨어(RaaS) 시장의 정교화된 진화 사례로 볼 수 있습니다. 지속해서 고도화되는 랜섬웨어 공격에 대응하기 위해서는 모든 자산의 보안 상태를 점검하고 공격 표면을 최소화하는 한편, 임직원과 파트너의 보안 인식 제고, 데이터 유출 방지 및 백업 체계 개선 등의 다방면의 노력이 필요합니다. 건라를 포함한 랜섬웨어 공격은 단발성이 아닌 반복적으로 발생할 수 있으므로 사고 발생 시 철저한 조사를 통해 추가 침해 가능성을 차단해야 합니다. 

위협 대응 및 보안 권고 사항

• 운영체제 및 소프트웨어의 최신 보안 업데이트 적용(자동 업데이트 권장)

• RDP 포트 제한 및 다단계(MFA) 활성화

• 전체 시스템 백업 및 오프사이트(물리적ㆍ논리적 분리) 백업 저장

• 최신 Yara 룰 적용

• 침해 지표(IOC) 기반 로그 모니터링 강화

• 한국인터넷진흥원(KISA)의 랜섬웨어 대응 보안수칙 및 랜섬웨어 대응 데이터백업 보안수칙 참고

랜섬웨어 대응을 위한 데이터백업 8대 보안 수칙 (출처: KISA)