조국 대표 테마주, 코스피 상장사 '화천기계' 해킹, SGI서울보증 공격했던 랜섬웨어 조직 건라 소행…265GB 데이터 탈취, 삼화콘덴서 등 코스피 상장사 연달아 보안 비상…

국내 코스피 상장사들이 신흥 랜섬웨어 조직 '건라(Gunra)'의 연쇄 공격을 받으며 보안 비상이 걸렸다. 해당 조직은 지난 7월 중순 SGI서울보증이 랜섬웨어 공격으로 내부 데이터 유출과 전산 시스템이 마비되는 사태를 일으키고, 코스피 상장사인 삼화콘덴서공업까지 공격한데 이어, 이번에는 코스피 상장사인 화천기계로 타깃을 변경해 265GB 분량의 내부 데이터를 탈취했다는 주장과 보도가 잇따라 나오고 있다.

‘조국 대표 관련 주’로 화제를 모은 바 있는 화천기계는 국내 공작기계 대표 코스피 상장사 중 하나로,  CNC 선반·머시닝센터 등 금속 가공용 공작기계, 자동차 엔진 실린더블록 가공 설비 등을 생산·판매한다. 

화천기계 사건의 핵심 쟁점은 건라가 다크웹에 265GB 규모로 표기한 자료의 성격과 진위, 그리고 기업 측의 피해 인정 여부다. 현재 보안 매체와 전문가가 건라의 다크웹 사이트를 확인한 결과, 유출된 자료에 재무, 공시, 보고서 등 재무 자료가 포함되어 있고, 법인카드 정보, 본사 사내전화번호, 직원 개인 소득공제 신청서 등 화천 기계 직원들의 개인 정보도 포함되어 있을 가능성이 높다. 화천기계는 이번 해킹 의혹에 대해 지금까지 아무런 공식 입장이나 안내문을 내놓지 않았다. 

지난 4월 처음 등장한 신종 랜섬웨어 해킹조직 건라(GunLa)는 짧은 기간 내에 국제적인 위협으로 부상했다. 일본과 브라질, 이집트 등 여러 국가의 부동산, 의료, 정부기관을 공격해 대규모 데이터를 유출시킨 전력이 있으며, 특히 시스템 마비 해제를 위한 복호화 키와 탈취한 데이터 유출을 동시에 빌미로 삼는 '이중협박' 전략을 구사하는 것이 특징이다.

이러한 건라의 사이버 범죄 행보에 대한 국가 안보 문제에 대해, 염흥열 순천향대 정보보호학과 교수는 "우리나라 사이버 공간은 굉장한 위험에 처해 있으며 모든 산업이 사이버 위협 대응 체계를 고도화할 필요가 있다."라고 말한 바 있다. 또한  "산업별 침해사고대응센터 간 정보 공유 체계를 활성화해 해커가 이용하는 취약점, 악성코드, 공격패턴 등에 대해 신속하게 대응해야 한다."라고 강조했다.

해킹 그룹의 정교한 공격 방식에도 불구하고, 국내에서는 금융보안원이 효과적인 대응 능력을 보여준 바 있다. 실제로 이전 SGI서울보증 해킹 사건에서 금융보안원은 잠겨버린 내부 시스템 데이터를 복호화 할 키를 자체적으로 추출하는 데 성공했다. 복수의 보안 업계 관계자들에 따르면, 비록 내부 데이터 유출을 모두 막을 수는 없었지만, 악성코드의 결함을 정확히 포착해 이를 역이용한 기술적 성과였다. 덕분에 SGI서울보증은 범죄 조직과의 협상 없이도 문제를 해결했고, 금전 지불에 따른 윤리적 논란도 피할 수 있었다.

건라와 같은 고도화된 랜섬웨어 조직이 계속 활동하는 상황에서, 금융보안원의 이러한 대응 역량은 주목할 만하다. 업계에서는 이번 화천 기계 사건과 함께 향후 발생할 수 있는 유사한 공격에 대해, 금융보안원이 축적된 기술력과 경험을 바탕으로 다시 한번 효과적인 대응을 펼칠 수 있을지 관심을 모으고 있다.