카스퍼스키가 최근 국내 기관을 포함한 고가치 산업군을 대상으로 한 신종 랜섬웨어 ‘Gunra(건라)’에 대한 기술 분석 결과를 발표했다. Gunra는 2025년 4월 활동이 처음 포착된 랜섬웨어로, 2022년 유출된 Conti 랜섬웨어 소스코드를 기반으로 구성되었으며 전체 코드의 약 25%가 구조적으로 유사하다는 분석이 나왔다.
Gunra는 ChaCha20 대칭키와 RSA-2048 공개키를 조합한 이중 암호화 구조를 채택했으며 감염된 파일에는 ‘GRNC’ 식별자가 삽입된다. 피해자는 각 폴더마다 생성된 ‘R3ADM3.txt’ 랜섬노트를 통해 Tor 기반 협상 사이트로 유도되며 협상 실패 시 다크웹을 통한 정보 유출 협박이 동반된다. 최근에는 아랍에미리트 두바이의 아메리칸 호스피탈 두바이에서 40TB 이상의 환자 데이터가 유출된 것으로 알려졌다.
주요 감염 경로는 피싱 이메일, 패치되지 않은 VPN, 외부 노출된 RDP 등이며 암호화 대상은 문서·DB·가상머신 이미지 등 기업 자산 중심으로 선택된다. 운영체제 핵심 파일은 제외되어 협상 유도 목적이 뚜렷하다.
카스퍼스키는 ‘HEUR:Trojan-Ransom.Win32.Gunra.gen’ 등 탐지 명칭을 통해 해당 위협을 식별 중이며 대응 방안으로 RDP 제한, 다중 인증, 백업 강화, 최신 Yara 룰 적용 등을 제시했다.
이효은 카스퍼스키 지사장은 “Gunra는 단순한 포스트-Conti 위협이 아닌, Ransomware-as-a-Service(RaaS) 시장의 정교화된 진화 사례”라고 밝혔다.
헬로티 구서경 기자 |
