글로벌 랜섬웨어 그룹이 한국을 정조준하고 있다. 해커는 투자대비수익(ROI)을 중시하는데 한국을 '돈이 되는 시장'으로 인식한 것으로 보인다.
16일 민간 랜섬웨어 대응 협의체 '한국랜섬웨어대응협회'(KARA)에 따르면, 올해 상반기 국내 랜섬웨어 피해 건수는 전년 동기(9건) 대비 67% 증가한 15건으로 집계됐다. 지난해 전체 피해의 70%가 하반기에 집중된 것을 감안하면 올해 피해가 더 커질 수 있을 것이란 우려가 나온다.
가장 대표적인 랜섬웨어 그룹이 '건라'(Gunra)다. SGI서울보증 공격 주장으로 국내에서 유명한 건라는 지난 4월 처음 포착된 신생 그룹이다. 건라는 반년 가까이 활동하면서 전 세계 21곳을 공격했으며, 그 가운데 한국(3건)을 브라질과 함께 가장 많이 공격했다.
특히 눈에 띄는 것은 최근 3개월간 활동이다. 지난 6월부터 최근 3개월로 기간을 좁혀보면, 총 4곳을 공격했는데 3곳이 한국을 타깃으로 했다. 최근 한국으로 시선을 돌렸음을 단적으로 보여준다. 더욱이 최근 일주일 만에 한국을 대상으로 연속 공격을 벌였으며, 핵심 산업을 노리고 있어 경고음을 울리고 있다.
구체적으로 지난 8월 4일 SGI서울보증을 공격해 13.2테라바이트(TB) 규모 내부 자료를 탈취하고 전산 시스템을 마비시켰다고 주장했다. 이달 3일 중견기업 삼화콘덴서에 이어 10일 공작기계 전문업체 화천기계를 공격했다며 다크웹에 내부 자료를 공개했다.
전문가들은 SGI서울보증 공격이 계기가 됐을 것으로 분석한다. 건라는 SGI서울보증을 해킹해 빼낸 내부 자료를 공개하겠다며 협박을 해오다가 현재는 게시물을 삭제한 상태다. 건라와 SGI서울보증 간 거래 여부는 알 수 없으나, 건라가 SGI서울보증 공격을 기점으로 한국 기업을 집중적으로 노리게 된 것으로 본다.
사이버 위협 인텔리전스(CTI) 전문 기업 관계자는 “SGI서울보증 공격이 한국에서 대서특필된 것이 건라에 유인이 됐을 수 있다”면서도 “만약 SGI서울보증과 거래로 게시물을 내렸다면 한국이 돈이 된다고 판단했을 것”이라고 말했다.
조재학 기자 2jh@etnews.com
!["피싱 메일 좀 만들어줘"…사기꾼들이 애용하는 AI툴은 바로 [글로벌 왓]](https://newsimg.sedaily.com/2025/09/16/2GXXAD11H8_1.jpg)
![[기획//클린 온라인, 기업을 지키자!] (9)도 넘은 기업 비난...허위사실·명예훼손 대응 방안은?](https://img.etnews.com/news/article/2025/09/15/news-p.v1.20250915.9b1abe73a6944da7aba31aa07b999e6a_P1.png)
