"복구 사례 없었는데"…서울보증 랜섬웨어 사태 푼 금융보안원
25.07.22
읽는시간 0분
"복구 사례 없었는데"…서울보증 랜섬웨어 사태 푼 금융보안원
(서울=연합인포맥스) 정원 기자 = 주택담보·전세대출 등 중요 보증업무를 담당하는 SGI서울보증의 랜섬웨어 사태가 해결된 데는 금융보안원의 역할이 주효했던 것으로 알려졌다.
특히 국내는 물론 해외에서도 해커와의 협상 없이 랜섬웨어 사태를 풀어낸 사례가 극히 드물다는 점에서, 금융보안원의 이번 성과는 이례적이라는 평가다.
금융·보안업계에선 금융보안원의 전문성과 집요함이 맞물렸던 점이 신속한 문제 해결로 이어졌다고 보고 있다.
22일 금융·보안업계에 따르면 SGI서울보증 랜섬웨어 사태는 금융보안원 침해위협분석팀이 복호화(암호해제) 키를 추출하는 데 성공하면서 일단락됐다.
앞서 SGI서울보증은 지난 14일 랜섬웨어 공격으로 보증 업무에 차질을 빚다가 나흘 만에 서비스를 재개했다.
금융보안원이 랜섬웨어에 대한 복호화 키를 확보, 데이터를 다시 100% 확보하면서 서비스가 가능해졌던 셈이다.
통상 랜섬웨어 공격에 노출된 기업들의 대응 방식은 크게 두 가지다.
해커와의 협상을 통해 복호화 키를 확보해 시스템을 정상화하거나, 물리적으로 분리된 백업 시설을 활용해 데이터를 복구하는 방식이 활용된다.
랜섬웨어 공격 과정에서 해커 측은 일반적으로 암호화된 이메일 주소인 '랜섬노트'를 남기고, 이를 통해 복호화 키 확보에 들어가는 금전적 요구를 하게 된다.
이메일 주소가 암호화된 데다, 금전적 요구 또한 비트코인 등이 활용돼 향후 추적 과정도 만만치 않다.
다만, 신속히 데이터를 복구해 정상 영업에 나설 수 있다는 점에서 해커와 협상에 나서는 케이스도 있는 것으로 알려졌다.
백업 데이터를 활용하는 방법의 경우 100% 복원을 장담하기 어렵다는 점과, 복구를 위해선 물리적 시간이 상당히 필요하다는 점이 단점으로 꼽힌다.
아울러 완벽한 분리가 이뤄지지 않았을 경우 백업 데이터까지 감염됐을 가능성도 배제하기 어렵다.
이렇다 보니 복호화 키를 직접 추출해 사태를 해결하는 것은 랜섬웨어 공격을 당한 기업 입장에선 '베스트 케이스'에 해당한다.
해커 측의 요구에 응하지 않으면서도 100% 데이터를 확보할 수 있는 유일한 방법이기 때문이다.
하지만 해커 측이 암호화에 동원된 함수를 기업들이 직접 풀어내는 작업은 사실상 불가능하다는 게 대체적 평가다.
보안업계 관계자는 "복호화 키를 받기 위한 협상은 최소 수십억원에서 많게는 수천억원이 요구되기도 한다"며 "이를 고려하면 SGI서울보증 입장에선 최선의 방식으로 대응에 성공한 셈"이라고 전했다.
이번 복호화 키 추출로 SGI서울보증의 데이터를 정상으로 되돌린 데는 금융보안원의 침해위협분석팀 역할이 컸다.
5명으로 구성된 해당 팀은 통상 악성코드 분석 업무를 주로 맡다가, 이번 SGI사태가 커질 것이라는 우려가 점증하자 현장에 곧바로 투입됐다.
문제는 금융보안원 회원사 가운데 랜섬웨어에 직접 노출됐던 케이스는 처음이었다는 점이다.
금융권 관계자는 "금융보안원은 해커 측의 남긴 단서들을 바탕으로 복호화 키의 범위를 정하고, 별도의 프로그램을 만들어 가능성이 있는 키들을 좁히는 방식으로 접근해 성과를 낸 것으로 안다"며 "쉽지 않은 방식이다. 개개인의 전문성과 집요함, 조직 차원의 지원 없이는 불가능했을 것"이라고 전했다.
jwon@yna.co.kr
<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지>
(서울=연합뉴스) 권대영 금융위원회 사무처장이 15일 서울 여의도 금융보안원 교육센터에서 금융 보안 유관기관들과 개최한 금융보안 간담회를 주재하고 있다. 2025.5.15 [금융위원회 제공. 재판매 및 DB 금지] photo@yna.co.kr
(서울=연합인포맥스) 정원 기자 = 주택담보·전세대출 등 중요 보증업무를 담당하는 SGI서울보증의 랜섬웨어 사태가 해결된 데는 금융보안원의 역할이 주효했던 것으로 알려졌다.
특히 국내는 물론 해외에서도 해커와의 협상 없이 랜섬웨어 사태를 풀어낸 사례가 극히 드물다는 점에서, 금융보안원의 이번 성과는 이례적이라는 평가다.
금융·보안업계에선 금융보안원의 전문성과 집요함이 맞물렸던 점이 신속한 문제 해결로 이어졌다고 보고 있다.
22일 금융·보안업계에 따르면 SGI서울보증 랜섬웨어 사태는 금융보안원 침해위협분석팀이 복호화(암호해제) 키를 추출하는 데 성공하면서 일단락됐다.
앞서 SGI서울보증은 지난 14일 랜섬웨어 공격으로 보증 업무에 차질을 빚다가 나흘 만에 서비스를 재개했다.
금융보안원이 랜섬웨어에 대한 복호화 키를 확보, 데이터를 다시 100% 확보하면서 서비스가 가능해졌던 셈이다.
통상 랜섬웨어 공격에 노출된 기업들의 대응 방식은 크게 두 가지다.
해커와의 협상을 통해 복호화 키를 확보해 시스템을 정상화하거나, 물리적으로 분리된 백업 시설을 활용해 데이터를 복구하는 방식이 활용된다.
랜섬웨어 공격 과정에서 해커 측은 일반적으로 암호화된 이메일 주소인 '랜섬노트'를 남기고, 이를 통해 복호화 키 확보에 들어가는 금전적 요구를 하게 된다.
이메일 주소가 암호화된 데다, 금전적 요구 또한 비트코인 등이 활용돼 향후 추적 과정도 만만치 않다.
다만, 신속히 데이터를 복구해 정상 영업에 나설 수 있다는 점에서 해커와 협상에 나서는 케이스도 있는 것으로 알려졌다.
백업 데이터를 활용하는 방법의 경우 100% 복원을 장담하기 어렵다는 점과, 복구를 위해선 물리적 시간이 상당히 필요하다는 점이 단점으로 꼽힌다.
아울러 완벽한 분리가 이뤄지지 않았을 경우 백업 데이터까지 감염됐을 가능성도 배제하기 어렵다.
이렇다 보니 복호화 키를 직접 추출해 사태를 해결하는 것은 랜섬웨어 공격을 당한 기업 입장에선 '베스트 케이스'에 해당한다.
해커 측의 요구에 응하지 않으면서도 100% 데이터를 확보할 수 있는 유일한 방법이기 때문이다.
하지만 해커 측이 암호화에 동원된 함수를 기업들이 직접 풀어내는 작업은 사실상 불가능하다는 게 대체적 평가다.
보안업계 관계자는 "복호화 키를 받기 위한 협상은 최소 수십억원에서 많게는 수천억원이 요구되기도 한다"며 "이를 고려하면 SGI서울보증 입장에선 최선의 방식으로 대응에 성공한 셈"이라고 전했다.
이번 복호화 키 추출로 SGI서울보증의 데이터를 정상으로 되돌린 데는 금융보안원의 침해위협분석팀 역할이 컸다.
5명으로 구성된 해당 팀은 통상 악성코드 분석 업무를 주로 맡다가, 이번 SGI사태가 커질 것이라는 우려가 점증하자 현장에 곧바로 투입됐다.
문제는 금융보안원 회원사 가운데 랜섬웨어에 직접 노출됐던 케이스는 처음이었다는 점이다.
금융권 관계자는 "금융보안원은 해커 측의 남긴 단서들을 바탕으로 복호화 키의 범위를 정하고, 별도의 프로그램을 만들어 가능성이 있는 키들을 좁히는 방식으로 접근해 성과를 낸 것으로 안다"며 "쉽지 않은 방식이다. 개개인의 전문성과 집요함, 조직 차원의 지원 없이는 불가능했을 것"이라고 전했다.
jwon@yna.co.kr
<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지>
저작권자 © 연합인포맥스 무단전재 및 재배포 금지
정원
jwon@yna.co.kr
