젠틀맨 랜섬웨어: 자동 확산·강화된 암호화 ‘긴급 분석’

전문가 통찰 및 한줄평 (Insight)

“젠틀맨 랜섬웨어의 자동 확산 능력은 기존 보안 체계를 무력화하며, 특히 제로데이 공격에 대한 경각심을 높입니다.

국내 산업 전반에 대한 선제적이고 다층적인 방어 전략 수립이 시급합니다.”

최근 IT 보안 업계에 ‘젠틀맨(The Gentlemen)’이라는 새로운 랜섬웨어 작전이 심상치 않은 파장을 일으키고 있습니다.

Microsoft Threat Intelligence 팀에 의해 Storm-2697로 추적되고 있는 이 위협은 단순한 파일 암호화를 넘어, 자체적인 확산 능력까지 갖추고 기업 네트워크 전체를 장악할 수 있다는 점에서 심각한 우려를 낳고 있습니다.

이는 기존의 랜섬웨어 대응 전략으로는 역부족일 수 있음을 시사하며, 우리 기업들의 보안 태세 전반에 대한 재점검을 요구합니다.

특히, 해당 랜섬웨어의 공격 대상이 교육, 교통, 의료, 금융 등 필수 산업 분야로 확대되고 있다는 점은 국가 기간망의 안전까지 위협받을 수 있다는 경고입니다.

핵심 이슈 및 배경

‘젠틀맨’ 랜섬웨어는 2025년 중반에 처음 등장하여, 이후 랜섬웨어-서비스(RaaS, Ransomware-as-a-Service) 플랫폼으로 진화하며 공격 규모를 확대해 왔습니다.

이 RaaS 모델은 해킹 경험이 없는 제휴업체들에게도 랜섬웨어를 제공하여 공격을 대행하도록 함으로써, 공격의 속도와 범위를 기하급수적으로 늘립니다.

Microsoft 보고서에 따르면, 이 랜섬웨어는 Go 프로그래밍 언어로 개발되었으며, Garble이라는 도구를 사용해 Windows 환경을 목표로 코드를 난독화합니다.

이는 악성코드 분석을 더욱 어렵게 만들어 탐지를 회피하는 데 유리하게 작용합니다.

가장 주목할 만한 특징은 파일 단위의 임시 키(ephemeral key) 암호화 방식입니다.

Curve25519와 XChaCha20 알고리즘을 기반으로 하는 이 암호화 방식은 파일마다 고유한 암호화 키를 생성하며, 이를 운영자의 공개 키와 결합하여 고유한 복호화 키를 생성합니다.

1MB 미만의 파일은 전체가 암호화되지만, 그 이상의 파일은 데이터의 사용 불가능성을 보장하면서도 암호화 속도를 높이기 위해 세 개의 분산된 청크(chunk)로 나누어 부분적으로 암호화하는 방식을 사용합니다.

또한, 암호화된 파일에는 .umc16h 확장자가 붙으며, 파일 소유권 및 권한이 변경되어 공격자가 쓰기 접근을 확실히 보장받도록 합니다.

이러한 고급 암호화 기술은 파일 복구를 매우 어렵게 만들어 피해자의 협상력을 약화시키는 데 기여합니다.

상세 비교 분석

‘젠틀맨’ 랜섬웨어는 단순 암호화를 넘어 최대 5가지 이상의 동시다발적인 측면 이동(lateral movement) 기법을 활용하여 네트워크를 빠르게 장악합니다.

이는 일반적인 랜섬웨어와의 가장 큰 차별점이자, 공격의 치명성을 극대화하는 요소입니다.

네트워크 공유, 예약된 작업(scheduled tasks), 원격 프로세스 실행, 계정 정보를 이용한 침투 등 다양한 방법을 동시에 사용하여 초기 침투 지점으로부터 빠르고 광범위하게 확산됩니다.

또한, 시스템 안정성을 해치지 않기 위해 특정 운영체제 디렉터리, 보안 소프트웨어 폴더, 필수 파일 유형은 암호화 대상에서 제외하는 영리함까지 보입니다.

이와 비교하여, 기존의 많은 랜섬웨어는 주로 파일 암호화에 집중하거나 제한적인 확산 기법을 사용하는 경우가 많았습니다.

‘젠틀맨’은 이러한 수동적인 방식에서 벗어나, 스스로 네트워크를 탐색하고 침투하는 웜(worm)과 같은 특성을 보입니다.

더 나아가, 복구를 방해하기 위해 삭제된 파일의 복구 가능성을 낮추고자 디스크 공간을 무작위 데이터로 덮어쓰는 기법까지 사용합니다.

이는 사고 대응 전문가들이 복구 작업을 수행하는 데 더욱 큰 난관을 제시합니다.

시장 파급 효과 및 전망

‘젠틀맨’ 랜섬웨어의 등장과 확산은 국내 IT 인프라 및 보안 시장에 상당한 파급 효과를 가져올 것으로 예상됩니다.

먼저, 데이터 유출과 연계된 이중 갈취(double extortion) 전술은 기업들에게 금전적 피해뿐만 아니라 명예 실추 및 법적 책임이라는 2차 피해까지 안겨줄 수 있어, 사이버 보험 시장의 변화를 촉진할 수 있습니다.

또한, RaaS 모델의 활성화는 중소기업이나 개인 개발자도 비교적 쉽게 랜섬웨어 공격에 가담할 수 있는 환경을 조성하여, 전체적인 공격 빈도와 지능화 수준을 높일 수 있습니다.

실제로 Microsoft는 ‘젠틀맨’이 북미, 남미, 유럽, 아프리카, 아시아 전역의 다양한 산업 분야에서 발견되었다고 보고했습니다.

이는 지리적 제약 없이 전 세계적으로 공격이 확산되고 있음을 의미하며, 국내 기업들도 예외일 수 없다는 경고 신호입니다.

따라서, 기업들은 침해 사고 대응 계획(Incident Response Plan)을 더욱 고도화하고, 제로 트러스트(Zero Trust) 보안 모델 도입과 같은 선제적인 보안 강화 조치를 서둘러야 할 것입니다.

더불어, 클라우드 기반 위협 인텔리전스 및 머신러닝 기반 탐지 솔루션을 적극적으로 활용하여, 알려지지 않은 신규 위협에 대한 탐지 능력을 향상시키는 것이 중요합니다.

미국 국토안보부의 사이버 보안 관련 권고와 같이, 국가 차원의 사이버 보안 역량 강화 노력도 병행되어야 할 것입니다.

‘젠틀맨’ 운영자들은 BreachForums와 같은 유명 사이버 범죄 마켓플레이스와 공식 파트너십을 맺고 제휴업체를 모집하고 있습니다.

이는 접근성을 높여 더 많은 공격자들의 활동을 부추길 가능성이 높습니다.

이에 따라, 향후 탐지 및 차세대 엔드포인트 보호(EDR, Endpoint Detection and Response) 솔루션의 중요성이 더욱 부각될 것으로 보이며, 보안 담당자들은 이러한 솔루션의 탐지 및 자동화된 복구 기능을 극대화하여 활용해야 합니다.

또한, 공격 표면 감소(Attack Surface Reduction) 정책을 통해 신뢰할 수 없는 파일 실행을 제한하고, 원격 실행 및 측면 이동에 자주 사용되는 관리 도구의 오용을 최소화하는 노력도 필요합니다.

결론적으로, ‘젠틀맨’ 랜섬웨어는 기존 보안 패러다임을 뒤흔드는 진화된 위협 모델입니다.

단순 방어를 넘어, 능동적인 위협 사냥(threat hunting)과 제로 트러스트 아키텍처 구축을 통해 우리의 디지털 자산을 보호해야 할 시점입니다.

관련 기술 트렌드 더 보기를 통해 지속적으로 변화하는 보안 환경에 대한 이해를 넓히는 것도 중요합니다.

자주 묻는 질문 (FAQ)

Q: ‘젠틀맨’ 랜섬웨어는 한국 기업에 어떤 영향을 미칠 수 있습니까?

A: ‘젠틀맨’ 랜섬웨어는 데이터 유출과 연계된 이중 갈취 전술을 사용하므로, 국내 기업들은 단순 금전 피해를 넘어 기업 이미지 실추 및 법적 소송 위험에 직면할 수 있습니다.

또한, RaaS 모델의 확산으로 공격의 문턱이 낮아져 국내 중소기업들도 잠재적인 공격 대상이 될 수 있습니다.

Q: ‘젠틀맨’ 랜섬웨어를 예방하기 위한 가장 효과적인 방법은 무엇인가요?

A: 강력한 인증 관리, 시스템 및 소프트웨어 최신 상태 유지, 의심스러운 이메일 및 링크 클릭 금지, 정기적인 데이터 백업 및 복구 테스트 수행이 기본입니다.

여기에 더해, 다계층 보안 솔루션 도입, 침해 사고 대응 계획 수립 및 훈련, 제로 트러스트 보안 모델 적용이 필수적입니다.

Q: RaaS(Ransomware-as-a-Service) 모델은 기존 랜섬웨어와 어떻게 다른가요?

A: RaaS 모델은 랜섬웨어 개발자가 자신의 악성코드를 서비스 형태로 제공하고, 제휴업체(affiliate)가 이를 이용해 공격을 수행한 후 수익을 분배받는 방식입니다.

이는 해킹 기술이 부족한 사람도 쉽게 공격에 참여할 수 있게 하여 공격의 양적, 질적 성장을 가속화하는 주요 원인이 됩니다.

Q: ‘젠틀맨’ 랜섬웨어의 암호화 방식이 특별한 이유는 무엇인가요?

A: 파일별 고유 임시 키와 Curve25519, XChaCha20 조합은 기존의 표준 암호화 방식보다 복호화 키를 예측하거나 생성하는 것을 훨씬 어렵게 만듭니다.

부분 암호화 기법은 속도를 높이면서도 데이터를 사용 불가능하게 만드는 효과를 동시에 달성하여, 피해자의 복구 노력을 더욱 무력화합니다.

관련 추천 상품

Do it! LLM을 활용한 AI 에이전트 개발 입문