Security

SGI서울보증보험, 'Gunra' 랜섬웨어에 당해...백신V3에 잡혀

CheifEditor

16 Jul 2025 — 5 min read

[이미지: AI Generated by TheTechEdge]

💡

Editor Pick
- SGI서울보증보험, 웹·모바일 서비스 중단, 대출·보증 서비스 차질 피해
- 'Gunra' 계열 랜섬웨어 감염...Tox 주소 통해 금전 협상 시도
- SGI서울보증보험, 유출 데이터와 2차 피해 가능성 확인 작업 중

SGI서울보증보험이 'Gunra' 계열 랜섬웨어에 감염된 걸로 확인됐다.

해커는 지난 14일 새벽 미확인 경로를 통해 SGI서울보증보험 내부에 침입해 Gunra 랜섬웨어로 내부 시스템 전체 대상으로 파일을 암호화했다. 이로 인해 SGI서울보증보험은 웹·모바일 서비스 중단, 대출·보증 서비스 차질, 고객 응대 지연 피해를 입었다. 해커는 협상 사이트와 Tox 주소로 SGI서울보증보험에 금전 협상을 시도했다.

Gunra 랜섬웨어는 콘티(Conti) v2 기반의 신종 랜섬웨어로, 2025년 4월 첫 등장했다. 이 랜섬웨어는 고도화된 조건 기반으로 파일을 암호화하고, 탐지를 회피하는 구조로 제작됐다.

SGI서울보증보험 암호화 대상 파일이 1MB 이하일 경우 전체 암호화, 1~5MB는 앞 1MB만 암호화, 5MB 이상 파일 크기는 7%씩 암호화했다.

암호화 확장자는 '.ENCRT'를 사용했다. 특히 이 랜섬웨어는 주요 보안 백신과 DB 프로세스를 선제적으로 종료해 탐지를 피했다. 그런 다음 겟로직컬드라이브스트링W(GetLogicalDriveStringsW)와 디렉토리 순회를 통해 전체 파일을 탐색했다. 뿐만 아니라 시스템을 랜섬웨어 감염 이전으로 복구하지 못하도록 쉐도우 복사본 삭제 명령을 수행했다.

이번 보안사고로 인해 현재 SGI서울보증보험은 유출 데이터와 2차 피해 가능성에 대한 확인 작업을 진행 중이다.

Gunra 랜섬웨어는 V3백신에서 탐지(Trojan/Win.GunraRansom.C5818391) 가능하다.