시큐리티팩트
이번엔 인하대 개인정보 해킹... 한국만 노리는 '건라'의 실체
민감 정보 650GB 탈취, 샘플 데이터 공개 후 이메일 보내 협상 제안
댓글 0
기사입력
: 2025.12.30 18:01
[시큐리티팩트=최석윤 기자] 인하대학교 대표 홈페이지가 지난 28일 마비됐다. 복구까지는 꼬박 14시간이 걸렸다. 학사정보시스템을 겨냥한 이번 공격의 배후에는 신생 랜섬웨어 조직 '건라(Gunra)'가 있었다. 30일 인하대와 보안업계에 따르면, 이조직은 탈취한 데이터를 일부 공개하며, 위협하는 전형적인 수법을 보였다.
건라는 해킹 직후 대학 측에 이메일을 보내 협상을 제안했다. 이들은 다크웹 내 자신들의 '리크 사이트(Leak Site)'에 인하대 내부 자료 650GB를 확보했다고 주장하며 샘플 데이터를 공개했다. 공개된 자료에는 이름과 휴대전화 번호는 물론, 주민등록번호, 사진, 학점 등 유출 시 치명적인 개인정보가 다수 포함된 것으로 확인됐다.
단순히 시스템 운영을 방해하는 데 그치지 않는다. 이들은 탈취한 정보를 대외적으로 노출하겠다는 위협을 병행하며 피해 기관의 압박 수위를 높였다. 보안 전문가들은 이러한 행태가 최근 사이버 범죄 생태계에서 확산 중인 '이중 갈취(Double Extortion)'의 전형이라고 분석한다.
한국 기업·기관 정조준하는 '건라'의 궤적
보안 업계가 건라를 주목하는 이유는 이들의 독특한 타겟팅 성향 때문이다. 지난 4월 국내 보안 시장에 처음 포착된 이후, 이들의 공격 대상은 줄곧 한국에 집중되어 있다.
△ 8월: SGI서울보증을 공격해 내부 자료 탈취 주장
△ 하반기: 삼화콘덴서공업, 화천기계 등 국내 제조 기업 잇달아 공격
△ 12월: 인하대학교 학사정보시스템 해킹
건라는 짧은 기간 내에 금융, 제조, 교육 등 산업군을 가리지 않고 공격 범위를 확장했다. 공격 범위가 넓다. 이는 이들이 한국 내부 시스템 구조에 밝거나, 특정 목적을 가지고 국내 기관만을 집요하게 노리는 조직임을 시사한다.
서비스형 랜섬웨어 공격, 데이터 선별 탈취
기술적으로 볼 때, 건라는 서비스형 랜섬웨어(RaaS) 모델을 채택했을 가능성이 크다. 직접 악성코드를 제작하거나 기존의 검증된 코드를 변형해 유포하는 방식이다. 수법은 치밀하다. 이들은 시스템 침투 후 내부망을 탐색하며 가장 가치 있는 데이터를 선별적으로 탈취하는 고도의 전략을 구사한다.
협상 과정에서도 이들은 철저히 비대면 방식을 고수한다. 추적이 어려운 이메일과 가상화폐를 이용해 금전을 요구하며 사법 기관의 수사망을 회피한다. 현재 국가수사본부와 한국인터넷진흥원(KISA) 등 유관 기관이 이들의 경로를 추적 중이나, 다크웹 기반의 활동 특성상 실체 파악에는 상당한 시간이 소요될 전망이다.
