SK쉴더스는 자사 화이트 해커 그룹 이큐스트(EQST)가 최근 확산 중인 신종 랜섬웨어 'ArgonWiper'의 암호화·삭제 로직을 정밀 분석해 복호화 도구를 공개하고 해당 그룹 공격패턴이 담긴 프로파일링 보고서를 발간했다고 2일 밝혔다.

이번 성과는 기존에 사실상 복구가 불가능하다고 여기던 랜섬웨어에 대해 협상 없이도 데이터를 복구할 수 있는 방법을 제시했다는 점에서 의미가 크다고 회사는 전했다.

SK쉴더스에 따르면 최근 랜섬웨어 공격 그룹들은 암호화 이후 원본을 삭제하거나 덮어써 복구 시도를 원천 차단하는 전술을 사용하고 있다. 암호화 과정에 악성코드를 검출하고 차단하더라도 암·복호화 로직이 달라 암호화에 쓰이는 키가 복호화에 사용될 수 없다. 이에 수년간 복호화 성공 사례가 드물었고 피해 조직이 협상에 의존할 수밖에 없었다는 것이 회사 측 설명이다.

이큐스트는 암호화 루틴의 구조적 단서를 추적해 복호화 경로를 마련했다. 이는 즉시 삭제형 계열 랜섬웨어의 복구 가능성을 입증한 성과라고 자평했다.

'ArgonWiper' 랜섬웨어가 사용하는 해킹 패턴, 암호화 로직, 백업 파일 생성 규칙, 포렌식·복구 절차에 바로 사용할 수 있는 침해지표(IoC) 등을 분석한 프로파일링 보고서도 SK쉴더스 공식 홈페이지를 통해 배포한다. 

이 보고서에는 복호화 취약점에 대한 상세 분석 내용이 담겨있다. 유사구조의 랜섬웨어 복호화 연구를 활성화하는데 기여할 것으로 예상된다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 "이번 'ArgonWiper' 복호화 도구 공개는 복구가 불가능하다고 여겨졌던 랜섬웨어 공격에 실제 적용 가능한 대응책을 제시했다는 점에서 큰 의미가 있다"며 "앞으로도 SK쉴더스는 사이버위협 분석과 해킹 사고 대응 역량을 기반으로 기업들의 피해를 최소화하고 신속한 복구를 지원할 것"이라고 말했다.

임경호 기자 lim@techm.kr