[아이티데일리] 랜섬웨어 공격으로 전산 시스템이 마비됐던 SGI서울보증이 복구를 완료하고 보증서 발급 등 고객 서비스를 재개했다.

SGI서울보증은 17일 공시를 통해 “보증서 발급 등 핵심 전산 시스템 복구 작업이 완료됨에 따라 관련 대고객 서비스를 이날 오전 10시부터 재개하기로 결정했다”고 발표했다. 다만 내부 업무지원 시스템은 아직 복구가 진행 중이다.

SGI서울보증은 지난 14일 시스템 장애가 발생하며 주택담보대출, 전세대출 등 보증 업무에 차질을 빚었다. 국내 3대 전세대출 보증기관 중 한 곳인 만큼 많은 이들이 이번 사고로 인한 피해를 겪었다.

시스템 장애의 원인은 랜섬웨어였다. SGI서울보증 측은 “14일 새벽 데이터베이스(DB)에서 이상 징후를 발견했으며, 금융보안원 등 전문기관 공동 조사를 통해 랜섬웨어 공격에 의한 것임을 확인했다”고 밝혔다.

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤 복구 대가로 금전을 요구하는 악성코드다. 특히 돈을 주고 구매할 수 있는 ‘서비스형 랜섬웨어(RaaS)’가 늘어나며 피해는 갈수록 커지고 있다.

업계에서는 이번 공격의 배후로 ‘건라(Gunra)’ 랜섬웨어를 추정했다. 올해 4월 처음 등장한 건라 랜섬웨어는 외부 통신 없이도 암호화가 가능하도록 만들어졌으며, 윈도(Windows) 운영체제(OS)에서 제공하는 시스템 복원을 무력화하는 기능도 탑재했다.

보안업계 관계자는 “이번 사고에서도 5일 내로 연락하라는 메시지처럼 기존 건라 랜섬웨어 피해에서 나타난 공통점이 발견됐다. DB나 가상 디스크 쪽 파일을 먼저 암호화하는 특징도 유사하다”며 “다만 건라는 지난 6월 아랍에미리트 한 병원에 40테라바이트(TB)의 데이터를 유출하겠다고 협박했는데, 이번에는 암호화와 관련된 내용만 메시지에 포함됐다”고 설명했다.

지난달에는 인터넷서점 예스24가 랜섬웨어 공격으로 곤욕을 치렀다. 예스24는 지난달 9일 홈페이지, 애플리케이션 등 서비스 일체가 중단됐는데 닷새가 지나고서야 점진적으로 서비스가 재개됐다.

당시 예스24의 느린 복구 속도를 두고 서버 백업이 이뤄졌는지 의심하는 목소리가 컸다. 회사는 공식 입장을 통해 “서버 백업이 완료돼 복구 작업을 진행 중”이라 발표했다. 하지만 JTBC 단독 보도에 따르면 해커들에게 수십억 원에 달하는 암호화폐를 지불한 것으로 알려졌다.

SGI서울보증의 경우, 예스24와 달리 서버 백업 데이터가 남아있던 것으로 파악됐다. 금융감독원과 금융보안원은 SGI서울보증에 인력을 파견해 사고 관련 현황을 점검 중이다. 재해복구 시스템이 정상 작동한 것으로 보고 해커가 어떤 경로로 시스템에 접근했는지도 살펴보고 있다.

SGI서울보증은 장애 발생 후 나흘 만에 서비스를 복구했으나 금융당국의 제재를 피하긴 어려울 전망이다. 전자금융감독규정 제23조의9는 “핵심 업무의 복구 목표 시간은 3시간 이내로 하되, ‘보험업법’에 의한 보험회사의 핵심 업무의 경우에는 24시간 이내로 한다”고 규정하고 있다.