지난달 랜섬웨어 공격으로 SGI서울보증의 전산시스템 장애사태를 일으킨 해킹조직이 테라바이트(TB·1000GB) 단위의 대용량 내부자료를 유출했다는 주장이 나왔다.

아랍에미리트(UAE)를 중심으로 활동하는 보안기업 핵마낙(Hackmanac)은 3일 자사의 사회관계망서비스(SNS) 게시물을 통해 “‘건라(Gunra)’ 해킹 그룹이 SGI 사이버 공격의 배후를 자처했다”며 “(게시물에 따르면) 이 그룹은 13.2 TB의 압축 데이터베이스를 탈취했다”고 밝혔다. 건라는 최근 SGI서울보증 해킹 공격에 사용된 것으로 추정되는 랜섬웨어다.

핵마낙이 인용한 건라의 게시물은 이 조직이 운영하는 다크웹 주소에 올려져 있다.

이 해킹조직은 “우리는 방대한 양의 보험 데이터베이스를 갖고 있지만 분석할 스태프가 부족하다”며 “데이터베이스를 분석하고 싶으면 합류하라”는 메시지를 올렸다.

13.2TB 용량은 초고화질(4K) 영화 600여편, 고화질 사진 440만장, 책 1320만권 가량에 해당하는 용량이다. 대형 도서관 하나와 맞먹는다. SGI의 업무가 개인정보를 다루는 일이라는 점을 고려할 때 해킹조직의 주장이 사실일 경우 막대한 개인정보 유출이 우려된다.

이번 주장은 SGI측이 대가를 지불하지 않고 랜섬웨어 암호화를 해제하자 해킹조직이 이른바 ‘위력행사’에 나선 것으로 해석될 수 있다는 지적이 나온다.

이형택 랜섬웨어침해대응센터장 겸 이노티움 대표는 “이 분야에서는 예상되는 수순”이라며 “다만 13.2TB 가 사실이라면 지금까지 듣고 경험해본 것 중 가장 규모가 큰 정보 유출”이라고 설명했다. 그는 “(해킹조직이) DB를 해독할 소스코드까지 확보했을 가능성도 있다”고 설명했다.

앞서 SGI서울보증은 랜섬웨어 공격으로 시스템 장애가 발생한 지 사흘 만인 지난달 17일 핵심 전산시스템을 복구한 바 있다. 당시 SGI서울보증은 탈취한 정보에 대한 해커의 금전적 대가 요구 등 연락이 없었다고 밝혔다.

SGI서울보증은 장애의 원인을 랜섬웨어 공격으로 파악하고 일부 서버는 랜섬웨어 암호화 해제로, 나머지 서버는 자체 백업 데이터를 이용해 자료를 복구한 것으로 전해졌다.

SGI 관계자는 5일 통화에서 “해당 주장에 대해 확인 중”이라고 밝혔다.

이재걸 기자 claritas@naeil.com