Gentlemen 랜섬웨어, Soja de Portugal 공격하여 491GB 유출

Gentlemen 랜섬웨어, Soja de Portugal 공격하여 491GB 유출

Gentlemen 랜섬웨어 그룹이 포르투갈의 주요 농업 기업 중 하나인 Soja de Portugal에 대한 공격의 배후를 자처하며, 491GB의 민감한 기업 데이터가 노출되는 결과를 초래했다. DeXpose의 보도에 따르면, 유출된 데이터에는 SAP 시스템 기록, 직원 정보, 재무 문서가 포함되어 있다. 해당 기사는 2026년 6월 4일자로 되어 있는데, 이는 보도 오류이거나 미래 날짜로 발행된 것으로 보인다. 독자들은 이 특정 날짜의 사실적 정확성을 독립적으로 확인할 수 없다는 점에 유의해야 하지만, 여러 위협 인텔리전스 소식통이 이 유출 사건 자체를 최근 사건으로 확증하고 있다.

이번 사건은 랜섬웨어 서비스형(RaaS) 운영인 Gentlemen에 의한 것으로 알려진 계속 늘어나는 공격 목록에 추가된다. 연구자들에 따르면 이들은 2025년 하반기에 공개적으로 등장했으며, 이후 여러 산업과 국가에 걸쳐 수백 명의 피해자를 주장했다.

Gentlemen은 누구이며 왜 효과적인가?

Gentlemen 그룹은 랜섬웨어 서비스형(RaaS) 플랫폼으로 운영된다. 즉, 핵심 개발자들이 멀웨어와 인프라를 개별 캠페인을 수행하는 제휴 공격자에게 라이선스하는 방식이다. 이 모델은 사이버 범죄자의 진입 장벽을 낮추고 수사 기관의 공격 귀속을 더 복잡하게 만든다.

이 그룹을 기존 랜섬웨어 작전과 구별 짓는 점은 이중 협박을 일관되게 사용한다는 것이다. 피해자의 데이터를 암호화하기 전에 빼낸 다음 암호화를 실행한다. 이는 견고한 백업 절차를 갖춘 조직조차도 몸값을 지불하지 않으면 도난당한 데이터가 공개되거나 판매되는 두 번째 위협에 직면한다는 뜻이다. Soja de Portugal 사건에서 이 그룹은 그 위협을 실행한 것으로 보이며, 491GB가 유출 인프라를 통해 공개되거나 접근 가능하게 된 것으로 전해진다.

연구자들은 Gentlemen의 툴킷이 Windows, Linux, ESXi 하이퍼바이저, NAS 장치를 대상으로 하여 기존 사무실 네트워크부터 가상화된 데이터 센터까지 다양한 비즈니스 환경을 마비시킬 수 있다고 지적했다.

어떤 데이터가 노출되었고 왜 중요한가

Soja de Portugal 유출 사건에 연루된 데이터 범주는 신중히 살펴볼 필요가 있다. SAP 데이터는 특히 중요하다. SAP는 대규모 조직이 공급망, 조달, 급여, 회계에 이르기까지 모든 것을 관리하는 데 사용하는 전사적 자원 관리(ERP) 플랫폼이다. SAP 데이터 유출은 공급업체 계약, 가격 구조, 내부 재무 전망, 직원 보상 세부 정보를 한곳에서 모두 노출시킬 수 있다.

이번 유출에서 확인된 또 다른 범주인 직원 기록에는 일반적으로 이름, 식별 번호, 연락처, 급여 관련 은행 정보가 포함된다. 이 데이터가 유출되면 조직 자체뿐 아니라 개별 근로자에게도 2차 위험이 발생한다.

기업 비즈니스 시스템을 표적으로 삼는 이러한 패턴은 이번 공격에만 국한된 것이 아니다. Ampex Data Systems에 대한 Play 랜섬웨어 공격과 유사한 사건은 공격자들이 몸값 협상력과 범죄 시장에서의 재판매 가치를 모두 갖추고 있기 때문에 직원의 개인 식별 정보 및 재무 기록을 포함한 고가치 데이터 저장소를 우선시하는 방식을 보여주었다.

농업 및 제조 기업은 종종 레거시 운영 기술과 현대적인 엔터프라이즈 소프트웨어를 혼합하여 사용하기 때문에, 보다 최근에 인프라를 구축한 조직보다 더 크고 덜 균일한 공격 표면을 만들어 내어 점점 더 매력적인 표적이 되고 있다.

경계 보안만으로는 충분하지 않은 이유

이와 같은 사건에서 얻을 수 있는 가장 중요한 교훈 중 하나는 전통적인 경계 방어 수단인 방화벽, 바이러스 백신 소프트웨어, 네트워크 모니터링이 필요하지만 충분하지 않다는 점이다. Gentlemen 그룹과 유사한 작전은 피싱 캠페인, 노출된 원격 데스크톱 프로토콜(RDP) 포트, 탈취된 자격 증명을 통해 초기 접근 권한을 확보하는 것으로 알려져 있다. 네트워크에 침투한 후에는 랜섬웨어를 배포하기 전까지 며칠 또는 몇 주 동안 수평 이동을 한다.

이것이 보안 전문가들이 조직 보안에 대한 계층적 접근 방식을 점점 더 옹호하는 이유다. 가장 효과적인 계층에는 다음이 포함된다.

• 제로 트러스트 네트워크 접근: 네트워크 경계 내부의 모든 장치나 사용자를 신뢰하는 대신, 제로 트러스트 아키텍처는 모든 리소스에 접근하기 전에 신원과 장치 상태를 지속적으로 검증해야 한다.
• 암호화된 원격 접근: VPN 및 유사한 도구는 전송 중인 데이터를 보호하고 보호되지 않은 연결에서 자격 증명 가로채기 위험을 줄이며, 특히 민감한 시스템에 접근하는 원격 및 하이브리드 근무자에게 중요하다.
• 네트워크 분할: SAP와 같은 시스템을 일반 직원 워크스테이션과 격리하면 공격자가 초기 침투 후 수평 이동하는 능력을 제한한다.
• 엔드포인트 탐지 및 대응(EDR): 기존 바이러스 백신과 달리 EDR 도구는 멀웨어가 배포되기 전에도 네트워크 내에서 공격자가 활동 중일 수 있는 행동 이상을 모니터링한다.

네덜란드에서 발생한 ChipSoft 랜섬웨어 공격은 유사한 실패 패턴을 보여주었다. 내부 시스템이 충분히 분할되지 않았고 접근 통제가 초기 침투 후 유출을 억제할 만큼 세분화되지 않아 공격자들이 대량의 데이터에 접근하여 유출할 수 있었다.

이것이 시사하는 바

조직이 다국적 기업이든 Soja de Portugal과 같은 지역 기업이든, 위험 계산이 바뀌었다. RaaS 모델을 사용하는 랜섬웨어 그룹은 가치 있는 데이터가 존재하는 모든 분야를 표적으로 삼아 대규모 공격을 전개할 수 있다. 농업 기업, 물류 회사, 제조업체는 역사적으로 스스로를 고가치 표적으로 여기지 않았을 수 있지만, 그들이 ERP 및 HR 시스템에 보유한 데이터는 다른 이야기를 말해준다.

조직이 노출을 줄이기 위해 취할 수 있는 구체적인 조치는 다음과 같다.

• 원격 접근 지점 감사: 인터넷에 연결된 모든 서비스, 특히 RDP 및 VPN 게이트웨이를 식별하고, 다중 요소 인증과 정기적으로 업데이트된 자격 증명으로 보호되도록 한다.
• 최소 권한 접근 구현: 직원과 시스템은 진정으로 필요한 데이터와 애플리케이션에만 접근할 수 있어야 한다. 광범위한 접근 권한은 침해 후 수평 이동을 가속화한다.
• 백업 테스트: 오프라인 또는 불변 백업은 암호화 기반 랜섬웨어에 대한 중요한 방어 수단이지만, 정기적으로 테스트하고 복원 가능성을 확인해야만 효과가 있다.
• 데이터 분류 및 저장 데이터 암호화: 가장 민감한 데이터가 무엇인지 파악하고 내부 저장 시에도 암호화되도록 하면, 유출된 파일이 공격자에게 갖는 가치를 제한할 수 있다.

Soja de Portugal 유출 사건은 예외적이어서가 아니라 점점 더 전형적이기 때문에 유용한 사례 연구다. 랜섬웨어 공격이 여러 분야에 걸쳐 대량의 기업 데이터를 계속 노출시키는 가운데, 가장 잘 대처하는 조직은 보안을 일회성 투자가 아닌 지속적인 프로세스로 간주하는 곳이다. 지금 접근 통제, 네트워크 아키텍처, 사고 대응 계획을 점검하는 것이 사후에 491GB 데이터 유출을 관리하는 것보다 훨씬 적은 비용이 든다.