SK쉴더스 직원이 사이버보안 관제센터 시큐디움에서 모니터링하고 있다. SK쉴더스SK쉴더스가 그동안 복구가 불가능하다고 여겨졌던 신종 랜섬웨어 ‘아르곤와이퍼(ArgonWiper’의 암호를 풀어내는(복호화) 기법을 밝혀냈다. 우리나라 보안 기술로 암호화와 동시에 원본 파일을 삭제해 복구를 원천 차단하는 최신 랜섬웨어를 무력화시킨 것이다.
SK쉴더스는 최근 자사 화이트해커 그룹 이큐스트(EQST)가 아르곤와이퍼의 암호화·삭제 로직을 정밀 분석해 복호화 도구를 개발했다고 밝혔다. SK쉴더스는 아르곤와이퍼를 이용한 해커들의 공격으로 기업들이 피해를 입지 않도록 복호화 도구와 프로파일링 보고서를 홈페이지를 통해 무료 공개했다.
아르곤 와이퍼는 일반 랜섬웨어와 달리 파일을 암호화한 직후 원본을 즉시 삭제하거나 덮어쓰는 신종 랜섬웨어다. 이에 따라 공격 받은 쪽의 복구 시도를 원천 차단하는 전술이다. 만약 해커들이 공격 대상의 데이터를 암호화하는 중간에 해당 기업이 악성코드를 검출하고 차단하더라도 복호화는 불가능한 것으로 여겨졌다. 암호화와 복호화의 로직이 달라 암호화 키를 복호화에 쓸 수 없기 때문이다. 이 때문에 아르곤와이퍼 랜섬웨어는 수년간 복호화 성공 사례가 극히 드물었고 피해조직은 해커와의 협상에만 의존할 수밖에 없었다.
이큐스트는 공격자의 우연한 키 유출이나 단순 구현 실수가 아닌 암호화 루틴의 구조적 단서를 추적해 복호화 경로를 찾아냈다. 이는 즉시삭제형 계열 랜섬웨어에도 복구 가능성이 있음을 입증한 첫 사례다. 이번에 배포하는 프로파일링 보고서에는 아르곤와이퍼의 해킹 패턴과 암호화 로직, 백업 파일 생성 규칙, 포렌식 절차에 활용할 수 있는 침해지표(IoC) 등이 담겼다. 복호화 취약점 상세 분석 내용도 공개해 유사 구조 랜섬웨어 연구 활성화에 기여할 전망이다.
SK쉴더스의 이큐스트는 지난해 유럽 보안 컨퍼런스 핵루(Hack.lu)에서 크롬 V8 엔진의 취약점을 발표했고, 올해 1월 폰투온 오토모티브 2025에서 BMW 차량 내비게이션 해킹에 성공한 바 있다. 8월에는 블랙햇 USA 2025와 데프콘 33에서 해킹 실습 교육을 진행했으며, 마이크로소프트 글로벌 보안대회에서 2위를 차지하며 사이버 보안 분야에서 기술력을 인정받았다.
김병무 SK쉴더스 사이버보안부문장 부사장은 “이번 아르곤와이퍼 복호화 도구 공개는 복구가 불가능하다고 여겨졌던 랜섬웨어 공격에 실제 적용 가능한 대응책을 제시했다는 점에서 큰 의미가 있다”며 “앞으로도 사이버위협 분석과 해킹 사고 대응 역량을 기반으로 기업들의 피해를 최소화하고 신속한 복구를 지원할 것”이라고 말했다.
