침해사고/위협동향

워너크라이보다 무서운 갠드크랩, 복구업체까지 포섭하는 랜섬웨어 실력자

최민지
[디지털데일리 최민지기자] 갠드크랩 랜섬웨어가 한국에서 빠르게 퍼지며, 워너크라이보다 무서운 파급력을 보이고 있다. 지난해 전세계를 강타한 워너크라이는 글로벌 랜섬웨어 이슈로, 국내에서 적극적으로 방어태세에 나서 선방했지만, 갠드크랩은 다르다. 실제 피해사례도 속출하고 있다.

보안업계에서는 한국에 갠드크랩 랜섬웨어를 유포하는 공격자를 아마추어가 아닌 전문적인 실력자로 보고 있다. 특히, 수익을 높이기 위해 랜섬웨어 복구 업체를 이용하는 적극적인 모습까지 보이고 있다.

최근 갠드크랩은 입사지원, 저작권 위반 관련 내용, 디자이너 등으로 위장한 이메일을 보내 사용자들을 감염시키고 있다. 유창한 한국어로 맞춤형 표적공격을 진행하기 때문에 피해사례도 늘고 있는 실정이다.

지난 14일에는 국내 유명 택배회사인 한진택배 배송팀을 사칭한 이메일을 통해 갠드크랩 랜섬웨어 변종을 유포했다. 마치 실제 택배 배송관련 안내 메일처럼 교묘하게 만들었는데, 배송장과 영수증을 압축파일로 첨부했다. 워드파일을 실행하게 되면 보안경고창과 매크로 실행 유도 화면을 보여준다.

최근에는 사람인 취업전문 사이트의 기업별 채용정보에 기재된 국내기업 인사 담당자를 대상으로 입사지원서를 위장한 악성 이메일이 확산되기도 했다. 악성 인터넷주소(URL) 링크를 첨부하고 악성 압축파일을 내려받도록 유도하는 공격 방식을 쓰고 있다.

내려받은 악성파일에는 이중 확장자를 사용한 위장 파일 대신 자바스크립트 파일이 포함돼 있고, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이에 해당 사이트에서는 가능한 담당자 이메일을 공개하지 않도록 안내하고 있다.

이전에도 이 공격자는 경찰청을 사칭한 교통법칙금 인터넷 납부, 저작권 위반 그림 사용 확인 메일, 실존 디자이너 명의 도용 등을 통해 한국을 타깃으로 한 갠드크랩 랜섬웨어를 유포해 왔다. 1년 이상 한국을 대상으로 공격하고 있지만, 흔적을 남기지 않고 안티바이러스를 우회하기 위한 변종 랜섬웨어를 계속 내놓고 있어 수사에 어려움을 겪고 있는 상황이다.

보안업계 관계자는 “새로운 취약점과 기법을 지속 사용하고 있어 아마추어라고 보기 어려우며, 1~2년 전부터 한국에 맞춤화한 갠드크랩 랜섬웨어를 유포하고 있는 실력자”라며 “이제는 서비스형랜섬웨어를 적용하고, 이메일 흔적도 잘 숨기면서 수사망을 피하는 방법까지 아는 것으로 보인다”고 말했다.

이어 “현재 한국 사이버위협 선두권에 들 정도며, 워너크라이 때보다 피해는 더 크다”라며 “1년 넘게 한국을 농락하고 있다”고 덧붙였다.

공격자는 비트코인을 요구하지 않고 대시코인이라고 다른 암호화폐를 요구하고 있다. 몸값만 지불하면 복호화 키를 건네주는 것으로 살펴봤을 때, 수익을 위한 목적으로 추정된다.

이 관계자는 “실제 돈을 지불하면 복구툴을 제공하기 때문에, 랜섬웨어를 통한 정상적인 비즈니스 모델을 펼치고 있다”며 “데이터 복구업체들도 이를 활용해 적극적인 활동을 전개하고 있으며, 공격자는 복구업체와 공생관계처럼 파트너 할인을 해주는 등 범죄시장이 확대되고 있다”고 설명했다.

일반인이 직접 몸값을 지불하고 복구를 시도했을 때 실패할 가능성이 크기 때문에, 전문적인 복구업체를 이용하도록 유도하는 것이다. 공격자도 수월하게 몸값을 받을 수 있다.

이번 랜섬웨어는 교묘하게 위장한 표적형 공격이라 일반인이 쉽게 알아차리기 힘들고, 안티바이러스를 우회하는 등 다양한 변종형태로 진화하고 있어 이전보다 큰 주의가 필요하다.

한글로 작성된 이메일이라도 첨부파일과 URL을 열어보는 것을 조심해야 하며, 이전의 갠드크랩 랜섬웨어 유사 형태라면 의심해봐야 한다. 또, 중요한 데이터는 반드시 백업하는 등 기본적 보안수칙을 준수해야 한다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널