검색

메뉴보기

갠드크랩 랜섬웨어, 해가 바뀌어도 기승

갠드크랩 랜섬웨어를 유포하는 악성 메일
<갠드크랩 랜섬웨어를 유포하는 악성 메일>

갠드크랩(GandCrab) 랜섬웨어가 지속 유포돼 사용자 주의가 요구된다. 공격자는 도메인을 바꿔가면서 차단과 추적을 피해 악성메일을 뿌린다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 국내 기업·기관을 겨냥한 갠드크랩 랜섬웨어 공격이 지속 탐지됐다. 저작권 위반 관련 내용을 담은 피싱 메일로 사용자를 속여 첨부파일을 확인하도록 유도한다. 첨부된 압축파일(alz)에는 파일확장자를 문서파일(doc)처럼 위장한 악성코드 실행파일(exe)이 담겼다.

공격자는 지난해부터 국내에 갠드크랩 랜섬웨어를 지속 유포하는 조직이다. 과거 비너스락커(VenusLocker) 랜섬웨어를 국내 유포했을 때부터 우리나라 기업·기관을 집중 공격했다. 공격자는 서비스형 랜섬웨어(RaaS)인 갠드크랩이 등장하자 이를 이용해 한국 표적 공격을 펼쳤다. 이번 공격은 디자이너나 웹 개발자 등 이미지 저작권 관련 업무 담당자를 노린 것으로 추정된다.

문종현 ESRC 센터장은 “갠드크랩 공격이 초기에는 주로 공공기관과 공무원을 겨냥했으나, 최근에는 기업과 전문직 대상 공격이 늘어나는 추세다. 감염시키고 몸값을 요구하기 더 쉽다고 본 것 같다”면서 “공격자 국적은 밝혀지지 않았지만 한국과 관련이 깊다. 허위 입사지원이나 공공기관 사칭으로 사용자를 속일만큼 한국어를 잘 쓰는데다, 한글 기반 운영환경을 사용하는 정황도 발견했다”고 말했다.

비너스락커 조직이 최근 갠드크랩 공격을 위해 등록한 도메인 목록
<비너스락커 조직이 최근 갠드크랩 공격을 위해 등록한 도메인 목록>

갠드크랩 랜섬웨어는 2018년 한 해 동안 백신 프로그램 '알약'에서 차단한 전체 공격 중 3분의 1 이상을 차지했다. 최근 공격자는 1~2주 단위로 새로운 도메인을 등록하면서 공격을 진행하고, 이 주기에 맞춰 공격패턴도 업데이트한다. RaaS 특성상 제작자와 유포자가 다른데다, 유포자가 해외 서버를 우회해 추적이 어렵다. 러시아 해커로 알려진 갠드크랩 제작자가 국내 보안 솔루션에 대응한 변종을 계속 내놓고 있다는 점 또한 국내 보안업계 대응을 어렵게 한다.

문 센터장은 “RaaS 등장으로 이제 사이버공격도 프랜차이즈 비즈니스처럼 진행되는 시대다. 갠드크랩의 경우 유독 한국을 겨냥한 표적형 공격이 지속돼 유포자 처리부터 시급하다”면서 “사용자는 메일 첨부파일을 내려받거나 실행할 때 항상 주의할 필요가 있다. 악성파일이 문서파일이나 윈도 바로가기(lnk) 파일로 위장하는 경우가 많으므로 잘 살펴봐야 한다”고 덧붙였다.

안혜란 기자 ran@boan.com

위방향 화살표