갠드크랩 램섬웨어를 이용하는 신규 공격 그룹이 포착됐다. 갠드그랩을 이용한 한국 표적 공격이 지속된다.

이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)에 따르면 국내 기업·기관 대상으로 갠드크랩 랜섬웨어를 지속 유포하는 새로운 공격조직이 등장했다. 이 공격자는 지난달부터 '경찰청 소환장' '한국은행 교육' '지마켓 할인쿠폰' '헌법재판소 소환장' 등을 사칭하며 갠드크랩 최신버전이 담긴 악성메일을 지속 유포한다.

지난해부터 올해 초까지 국내 기업·기관이 악성메일로 입은 갠드크랩 랜섬웨어 피해는 동일 조직 소행으로 추정된다. 이른바 비너스락커 조직이라 불리는 공격자는 초기에 비너스락커 랜섬웨어를 유포했다. 이후 서비스형 랜섬웨어(RaaS)로 갠드크랩이 등장하자 이를 이용했다.

최근 갠드크랩을 이용하는 새로운 공격 조직이 탐지됐다. 이 조직은 한국어 표현이 부자연스럽고 공격수법도 기존과 차이를 보인다. 이스트시큐리티는 악성코드 분석내용과 명령제어(C2)서버 위치 등으로 미뤄 중국 또는 러시아 조직일 가능성을 제기한다.

최근 이 조직은 '헌법재판소 소환장'을 사칭한 악성메일을 유포했다. '출석요구서'라는 제목으로 첨부된 압축파일(rar)에 비밀번호를 걸어 보안 프로그램 탐지 회피를 시도했다. 압축을 해제하면 나오는 악성코드 실행파일(exe)은 문서파일(doc)처럼 아이콘과 파일명을 위장해 사용자를 속인다. 이번 공격은 개인 사용자보다는 국내 중소기업을 겨냥했다.

지난달 루마니아 보안업체 비트디펜더는 갠드크랩 5.1버전에 대한 복호화 도구를 개발해 무료 공개했다. 그러나 다크웹에서 활동하는 갠드크랩 랜섬웨어 개발자는 불과 수 시간 만에 새로운 5.2버전을 내놓았다. 국내를 집중 공격 중인 두 조직도 이달 들어 5.2버전을 악성메일에 담아 유포하고 있다.

문종현 ESRC 센터장은 “여러 랜섬웨어 중 갠드크랩이 사이버범죄자 사이에 인기를 끄는 이유는 RaaS로서 빠른 대응과 업데이트를 지원하기 때문”이라며 “공격자는 갠드크랩과 같은 RaaS를 개발자로부터 구입해 유포한다. 이런 비용이 드는데도 국내를 노리는 공격자가 늘었다는 것은 그만큼 국내 랜섬웨어 피해가 여전히 많다는 의미로 해석된다”고 말했다.

이어 문 센터장은 “공격자는 사용자가 관심을 보일만한 주제로 열람을 유도한다. 최근 화제인 연예계 이슈 관련 내용을 다루는 악성메일도 조만간 유포될 가능성이 있어 주의가 요구된다”면서 “보안 프로그램을 설치해 항시 실행하고, 중요한 파일은 별도 저장소에 백업해두는 것을 권한다”고 덧붙였다.

팽동현기자 paing@etnews.com