교통범칙금 위장 갠드크랩 랜섬웨어 비상! 피해 속출

비너스락커 랜섬웨어 제작자로 추정...국내 감염 피해 확산
2017년 6월 교통법규 위반→이미지 도용→입사지원서→최근 교통범칙금 순으로 사칭
비너스락커 조직, 비너스락커→오토크립터→갠드크랩 랜섬웨어로 변경해 유포

[보안뉴스 김경애 기자] 교통범칙금으로 위장한 갠드크랩 랜섬웨어가 대규모로 유포돼 이용자들의 피해가 속출하고 있다. 보안업계에서도 해당 랜섬웨어 탐지 및 피해신고 접수가 급증하고 있다며 이용자들의 주의를 당부하고 있다. 더욱이 최근에는 언론사 기자들을 대상으로도 유포되고 있어 특정 타깃은 물론 범국민적 차원에서도 피해 예방에 관심을 기울여야 할 것으로 보인다.

▲교통범칙금으로 위장한 갠드크랩 랜섬웨어 감염화면[이미지=보안뉴스]

본지는 9일 ‘[eFINE]위반사실 통지 및 과태료부과 사전통지서’란 제목으로 ‘사전납부고지서(사진포함).egg’ 파일이 첨부된 랜섬웨어가 이메일을 통해 유포되고 있다는 기사를 보도한 바 있다. 이와 관련 본지의 추가 취재 결과, 교통범칙금으로 위장한 갠드크랩 랜섬웨어 피해 접수 사례가 급증하고 있는 것으로 조사됐다.

이와 관련 한 보안전문가는 “교통범칙금으로 위장한 갠드크랩 랜섬웨어가 언론사 기자들에게도 뿌려지고 있다”며 “특정 타깃에 대한 공격 가능성도 열어놓고 있다”고 밝혔다.

교통법규 위반으로 위장한 랜섬웨어는 2017년 6월경에도 기승을 부린 바 있다. 그 이후에는 입사지원자를 사칭하거나 이미지를 도용했다는 저작권 위반을 사칭해 유포돼 왔다. 그러다 최근 다시 경찰청을 사칭해 교통법규 위반 사전통지서로 위장한 갠드크랩 랜섬웨어가 출현한 셈이다.

▲교통범칙금으로 위장한 갠드크랩 랜섬웨어 탐지화면[이미지=보안뉴스]

이스트시큐리티 알약블로그 측은 “지난 2016년 12월부터 유창한 한글 이메일로 한국에 집중적으로 유포했던 비너스락커(VenusLocker) 랜섬웨어 유포 조직이 2018년 현재까지도 지속적인 공격을 수행하고 있다”며 “공격자는 나름 유창하고 정교한 한글 이메일을 사용하고, 이메일 본문에 거의 마침표(.)가 존재하지 않는다는 공통된 특징을 갖고 한국을 상대로 랜섬웨어를 집중적으로 유포하고 있다”고 분석했다.

또 다른 보안전문가는 “갠드크랩 랜섬웨어 유포자들은 한국인들을 대상으로 흥미를 끌 수 있는 이슈나 주제를 잡아 지속적으로 랜섬웨어를 유포하고 있다”며 “2년 넘게 랜섬웨어를 유포하고 있지만 아직까지 그들이 잡히지 않고 있다. 피해자들이 점점 더 많아지고 있기 때문에 그들을 잡을 수 있도록 최선을 다해야 한다”고 강조했다.

특히, 이번 갠드크랩 랜섬웨어 유포자가 비너스락커 유포자로 추정되고 있지만 지금까지 검거하지 못해 국내 피해가 지속되고 있는 상황이다. 비너스락커 조직은 처음에 비너스락커 랜섬웨어 유포를 시작으로→오토크립터 랜섬웨어→갠드크랩 랜섬웨어로 바꿔가며 유포 중이다.

이에 따라 이용자들은 백신과 소프트웨어 등을 최신 버전으로 업데이트하고, 출처가 불분명한 메일을 클릭할 때 각별히 주의해야 한다.

하우리 최상명 CERT 실장은 “최근 갠드크랩 랜섬웨어가 이메일을 통해서 집중 유포되고 있다”며 “이메일에 첨부된 파일이 EGG 형태의 압축파일이면서 압축파일 안에 .바로가기 아이콘(LNK)이나 실행파일(EXE)가 있을 경우에는 클릭하지 않도록 주의할 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)