갠드크랩 랜섬웨어, 무료폰트와 이력서 위장으로 활개

갠드크랩, 백신 체크부분 제거되고 악성코드 실행 변화....새로운 파일리스 유포
지난 7월 등장한 무료 폰트 ‘네봄이’ 재등장해 갠드크랩 감염 유도
피싱, 이메일, 감염된 프로그램 설치 등으로 랜섬웨어 감염...백업, 복구 등 여전히 미흡

[보안뉴스 김경애 기자] 갠드크랩(GandCrab) 랜섬에어가 최근 활개를 치고 있어 감염피해를 입지 않도록 이용자들의 각별한 주의가 필요하다.

[이미지=iclickart]

서비스형 랜섬웨어로 국내 집중 유포
지난 11월 15일 ‘장윤성 입사지원서’로 위장해 DOC 워드 문서의 매크로 기능을 이용해 갠드크랩 랜섬웨어가 유포되는가 하면, 지난 19일에는 ‘박혜윤’ 이력서 내용과 이메일 본문에 악성 EXE 파일 링크로 유포한 정황도 포착된 바 있다. 게다가 최근에는 홈페이지를 통해 갠드크랩 랜섬웨어가 유포되는가 하면, 무료 폰트를 다운로드할 수 있는 미끼로도 유포되는 등 다방면에서 갠드크랩 랜섬웨어가 활개를 치고 있다.

▲갠드크랩 랜섬웨어 유포에 이용된 악성 이메일 실제 화면[이미지=이스트시큐리티]

이와 관련 이스트시큐리티는 “지난주부터 비너스락커(VenusLocker) 랜섬웨어 조직이 다시 활동을 본격화하고 있다”며 “이들은 최근에 RaaS(Ransomware-as-a-Service) 기반의 러시아 서비스형 갠드크랩(GandCrab) 랜섬웨어를 한국에 집중 유포시키고 있다”고 분석했다.

갠드크랩 랜섬웨어 악성코드 실행부분 변화

[이미지=제로써트]

위협정보를 공유하는 제로써트에 따르면 “홈페이지를 통한 갠드크랩 랜섬웨어 유포가 새로운 형태로 변화됐다”며, “지난 9월 10일 랜섬웨어 실행 전 사용자 PC에 설치된 어베스트 백신 설치유무를 체크하는 부분이 추가됐는데, 21일 발견된 갠드크랩은 백신을 체크하는 부분이 제거되고 악성코드 실행부분이 변화됐다. 새로운 파일리스 유포 방식의 테스트 단계”라고 분석했다. 제로서트는 갠드크랩이 공격의 효과성을 검증한 후 백신 설치 유무 등 탐지 우회하는 부분이 추가할 것으로 예상하며, 출처가 불분명한 링크를 클릭하거나 파일을 열람하는 등 랜섬웨어에 감염될 행위를 하지 말 것을 당부했다.

무료 폰트 ‘네봄이’ 재등장해 갠드크랩 감염 유도
특히 최근에는 한국을 타깃으로 한 갠드크랩이 또 다시 유포하기 시작했다. 바로 지난 2018년 7월 ‘북한 폰트 다운로드’란 제목으로 ‘네봄이’를 다운로드하도록 가장했던 유포방식이 이번에도 발견된 것. 이번에도 이전과 똑같이 ‘네봄이’를 사칭하고 있으며, 기존에 ‘북한폰트’에서 ‘무료 ppt 템플릿 다운로드’로 제목이 바뀌었다.

지난 21일 윈스는 “갠드크랩 랜섬웨어가 최근 다시 유포가 되고 있다”며 “이전과 동일한 피싱 사이트 방식으로 소프트웨어 다운로드를 가장해 랜섬웨어를 유포하고 있다. 이번 유포 방식은 갠드크랩 버전 4부터 사용된 방식으로, 소프트웨어 이름만 변경된 동일한 HTML로 활개를 치고 있다”며 주의를 당부했다.

▲네봄이의 랜섬웨어 유포지(좌, 2018년 11월/우, 2018년 07월)[이미지=윈스]

한편, 네봄이는 질의응답을 통한 악성코드 링크로 HTML에서 확인이 가능하다. 클릭시 갠드크랩 악성코드를 다운로드 한다. 현재까지 발견된 악성코드는 총 두 가지로 ‘exe’ 실행 파일과 ‘JavaScript’다. JavaScript로 유포되는 악성코드는 현 시점에 Virustotal에서도 탐지율이 매우 저조하기 때문에 주의가 필요하다.

특히 공격자는 추적을 피하고 은밀히 악성행위를 펼치기 위해 이용자가 피싱 사이트에 재접속하면 악성행위를 하지 않는 사이트에 접속되도록 만들었다. 이와 관련 윈스는 “이용자가 악성 페이지를 방문하면 Tag 삭제 코드가 사라지게 된다”며, “삭제된 코드로 인해 재접속 시 악성코드 페이지가 아닌 정상 페이지로 접근된다. 이는 검색 엔진의 크롤러를 피하기 위함일 수도 있으며, 또 다른 이유가 존재할 수도 있다”고 밝혔다.

또한 “악성코드 유포지로 활용된 URL은 아직까지 Virustotal에서 탐지못하는 상태이며, 악성코드가 유포되는 사이트는 기존과 마찬가지로 두 개의 페이지로 구성되어 있다”며 “하나의 사이트에 5가지 컨셉의 소프트웨어가 존재하고, 다운로드 되는 샘플은 동일하다”고 분석했다.

피싱, 이메일, 감염된 프로그램 설치로 감염
이처럼 최근 랜섬웨어가 기승을 부리며 다방면에서 활개를 치고 있다. 그렇다면 랜섬웨어는 어떤 경로를 통해 유포되며 이용자는 어떤 대비를 해야할까? 임퍼바(IMPERVA)에 따르면 랜섬웨어 감염경로 TOP 7으로 1. 피싱 (93%의 피싱 메일이 랜섬웨어를 포함하고 있는 것으로 밝혀짐) 2. 이메일의 첨부 파일 3. 감염된 프로그램 설치 4. 악성 광고 랜섬웨어 5. 웜 바이러스 형태 (자기 복제 및 자기 전파) 6. 트래픽 분산 시스템 (Traffic Distribution System - TDS) 7. 감염된 웹사이트 방문을 꼽았다.

이어 랜섬웨어 주요 타깃으로는 서비스업 (기술, 과학 및 전문 서비스뿐만 아니라 의료, 교육, 예술 및 엔터테인먼트 서비스도 포함)이 38%로 가장 높았고, 금융, 보험 및 부동산업 17%, 제조업과 공공 행정분야가 각각 10%로 동일하게 나타났다.

백업, 복구 여전히 미흡
이처럼 피해를 양산시키고 있는 랜섬웨어를 활개를 치고 있는 반면, 이에 대한 이용자의 대비는 미흡하기만 하다. 백신과 소프트웨어는 항상 최신버전으로 업데이트해 유지해야 하지만 상당수 이용자는 관심을 기울이지 않고 있으며, 감염될 것을 대비해 중요한 자료는 백업해야 역시 이를 간과하고 있는 실정이다.

한국랜섬웨어침해대응센터 이형택 센터장은 “2019년도에도 랜섬웨어는 보안이 취약한 특정 조직의 서버를 목표로 하는 표적 공격과 보안 취약계층을 목표로 하는 무차별 공격을 동시에 진행할 것으로 예상된다”며, “랜섬웨어 공격으로부터 데이터를 안전하게 보호하고 대비하기 위해 실시간 데이터 백업이 매우 중요하다. 전통적으로 백업과 복구는 IT 재해에 대비하기 위해 DB서버 시스템을 중심으로 시행하였고 PC에 있는 문서, 도면, 영상 데이터에 대한 현황 파악이나 조직 차원의 관리를 위해 필요함에도 불구하고 여전히 백업이 이뤄지지 않고 있다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)