연이은 갠드크랩 랜섬웨어 공격! 이번엔 한국은행 사칭했다

어눌한 한국어를 사용하는 ‘갠드크랩 랜섬웨어’ 공격조직...확인된 공격만 벌써 4번째

[보안뉴스 원병철 기자] 지난 2월 20일경부터 어눌한 한국어를 사용하는 공격조직이 갠드크랩 랜섬웨어로 국내 사용자들을 연이어 공격하고 있는 가운데, 27일 새벽에는 우리나라 국책은행인 ‘한국은행’을 사칭한 이메일 공격을 시작해 관계기관 및 보안업체 관계자들이 촉각을 곤두세우고 있다. 마치 예전 구글 번역기를 사용한 듯 한 어눌한 한국어 사용은 여전하다.

▲한국은행을 사칭한 갠드크랩 랜섬웨어 첨부 이메일[자료=ESRC]

이스트시큐리티 시큐리티대응센터(ESRC)는 최근 △경찰청 소환장 △지마켓 할인쿠폰 △헌법재판소 소환장 등의 이메일로 사칭해 랜섬웨어를 한국에 집중 유포하던 조직이 27일 새벽 △한국은행을 사칭한 공격을 시작했다고 밝혔다. 아울러 이들 조직은 기존 ‘비너스락커 랜섬웨어 유포 조직’과는 확연히 구분되고 있는 상태라고 강조했다. 2월 27일 헌법재판소 사칭 관련 내용도 수정된 버전이 유포되고 있는데, 이메일 제목에 ‘헌법재판소 마지막 경고’란 표현을 담고 있다.

이런 가운데 2월 27일 추가로 발견된 악성 이메일은 한국은행을 사칭하고 있으며, 기존 악성 이메일들과 동일하게 갠드크랩 랜섬웨어가 첨부된 압축파일을 포함하고 있다. ESRC는 이번 악성 이메일도 역시 개인 사용자보다는 국내 중소기업의 임직원들을 타깃으로 유포됐으며, 실제 한국은행 CI를 사용해 사용자들을 속이려고 노력했지만, 기존 메일처럼 어색한 한글로 작성되어 있다고 설명했다.

▲악성 이메일 발신 도메인 정보[자료=ESRC]

또한, 해당 공격에 있어 특이할 만한 사항은 일반적인 이메일 계정 형식인 ‘xxx@xxx.com’이 아닌 ‘xxx.xxx’의 형태를 사용했다는 점이다. ESRC는 분석 결과, 코드 상에는 ‘koreasecurity.top@koreasecurity.top’ 형태로 작성되어 있지만, 이메일 발신자 주소가 보이는 부분에서 공격자가 임의로 설정을 바꿔 ‘koreasecurity.top’ 까지만 보이는 것으로 확인됐다고 밝혔다.

이번 이메일의 발신지는 러시아로 확인됐는데, 공격 패턴에 따라 네덜란드, 미국 등 다른 국가도 목격되고 있다. 압축파일 안에는 pdf 파일을 위장한 exe 파일이 포함되어 있고, 표현이 부자연스러운 제목의 PDF로 위장한 악성파일이 존재한다.

▲악성 첨부파일[자료=ESRC]

만약 사용자가 첨부되어 있는 exe 파일을 pdf 파일로 간주, 실행한다면 갠드크랩 5.2에 감염된다. 해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있다.

최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어 이스트시큐리티에서는 최근 공격의 배후가 새로운 조직일 것으로 추정하고 있다. 아울러 현재 알약에서는 해당 악성코드에 대해 ‘Trojan.Ransom.GandCrab’으로 탐지 중이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)