[보안 따라잡기]①진화하는 랜섬웨어, 제왕 `갠드크랩`의 내리막길

그래픽=이스트시큐리티 알약 블로그 캡처

[이데일리 이후섭 기자] 랜섬웨어는 불특정 다수를 대상으로 무차별 감염을 시도하는 공격으로, 정보를 암호화한 뒤 금전을 요구하는 방식이다. 1990년대부터 PC 잠금기능을 가진 악성코드를 플로피 디스크에 담아 우편으로 보내는 수법으로 존재하던 랜섬웨어는 2010년대 들어와 본격 확산하고 있다.

지난해 가장 주목받은 랜섬웨어 이슈는 `갠드크랩(GandCrab)` 공격이 감소하고, 신종 랜섬웨어인 `소디노키비`와 `넴티`가 등장한 것이다. 2018년과 2019년 상반기를 대표하던 갠드크랩은 랜섬웨어 운영자들이 운영 중단을 밝히고, 무료 복호화 툴이 공개되면서 내리막길을 걷게 됐다.

2018년 첫 등장…1년여간 악명 떨쳐

보안 전문업체 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 2018년 1월 러시아 해킹 커뮤니티에서 새로운 랜섬웨어 갠드크랩이 발견됐다. 갠드크랩은 서비스형 랜섬웨어(RaaS)로, 공개키 방식으로 파일을 암호화하며 스팸 메일과 익스플로잇 킷을 통해 처음 등장했다. 갠드크랩은 파일 암호화 기능을 수행하며 암호화된 파일 뒤에 `.CRAB` 확장자를 추가하는 특징을 가진다.

갠드크랩은 최초 등장한 버전부터 v5까지 다양한 변종들이 발견됐다. 2018년 3월부터 등장한 v2에서는 입사지원서로 위장하거나 유명 취업사이트의 채용공고 지원문의로 위장한 갠드크랩이 발견됐다. 합법적인 웹사이트에 숨어있는 갠드크랩도 있었으며, 한국어를 구사하는 랜섬웨어 유포자가 매크로 기반의 갠드크랩을 유포하기도 했다.

2018년 5~6월 국내 대학을 대상으로 갠드크랩 v3 랜섬웨어가 유포됐고 피고 소환장 통지서, 특정인 지칭과 상품 주문 제안 내용으로 위장한 악성 메일을 통해서도 마구 뿌려졌다. 2018년 7월에는 암호화한 파일에 새로운 확장자를 붙이는 갠드크랩 v4가 발견됐다. 해당 버전은 다운로드 사이트로 보이는 해킹된 웹사이트들을 통해 배포됐고, 공정거래위원회를 사칭해 전자상거래 위반행위를 조사한다는 악성 메일을 통해 유포됐다.

백신업체인 비트디펜더가 갠드크랩 복호화 툴을 공개하면서 공격자들은 기존 복호화 툴로 복구 불가능한 5번째 버전을 개발했다. 특히 비너스락커(VenusLocker) 랜섬웨어 조직이 활동을 본격화해 갠드크랩 v5를 한국에 집중 유포했다. `이미지 무단사용 안내메일`이라는 내용으로 갠드크랩을 유포하는 시도가 발견됐고, 연말정산 시즌을 겨냥해 국세청을 사칭하기도 했다.

지난해 운영 중단에 복호화 툴 공개로 막 내려

1년여 넘게 악명을 떨치던 갠트크랩 시대는 지난해 6월 랜섬웨어 운영자들이 운영 중단을 밝히면서 막을 내렸다. 갠드크랩 운영자들은 운영을 중단하고 협력자들에게 랜섬웨어 배포를 중단할 것을 요청했다. 그들은 갠드크랩을 통해 랜섬머니로 20억달러(약 2조3000억원) 이상을 벌어들였다고 공개했으나, 전문가들은 20억달러는 허구일 가능성이 높고 수백만달러에 그칠 것이라고 예상하기도 했다.

지난해 6월 노모어랜섬웨어가 갠드크랩 최신 버전용 무료 복호화 툴을 공개했다. 갠드크랩 최신 변종의 피해자들은 웹사이트에 공개된 무료 복호화 툴을 통해 돈을 지불하지 않고도 파일을 복구할 수 있게 됐다. 해당 툴은 갠드크랩 버전 1, 4, 5~5.2로 암호화된 파일에 사용할 수 있다. 또 미국 FBI가 갠드크랩 버전 4, 5~5.2에 대한 마스터 복호화 키를 공개하면서 모든 사용자가 마스터 복화화 키를 이용해 자신만의 갠드크랩 복호화 툴을 만들 수 있게 됐다.