최근 암호화폐(가상화폐) 시세가 전반적으로 하락세에 접어든 가운데, 한동안 뜸했던 랜섬웨어가 다시금 기승을 부리기 시작했다.

랜섬웨어는 납치된 대상에 대한 몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로, 사용자 PC 내 주요 파일을 무단으로 암호화해 쓰지 못하게 만든 후 이를 인질 삼아 돈을 주면 암호 해제 키를 주겠다고 협박하는 공격 방식을 말한다.

랜섬웨어 이미지. / 카스퍼스키랩 제공
랜섬웨어 이미지. / 카스퍼스키랩 제공
최근 금전을 노린 사이버 공격 대부분이 가상화폐를 타깃으로 하면서 가상화폐 시세 변화에 따라 공격 방식이 달라지는 양상을 띤다. 가상화폐 시세가 오를 때는 사용자 PC에 채굴 프로그램을 몰래 설치하는 채굴형 악성코드 유포가 눈에 띄게 늘어나는 경향을 보인다. 같은 시간 동안 채굴할 수 있는 가상화폐 양은 정해져 있지만, 시세 차익으로 더 높은 이익을 볼 수 있기 때문이다.

반면, 가상화폐 시세가 떨어지면 랜섬웨어 유포가 급증하는 경향이 뚜렷하다. 가상화폐 가격이 상대적으로 낮아진 만큼 피해자가 몸값을 낼 확률이 높아지는 탓이다. 랜섬웨어로 인해 가상화폐 수요가 늘면 가상화폐 시세가 다시 올라갈 확률이 높아지게 되고, 공격자는 다시 채굴형 악성코드에 눈을 돌린다.

보안 업계에 따르면, 국내에서 주의해야 할 랜섬웨어로는 '갠드크랩(GandCrab)'이 있다. 갠드크랩 랜섬웨어는 3월 집중적으로 유포된 바 있으며, 한동안 자취를 감췄다 최근 다시 기승을 부리기 시작했다. 버전도 기존 2.0~2.1에서 새로운 3.0 버전이 등장했는데, 최근 발견되는 갠드크랩 랜섬웨어 사례를 보면 2.1 버전과 3.0 버전이 무차별로 유포되는 모습이다.

공격은 주로 유창한 한국어로 작성된 이메일로 이뤄진다. 이메일 내용은 공격 대상에 따라 조금씩 다르다. 기업 대상으로는 주로 인사 담당자를 타깃으로 구직자의 입사 지원 이메일로 위장한다. 개인 대상으로는 택배사를 사칭해 미수령 택배가 있다거나 경찰청을 사칭해 과태료 납부를 요청하는 식으로 접근한다. 일부 개인 사업자에게는 실제 현존하는 유명 디자이너의 명의를 도용해 저작권 문제를 논의하고 싶다는 식으로 접근한 사례도 있다.

택배사를 사칭한 갠드크랩 랜섬웨어 이메일 본문의 예. / IT조선 DB
택배사를 사칭한 갠드크랩 랜섬웨어 이메일 본문의 예. / IT조선 DB
갠드크랩 2.1 이하 버전은 주로 이메일에 첨부한 압축파일을 해제하면 나오는 문서 및 사진 파일을 클릭하도록 유도하는 방식을 이용한다. 이 파일은 이중 확장자를 악용해 겉보기에는 문서나 사진으로 보이지만, 실상은 숨어 있는 악성코드를 실행하도록 만든 링크 파일(.lnk)이다. 갠드크랩 2.1 버전의 경우 이미 보안 업계에서 파일 암호화 시도를 무력화하는 '킬 스위치'를 발견해 공개한 바 있다.

기업 입사 지원서를 위장한 갠드크랩 랜섬웨어 이메일 본문의 예. / 한국인터넷진흥원 제공
기업 입사 지원서를 위장한 갠드크랩 랜섬웨어 이메일 본문의 예. / 한국인터넷진흥원 제공
최근 새로 등장한 갠드크랩 3.0 버전은 첨부파일이 아닌 악성 URL 링크를 이메일 본문에 포함한 점이 다르다. 수신자가 링크를 클릭하면 압축파일을 내려받게 되는데, 압축을 해제하면 나오는 파일도 이중 확장자 링크 파일이 아닌 자바스크립트(.js) 파일이라는 점도 눈에 띈다. 사용자가 직접 악성 파일을 실행하도록 유도하는 이러한 공격은 자동 감염을 방지하는 보안 패치와 무관하다는 점에서 더욱 주의가 요구된다.

한국인터넷진흥원은 갠드크랩 랜섬웨어 감염 피해 확산에 따라 ▲윈도 등 운영체제 및 사용 중인 프로그램의 최신 보안 업데이트 적용 ▲신뢰할 수 있는 백신 최신 버전 설치 및 정기적으로 검사 실행 ▲불필요한 공유 폴더 연결 해제 ▲출처가 불분명한 메일 또는 링크 실행 주의 ▲파일 공유 사이트 등에서 파일 다운로드 및 실행 주의 ▲중요 자료는 네트워크에서 분리된 저장장치에 별도 저장해 관리 등의 보안 수칙 준수를 권고했다.

#랜섬웨어 #갠드크랩 #암호화폐 #가상화폐 #보안