4.2버전까지 등장한 갠드크랩 랜섬웨어...보안기업과 신경전까지

4.2버전까지 등장한 갠드크랩 랜섬웨어...보안기업과 신경전까지

갠드크랩(GandCrab) 랜섬웨어가 여전히 활개치는 가운데 최근 4.2 버전까지 등장한 것으로 나타났다. 보안기업이 랜섬웨어 암호화 차단방법, 복구 툴을 배포하자 이를 우회하는 변종을 발 빠르게 만들었다. 일부 버전에는 복호화 툴을 배포하는 기업 조롱 메시지까지 담는 등 보안기업과 랜섬웨어 제작자 간 신경전까지 벌어진다.

29일 안랩·하우리 등 보안업계에 따르면 최근 배포되는 갠드크랩 랜섬웨어는 진단을 회피하기 위해 파일 외형에 다양한 패커(프로그램 외형 변형)를 사용하는 것으로 나타났다. 24일 처음 발견된 4.2버전은 리그 익스플로잇 킷(Rig Exploit Kit)을 통해 유포됐다.

갠드크랩 4.2 버전은 가상환경에서 파일을 분석하지 못하도록 하는 '안티VM'기능이 추가됐다. 보안기업이 대부분 랜섬웨어 등 파일을 수집해 가상환경에서 구동, 분석하는데 이를 막기 위한 조치로 분석된다.

갠드크랩 랜섬웨어는 2월 최초 발견된 후 3월 1.0버전으로 활발히 유포되기 시작했다. 4월 2.0버전 등장, 5월 3.0버전, 7월 4.0버전 등 빠르게 변종이 생성됐다. 배포방식도 초기 이력서, 요금고지서 등 이메일을 통한 유포방식에서 사이트 해킹을 통한 자동다운로드, 취약점 이용 등 유포 방식도 변했다.

전문가는 갠드크랩 랜섬웨어가 빠르게 변종 생성이 가능한 이유를 제작과 유포가 동일한 과거 방식과 달리 돈을 주고 구입 가능한 서비스형 랜섬웨어이기 때문이라고 설명한다. 랜섬웨어 제작자는 실제 상용 소프트웨어(SW)와 마찬가지로 랜섬웨어 판매 확대 등을 위해 복호화나 백신에 발각되지 않는 버전을 지속 제작해 제공한다.

최상명 하우리 실장은 “갠드크랩은 이전에 발견된 랜섬웨어와 달리 유포자가 돈을 주고 랜섬웨어를 구입하는 서비스형 랜섬웨어로 배포자가 한정돼 있지 않다”면서 “백신업체가 새로운 버전을 배포할 때마다 차단방법을 공개하고 랜섬웨어 제작자는 백신 우회 방법을 담은 신 버전을 만들어 배포하면서 이들 간 쫓고 쫓기는 싸움이 지속된다”고 설명했다.

해당 러시아어는 모욕적인 의미가 담겨 있다.
해당 러시아어는 모욕적인 의미가 담겨 있다.

제작자와 보안기업 간 공격과 방어를 지속하면서 신경전도 벌어졌다. 실제 안랩이 갠드크랩 관련 암호화 차단 방법을 공개 배포하자 공격자는 새로운 갠드크랩 랜섬웨어 배포 시 러시아어를 이용해 안랩을 조롱하는 메시지를 내부에 심기도 했다.

안랩 관계자는 “랜섬웨어는 보안에 사용되는 강력한 암호화 도구를 사용하기 때문에 파일을 복구하는 것은 불가능하다”면서 “안랩은 랜섬웨어 설계 허점을 분석해 암호화 차단·복구 툴을 제공하고 있으며 앞으로도 랜섬웨어 분석 통한 차단·복구 툴을 제공할 예정”이라고 말했다.

정영일기자 jung01@etnews.com