[우리문화신문=이한영 기자] 최근 갠드크랩(GandCrab) 랜섬웨어 변종이 잇따라 등장하면서 피해가 계속되고 있다. 갠드크랩 랜섬웨어는 파일리스 등 형태적인 변화뿐만 아니라 다양한 감염 방식을 이용하고 있어 사용자들의 더욱 각별한 주의가 필요하다. 갠드크랩 랜섬웨어에 의한 피해를 예방하기 위해 갠드크랩 랜섬웨어의 주요 감염 경로를 살펴본다.
올해 초 등장한 갠드크랩(GandCrab) 랜섬웨어가 기승을 부리고 있다. 지난 4월초부터 본격적으로 확산되기 시작했는데, 빠른 속도로 잇따라 변종이 나타나는 상황이다. 또 초반에는 보안이 취약한 누리집을 통해 감염되었으나 최근에는 입사지원 누리편지, 교통범칙금 알림 누리편지 등 교묘한 누리편지로 위장해 유포, 감염되고 있다.
갠드크랩 랜섬웨어에 감염되면 다른 랜섬웨어와 마찬가지로 감염된 컴퓨터 내의 주요 파일들이 암호화되고 파일의 확장자가 ‘.CRAB’으로 변경된다. 이어 랜섬웨어에 감염되었음을 알리고 금전을 요구하는 랜섬노트를 생성하고, 해당 내용을 담은 [사진 1]의 이미지로 바탕화면을 변경한다.
갠드크랩 랜섬웨어를 비롯한 대부분의 랜섬웨어는 일단 감염되면 암호화된 파일을 복구하기 어렵기 때문에 사용자의 더욱 각별한 주의가 필요하다. 특히 갠드크랩 랜섬웨어에 주로 감염되는 경로는 다음과 같이 크게 3가지로, 미리 알아두고 주의하도록 하자.
1. 스팸 메일을 이용한 감염
스팸 메일은 순식간에 수많은 사람들에게 발송할 수 있기 때문에 랜섬웨어는 물론 악성코드 유포 경로로 끊임없이 활용된다. 특히, 랜섬웨어는 감염자가 많으면 많을수록 공격자 입장에서 더 많은 수익을 얻을 가능성이 높기 때문에 스팸 메일을 통한 랜섬웨어는 앞으로도 계속될 전망이다.
일반적으로 스팸 메일을 ‘열기만’ 하는 것으로는 악성코드에 감염되지 않는다. 그러나 사용자가 실수로라도 메일 본문 내의 링크(URL)을 클릭하거나 첨부 파일을 열면 랜섬웨어나 악성코드 감염을 피하기 어렵다. 본문의 글자에 악성코드를 내려받는 주소를 교묘하게 숨겨놓는 경우도 많아 조금이라도 스팸 메일로 의심된다면 아예 누리편지를 열어보지 않는 것이 바람직하다.
문제는 최근 유포되는 스팸 메일은 교묘한 사회공학기법을 이용해 사용자들이 미처 스팸 메일로 의심하기 어려운 경우도 많다. 실제로 최근 갠드크랩 랜섬웨어가 이력서 지원 누리편지로 위장해 기업의 인사팀에 집중적으로 유포되었으며, [사진 2]와 같이 이미지 도용을 항의하는 누리편지로 위장해 감염을 유도한 사례도 잇따라 확인되고 있다.
이들 메일은 모두 본문이 한글로 작성되어 있으며, 첨부 파일의 이름 또한 ‘이력서’, ‘이미지도용건’ 등으로 위장해 사용자가 열어보도록 유도하고 있다. 특히 이들 첨부 파일은 국내에서 주로 사용되는 압축 포맷(.EGG) 형태로 제작되어 있다. 항의 누리편지로 위장한 갠드크랩 랜섬웨어에 관한 보다 자세한 내용은 지난 시큐리티레터 719호에서 확인할 수 있다.
나라밖에서 유포된 스팸 메일 또한 이력서로 위장하고 있는데, 국내의 유포 방식과 달리 첨부 파일 대신 누리편지 본문 내의 이력서(resume)라는 글자에 외부 누리집 주소로 연결되는 하이퍼링크를 삽입하여 사용자의 클릭을 유도하고 있다.
2. 크랙 프로그램으로 위장해 감염
‘크랙(crack) 프로그램’으로 위장해 유포된 갠드크랩 랜섬웨어도 있다. 크랙 프로그램은 상용 소프트웨어의 정품 인증을 회피하는 불법적인 유틸리티 프로그램으로, 대개 온라인 커뮤니티나 토렌트, 혹은 개인 누리집이나 블로그를 통해 암암리에 유포되고 있다.
[사진 3]은 크랙 프로그램 배포 페이지로 위장한 누리집이다. 사용자가 페이지 중간 부분에 있는 링크(빨간색 표시 부분)를 누르면 공격자가 만들어 둔 누리집에 연결되는데, 이를 알 수 없는 사용자는 크랙 프로그램으로 위장한 악성 실행 파일([그림 4])을 내려받고 갠드크랩 랜섬웨어에 감염된다.
여기에서 크랙 프로그램을 배포한 누리집은 갠드크랩 랜섬웨어 공격자에 의해 침해당한 누리집으로 추정된다. 공격자들은 예전부터 주로 워드프레스(Wordpress) 기반의 누리집을 공격해 몰래 악성코드를 삽입하는 방식을 이용하고 있다.
3. 멀버타이징 방식에 의한 감염
‘멀버타이징(Malvertising)’은 악성코드(Malware)와 광고(Advertising)의 합성어로, 인터넷 누리집에 삽입되는 광고를 이용하여 악성코드를 유포하는 방법이다. 웹 사이트에서 흔히 볼 수 있는 광고는 웹 사이트의 아래쪽이나 오른쪽에 이미지를 삽입하여 광고를 노출하는, 이른바 ‘배너 광고’ 형태다. 바로 이 광고 영역을 악용한 악성코드 유포 방식이 멀버타이징이다.
멀버타이징 공격 방법은 크게 2가지로, 공격자가 광고주로 위장하여 광고권을 구매하고 직접 악성 광고 배너를 노출하는 방법과 정상적인 광고 서버를 해킹하여 도용하는 방법이다. 이들 두 가지 방식 모두 공격자는 악성코드 유포 도구인 익스플로잇 킷(Exploit Kit)을 이용해 사용자의 웹 브라우저 취약점을 통해 악성코드를 감염시킨다. 사용자는 누리집에서 파일을 내려받거나 실행하는 등의 행동을 하지 않았음에도 악성코드에 감염되기 때문에 감염을 주의하기도, 감염 사실을 알아차리기 어렵다.
최근에는 이미지 형태의 배너 광고 외에도 동영상 서비스를 이용한 멀터바이징 공격 사례도 종종 발생하고 있다. 동영상 서비스 시 제공되는 광고의 연결 사이트 스크립트를 악용하는 것으로, 사용자가 [사진 5]와 같은 스트리밍 플레이어 영역을 누를 때 팝업 창으로 연결되는 광고 사이트에 악성코드를 삽입해 감염을 유발하는 방식이다.
MDS, V3 등 안랩 제품은 최신 갠드크랩 랜섬웨어 변종을 탐지, 대응하고 있다. V3 제품군에서탐지하는 갠드크랩 랜섬웨어 진단명은 다음과 같다.
<V3 제품군 진단명>
V3(엔진버전-2018.04.23.08): LNK/Starter
V3(엔진버전-2018.04.23.08): LNK/Venuslocker
V3(엔진버전-2018.04.25.00): Trojan/Win32.Gandcrab
V3(엔진버전-2018.04.27.08): Trojan/Win32.Gandcrab
V3(엔진버전-2018.05.03.00): Win-Trojan/Gandcrab.Exp
랜섬웨어는 감염을 피하는 것이 최선….보안 업데이트 적용은 필수
위에서 살펴본 바와 같이 갠드크랩 랜섬웨어를 비롯한 최신 악성코드는 교묘한 방식으로 사용자를 속이고 감염되어 피해를 낳고 있다. 특히 랜섬웨어는 특성 상 일단 감염되면 피해를 입은, 곧 암호화된 파일의 복구는 사실상 불가능하다. 암호화된 파일을 복호화를 하기 위해서는 공격자가 갖고있는 키(개인키)가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일 복구는 불가능하기 때문이다. 사용자의 사전 감염 예방이 강조되는 이유도 이 때문이다.
따라서 갠드크랩 랜섬웨어를 비롯한 악성코드 감염을 예방하기 위해서는 운영체제(OS)와 주요 소프트웨어 프로그램의 최신 보안 업데이트를 적용하고, V3 등 사용 중인 백신의 엔진을 최신 버전으로 유지하고 실시간 감시 기능을 사용하는 것이 중요하다 이와 함께 의심스러운 누리집 접속이나 누리편지를 열어보지 않는 것과 출처가 불분명하거나 불법 콘텐츠 파일을 내려받지 않는 것이 바람직하다.
AhnLab 로고 ASEC대응팀 제공
