세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
랜섬웨어 유포·관리 쥐락펴락! ‘갠드크랩’ 공격주체 누구?
  |  입력 : 2018-05-15 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이번엔 한진 택배 사칭 메일로 egg 압축파일에 첨부돼 유포
공격자가 감염상황 한 눈에 파악할 수 있는 관리화면 등도 발견
해외 보안업체 1곳에선 북한 의심... 국내 전문가들은 신중 모드


[보안뉴스 김경애 기자] 최근 우리나라를 가장 많이 괴롭히고 있는 ‘갠드크랩(GandCrab)’ 랜섬웨어가 이번엔 한진 택배를 사칭해 집중 유포된 정황이 포착됐다. 더욱이 갠드크랩 랜섬웨어 유포범의 경우 랜섬웨어를 메일로 유포하기 위해 특정 호스팅 컨트롤 패널을 사용하고 있는 것으로 드러나 공격주체에 대해서도 관심이 높아지고 있다.

▲한진택배 사칭한 갠드크랩 랜섬웨어 유포 메일 화면[이미지=이스트시큐리티]


이스트시큐리티 알약 블로그는 “2018년 5월 14일 한국의 유명 택배회사의 배송팀으로 위장된 이메일로 갠드크랩 랜섬웨어 변종이 유포되고 있다”며 주의를 당부했다.

갠드크랩 랜섬웨어가 포함된 악성메일을 살펴보면 마치 실제 택배 배송관련 안내 메일처럼 교묘하게 만들어졌으며, 해당 메일에는 ‘한진택배.egg’ 압축 파일이, 내부에는 ‘배송장_386572.doc’, ‘영수증_386572.doc’ 등 MS Word 파일이 첨부돼 있다.

▲공격주체를 북한으로 추정하는 해외 보안업체의 갠드크랩 보고서 도표[이미지=보안뉴스 입수]


이처럼 갠드크랩 랜섬웨어가 저작권 위반, 교통범칙금, 택배 등을 사칭하면서 광범위하게 뿌려지고 있다. 이러한 가운데 공격주체에 대한 윤곽이 잡히지 않은 상황이라 누가 해당 랜섬웨어를 제작·유포하고 있는지에 대해서도 관심이 뜨겁다.

이와 관련 한 보안전문가는 “갠드크랩 랜섬웨어 이메일 발신 도메인 서버는 대부분 특정 호스팅 컨트롤 패널을 사용하고 있다”고 분석했다.

또한, 그는 “갠드크랩 랜섬웨어 유포 해커가 악성코드 감염 상황을 한 눈에 파악할 수 있는 웹서버 관리화면도 발견됐다”며 “갠드크랩 랜섬웨어는 서비스형 랜섬웨어 형태인 RaaS(Ransomware as a Service)로 해커 측에 랜섬웨어 유포와 관리를 쉽게 하기 위한 관리 웹 서비스가 제공된다. 해커는 인터페이스를 통해 갠드크랩 랜섬웨어를 쉽게 관리한다. 아마도 국내에 이력서, 이미지 도용 등을 사칭해 유포하는 갠드크랩 랜섬웨어도 특정 해커에 의해 관리되고 있는 것으로 보인다”고 추측했다.

이러한 가운데 해외 보안업체 중 1곳은 갠드크랩 랜섬웨어 유포주체로 북한을 의심하고 있다. 특정 업체에서 발표한 분석보고서를 통해서인데, 해당 보고서는 인공지능 플랫폼을 활용해 국가간 랜섬웨어를 분석하고 있다. 국가 차원에서 재정적 또는 파괴적 목적으로 랜섬웨어를 사용했거나 파괴적인 악성 소프트웨어를 랜섬웨어로 위장한 캠페인을 주로 분석됐다. 이 가운데 북한처럼 대체 수입원을 모색하고 있는 국가나 러시아처럼 반대편을 무력화할 수단으로 해당 랜섬웨어가 유포된 것으로 판단하고 있다.

하지만 국내 보안전문가들은 명확한 근거가 없다는 점과 북한 추정 사이버 공격과 비교했을 때 일치되는 점이 적다며 신중한 의견을 보였다.

이와 관련 한 보안전문가는 “한국을 타깃으로 1년 넘게 지속적으로 공격하고 있다”며 “지속적으로 공격할 수 있다는 것은 공격자들의 수준이 상당하다는 얘기다. 하지만 지금까지 분석된 악성코드, IP 등 공격주체를 유추할 수 있는 단서들과 매칭되는 부분이 적어 북한을 의심하긴 힘들며, 공격자 추적도 쉽지 않은 상태다. 이에 보안전문가들이 보다 적극적으로 실체 파악에 나서야 한다”고 밝혔다.

또 다른 보안전문가는 “갠드크랩은 RaaS 방식으로 러시아에서 만들어서 팔고 있고, 전 세계 모든 해커들이 그걸 구매해서 쓰기 때문에 특정 국가를 지목하기 어렵다”며 “많은 공격자들이 갠드크랩을 사용하기 있어 특정 국가만의 공격으로는 볼 수 없고, 특정 국가도 갠드크랩 랜섬웨어를 사용한다 정도만 유추할 수 있다. 비너스락커 조직의 경우 북한으로 의심되기는 하지만 아직 확실한 증거가 발견된 건 아니”라고 분석했다.

한국인터넷진흥원 관계자 역시 “지금까지 여러 공격사례들을 종합적으로 분석했는데도 아직 공격주체의 윤곽이 잡히지 않은 상태”라며 “더욱이 갠드크랩은 국내 뿐만 아니라 해외에서도 광범위하게 유포되고 있어 해외에서도 예의주시하고 있는 상황”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술