Home > 전체기사
떠난 줄 알았던 갠드크랩 개발자들, 소디노키비로 활동 시작?
  |  입력 : 2019-07-17 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
충분히 돈 벌었다며 은퇴 선언했던 갠드크랩 개발자들의 다른 꿍꿍이?
소디노키비 랜섬웨어, 이들의 두 번째 사업 아이템일 가능성 농후해


[보안뉴스 문가용 기자] 비교적 최근 발견된 랜섬웨어인 소디노키비(Sodinokibi)가 갠드크랩(GandCrab) 랜섬웨어 개발자들이 만든 또 다른 작품임을 나타내는 증거가 계속해서 발굴되고 있다.

[이미지 = iclickart]


지난 달 갠드크랩의 개발자들은 다크웹에서 은퇴를 공식 발표한 바 있다. 그러면서 총 20억 달러의 수익을 올렸다고 주장했다. 그러나 보안 전문가 브라이언 크렙스(Brian Krebs)는 이 말이 사실일 가능성이 낮다고 주장했다. 그는 7월 15일자 블로그를 통해 “갠드크랩 공격자들은 은퇴하는 게 아니라 조직을 재편성 한 것 같다”는 의견을 피력한 것이다.

“갠드크랩 팀은 은퇴하지 않았을 가능성이 높습니다. 그저 팀내 구성원이나 전략을 재편성 했겠죠. 왜냐면 갠드크랩은 이미 보안 전문가와 국가 기관들의 관심을 지나치게 끌고 있던 상태였거든요. 은퇴를 선언함으로써 그런 관심을 떨쳐내려고 했을 겁니다. 그렇게나 돈을 잘 벌고 있던 사람들이 갑자기 ‘충분히 벌었다’고 사라진다? 믿기 힘듭니다.”

소디노키비 혹은 소딘(Sodin), 혹은 레빌(REvil)로 알려진 랜섬웨어가 처음 모습을 드러낸 건 2019년 4월의 일이다. 다른 멀웨어들과 마찬가지로 처음 다크웹 포럼에 나타나 사이버 범죄자들 사이에서 ‘서비스형’으로 대여되기 시작했다. 당시 소디노키비 사업자들은 “대여하면 1만 달러 이상의 수익을 올릴 수 있다”고 광고했다. 개발자들은 첫 3개월 동안 40%, 그 다음부터는 30%의 로열티를 요구했다.

그러나 아무다 소디노키비를 대여할 수 있는 건 아니었다. 크렙스에 따르면 소디노키비 개발자들은 꽤나 까다롭게 사업 파트너를 골랐다고 한다. “기술적으로 어느 정도 수준에 있는 사람만 대여할 수 있었어요. 게다가 소디노키비 개발자들은 대여자 수를 크게 많이 늘리고 싶지 않아 보였습니다. 실제로 ‘사람을 많이 모으고 싶지 않다’는 내용의 글을 개발자가 쓰기도 했었습니다.”

서비스형 랜섬웨어라는 사업 모델을 사용하고 있다는 것만이 갠드크랩과 소디노키비의 닮은 점은 아니다. 시스코의 탈로스(Talos) 팀은 4월 30일자 블로그 게시글을 통해 “소디노키비가 연루된 공격자들이 갠드크랩 5.2 버전을 퍼트리려고 한다”는 사실을 공개한 바 있다. 이 때문에 둘 사이의 연관성에 대한 의심이 시작됐다.

“이미 소디노키비라는 랜섬웨어를 사용하고 있는 공격자들이, 왜 굳이 다른 랜섬웨어를 더 심으려는 것일까요? 상당히 의심스러운 부분입니다.” 당시 시스코 팀은 이런 표현을 보고서에 집어넣었다. “소디노키비 공격으로 충분치 못했다고 느꼈던 것 같습니다. 그 부족함을 보충하려고 익숙한 갠드크랩을 재차 활용한 것으로 보입니다.”

보안 업체 카스퍼스키(Kaspersky)의 경우 “소디노키비 랜섬웨어의 개발자들이 갠드크랩을 많이 참조한 것으로 보인다”는 연구 결과를 독립적으로 발표하기도 했었다. “소디노키비 랜섬웨어 사업자들은 파트너들에게 ‘시리아에 있는 사람들은 공격하지 말라’고 당부하고 있는데요, 이는 갠드크랩 개발자들이 보여주던 모습과 같습니다. 희한한 공통점이죠.”

갠드크랩 개발자들은 2018년 시리아에서 발생한 갠드크랩 피해자들만을 위한 복호화 키를 공개했었다. 한 피해자가 트위터를 통해 “갠드크랩 랜섬웨어에 걸려 죽은 우리 아이들의 사진을 볼 수 없게 됐다”고 밝힌 직후였다. 공격자들은 어나니머스나 여러 핵티비스트들이 그렇듯 시리아 문제에 대해 안타까운 마음을 가지고 있는 것으로 보인다. 그러나 이 복호화 툴 때문에 갠드크랩의 여러 버전들에 대한 복호화 툴이 등장하기도 했다.

여기에 더해 네덜란드의 보안 업체엔 테소리온(Tesorion)은 최근 보고서를 발표하며 “갠드크랩과 소디노키비가 문자열을 구성하는 부분에서나 URL을 생성하는 면에서 꽤나 닮은 구석이 있다”고 주장했다. “물론 코드의 기초는 둘이 크게 다릅니다. 그러나 문자열과 URL을 처리하는 부분에 있어서는 희한할 정도로 닮은 모습을 보여줍니다. 똑같은 건 아니지만요. 또한 파일 이름의 길이를 무작위로 지정하는 부분에서도 비슷한 점이 나옵니다.”

3줄 요약
1. 은퇴한다던 갠드크랩 개발자들, 새로운 랜섬웨어로 사업 시작한 듯.
2. 새로운 랜섬웨어의 이름은 소디노키비. 코드에서 일정 부분 유사한 점이 발견되고, 시리아인 공격 안 하는 점도 닮음.
3. 돈이 그렇게 잘 벌리는데 갑자기 떠난다는 게 애초에 말이 안 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향