Home > 전체기사
떠난 줄 알았던 갠드크랩 개발자들, 소디노키비로 활동 시작?
  |  입력 : 2019-07-17 16:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
충분히 돈 벌었다며 은퇴 선언했던 갠드크랩 개발자들의 다른 꿍꿍이?
소디노키비 랜섬웨어, 이들의 두 번째 사업 아이템일 가능성 농후해


[보안뉴스 문가용 기자] 비교적 최근 발견된 랜섬웨어인 소디노키비(Sodinokibi)가 갠드크랩(GandCrab) 랜섬웨어 개발자들이 만든 또 다른 작품임을 나타내는 증거가 계속해서 발굴되고 있다.

[이미지 = iclickart]


지난 달 갠드크랩의 개발자들은 다크웹에서 은퇴를 공식 발표한 바 있다. 그러면서 총 20억 달러의 수익을 올렸다고 주장했다. 그러나 보안 전문가 브라이언 크렙스(Brian Krebs)는 이 말이 사실일 가능성이 낮다고 주장했다. 그는 7월 15일자 블로그를 통해 “갠드크랩 공격자들은 은퇴하는 게 아니라 조직을 재편성 한 것 같다”는 의견을 피력한 것이다.

“갠드크랩 팀은 은퇴하지 않았을 가능성이 높습니다. 그저 팀내 구성원이나 전략을 재편성 했겠죠. 왜냐면 갠드크랩은 이미 보안 전문가와 국가 기관들의 관심을 지나치게 끌고 있던 상태였거든요. 은퇴를 선언함으로써 그런 관심을 떨쳐내려고 했을 겁니다. 그렇게나 돈을 잘 벌고 있던 사람들이 갑자기 ‘충분히 벌었다’고 사라진다? 믿기 힘듭니다.”

소디노키비 혹은 소딘(Sodin), 혹은 레빌(REvil)로 알려진 랜섬웨어가 처음 모습을 드러낸 건 2019년 4월의 일이다. 다른 멀웨어들과 마찬가지로 처음 다크웹 포럼에 나타나 사이버 범죄자들 사이에서 ‘서비스형’으로 대여되기 시작했다. 당시 소디노키비 사업자들은 “대여하면 1만 달러 이상의 수익을 올릴 수 있다”고 광고했다. 개발자들은 첫 3개월 동안 40%, 그 다음부터는 30%의 로열티를 요구했다.

그러나 아무다 소디노키비를 대여할 수 있는 건 아니었다. 크렙스에 따르면 소디노키비 개발자들은 꽤나 까다롭게 사업 파트너를 골랐다고 한다. “기술적으로 어느 정도 수준에 있는 사람만 대여할 수 있었어요. 게다가 소디노키비 개발자들은 대여자 수를 크게 많이 늘리고 싶지 않아 보였습니다. 실제로 ‘사람을 많이 모으고 싶지 않다’는 내용의 글을 개발자가 쓰기도 했었습니다.”

서비스형 랜섬웨어라는 사업 모델을 사용하고 있다는 것만이 갠드크랩과 소디노키비의 닮은 점은 아니다. 시스코의 탈로스(Talos) 팀은 4월 30일자 블로그 게시글을 통해 “소디노키비가 연루된 공격자들이 갠드크랩 5.2 버전을 퍼트리려고 한다”는 사실을 공개한 바 있다. 이 때문에 둘 사이의 연관성에 대한 의심이 시작됐다.

“이미 소디노키비라는 랜섬웨어를 사용하고 있는 공격자들이, 왜 굳이 다른 랜섬웨어를 더 심으려는 것일까요? 상당히 의심스러운 부분입니다.” 당시 시스코 팀은 이런 표현을 보고서에 집어넣었다. “소디노키비 공격으로 충분치 못했다고 느꼈던 것 같습니다. 그 부족함을 보충하려고 익숙한 갠드크랩을 재차 활용한 것으로 보입니다.”

보안 업체 카스퍼스키(Kaspersky)의 경우 “소디노키비 랜섬웨어의 개발자들이 갠드크랩을 많이 참조한 것으로 보인다”는 연구 결과를 독립적으로 발표하기도 했었다. “소디노키비 랜섬웨어 사업자들은 파트너들에게 ‘시리아에 있는 사람들은 공격하지 말라’고 당부하고 있는데요, 이는 갠드크랩 개발자들이 보여주던 모습과 같습니다. 희한한 공통점이죠.”

갠드크랩 개발자들은 2018년 시리아에서 발생한 갠드크랩 피해자들만을 위한 복호화 키를 공개했었다. 한 피해자가 트위터를 통해 “갠드크랩 랜섬웨어에 걸려 죽은 우리 아이들의 사진을 볼 수 없게 됐다”고 밝힌 직후였다. 공격자들은 어나니머스나 여러 핵티비스트들이 그렇듯 시리아 문제에 대해 안타까운 마음을 가지고 있는 것으로 보인다. 그러나 이 복호화 툴 때문에 갠드크랩의 여러 버전들에 대한 복호화 툴이 등장하기도 했다.

여기에 더해 네덜란드의 보안 업체엔 테소리온(Tesorion)은 최근 보고서를 발표하며 “갠드크랩과 소디노키비가 문자열을 구성하는 부분에서나 URL을 생성하는 면에서 꽤나 닮은 구석이 있다”고 주장했다. “물론 코드의 기초는 둘이 크게 다릅니다. 그러나 문자열과 URL을 처리하는 부분에 있어서는 희한할 정도로 닮은 모습을 보여줍니다. 똑같은 건 아니지만요. 또한 파일 이름의 길이를 무작위로 지정하는 부분에서도 비슷한 점이 나옵니다.”

3줄 요약
1. 은퇴한다던 갠드크랩 개발자들, 새로운 랜섬웨어로 사업 시작한 듯.
2. 새로운 랜섬웨어의 이름은 소디노키비. 코드에서 일정 부분 유사한 점이 발견되고, 시리아인 공격 안 하는 점도 닮음.
3. 돈이 그렇게 잘 벌리는데 갑자기 떠난다는 게 애초에 말이 안 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)