최근 인터넷을 통해 유포 중인 공정거래위원회(이하 공정위) 사칭 갠드크랩 랜섬웨어(이하 갠드크랩)에 들어있는 문구다. ‘전자상거래 위반행위 관련 조사통지서’라는 제목으로 확산 중인 이메일은 악성코드를 포함한 첨부파일을 클릭하도록 유도한다.
메일 수신자가 공정위에서 보낸 문서를 확인하기 위해 압축파일을 해제하고 문서를 실행하면 즉시 갠드크랩에 감염된다. 이용자가 쉽게 속을 수 있어 피해가 적지 않다.
올해 1월 최초로 발견된 갠드크랩은 현재 4.2버전까지 진화를 거듭했다. 갠드크랩에 감염되면 PC의 주요 파일이 암호화된다. 공격자에게 인질로 붙잡히는 셈이다. 공격자는 이 파일을 복구하는 대가로 금전을 요구한다.
◆한글 갠드크랩 감염확률↑
갠드크랩은 지난 6월 보안업체 안랩의 적극적인 대응으로 최대 감염건수(10만9271대)를 기록한 5월 대비 약 7만3000여건 줄어든 3만6345건을 기록했다. 당시만 해도 갠드크랩은 다른 악성코드와 마찬가지로 서서히 사라질 것으로 예상됐다. 하지만 이달들어 공정위를 사칭한 갠드크랩이 유포되면서 그 세가 다시 확대될 조짐을 보인다.
통상 갠드크랩은 영어를 비롯한 외국어로 유포된다. 과거에는 적절한 패치만으로도 예방이 가능했으나 한글로 유포된 비너스락커 조직이 유포한 한글판 갠드크랩의 경우 국내 사용자가 쉽게 감염될 수 있다. 사람의 심리를 악용한 유포방식이면서 사용자가 직접 파일을 실행하는 형태라 일반적인 소프트웨어 패치도 소용없다.
보안전문가들은 “비너스락커 유포자가 배포한 갠드크랩의 경우 사용자가 열어볼 수 밖에 없는 제목의 메일을 보낸다”며 “랜섬웨어에 감염되면 복호화가 완벽하게 진행되지 않는 경우가 많다. 예방을 최우선 목표로 삼아야 한다”고 말했다.
◆변종·감염방식 다양
갠드크랩이 무서운 점은 꾸준한 새로운 버전의 등장이다. 갠드크랩은 ▲1월 1.0버전 최초발견 ▲4월 2.0버전 ▲5월 3.0버전 ▲7월 4.0버전까지 빠르게 변종을 생산했다.
초기 이력서, 요금고지서 등의 모습으로 유포되던 갠드크랩은 웹사이트를 통한 자동 다운로드, 취약점 이용방식 등으로 진화했다. 최근 4.2버전에서는 가상환경에서 파일을 분석하지 못하도록 막는 '안티 VM 기능'까지 추가됐다.
이처럼 빠르고 다양한 변종 생산이 가능한 이유는 갠드크랩이 돈을 주고 구입할 수 있는 서비스형 랜섬웨어이기 때문이다.
보안업계 관계자는 “갠드크랩은 배포자가 한정되지 않았다는 특징이 있다”며 “악성코드 제작자가 직접 유포하는 과거 방식과 크게 다르기 때문에 완벽하게 차단하고 제거하는데 어려움이 있다”고 말했다. 그는 이어 “보안업체와 갠드크랩의 쫓고 쫓기는 싸움이 당분간 지속될 것”이라고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>