[CCTV뉴스=이승윤 기자] 올해 글로벌적으로 암호화폐 채굴 악성코드가 많이 발생하면서 랜섬웨어 공격이 사라졌다고 인식할 수 있지만 랜섬웨어 공격은 여전히 기승을 부리고 있다. 특히 세금 납부, 유명 취업사이트 채용공고 지원, 통지서 등의 사칭메일을 보내 사용자가첨부파일 실행 시 랜섬웨어에 감염시키는 ‘갠드크랩’ 랜섬웨어가 확산되고 있다.

수산아이앤티(이하 수산INT)는 2017년 10월 초에 최초로 유포된 이래 올해 4월에 V2, 5월에 V3이 발견됐던 ‘갠드크랩’의 새로운 변종 V4가 발견돼 사용자의 주의가 필요해지고 있다고 3일 밝혔다.

수산아이앤티 CERT팀의 분석에 따르면 이번 갠드크랩 V4는 기존 갠드크랩 V3처럼 드라이브 바이 다운로드(Drive-by Download) 방식으로 유포되고 있지만, 기존 갠드크랩의 특징이던 .CRAB 확장자가 .KRAB로 바뀌어 일반 보안 솔루션의 시그니처 탐지기술을 우회할 수 있다. 따라서 현재까지 국내 보안 솔루션 다수가 이 신종 갠드크랩을 탐지하지 못하고 있는 것으로 확인됐다.

갠드크랩 V4 암호화된 파일인 KRAB 확장자 확인 출처 수산아이앤티

 빠른 속도로 변종이 나타나고 있는 갠드크랩은 사용자의 데이터를 암호화 하고 금전을 요구하는 랜섬웨어의 종류로 특정 제작자가 존재하지 않고 누구나 제작에 참여하고 서비스화하여 유포할 수 있는 서비스형 랜섬웨어라는 점이 특징이다.

갠드크랩 유포방식 출처 수산아이앤티

수산INT는 이와 같은 신종 랜섬웨어 예방을 위해 일반 사용자가 취할 수 있는 조치는 ‘악성 메일 조심하기’, ‘사이트 접속 주의하기’, ‘폴더의 확장자 숨김처리 해제하기’ 등이 있다고 설명했다. 하지만 보다 강한 보안이 요구되는 기업과 조직은 신변종 악성코드가 빠르게 제작되고, 확산되는 사이버 보안 위협 상황에 맞춰 기존 시그니처 탐지 방식의 백신 프로그램보다 더 깊은 보안 방식을 도입할 필요가 있다고 전했다.  

수산아이앤티의 eReD Hypervisor Security(이하 eReD, 이레드)는 국내 최초로 VMI기술을 적용한 데이터 보호 솔루션으로 화이트리스트 기반의 실행제어를 통해 취약점을 노린 신종 악성코드라 할지라도 공격이 무력화 되어 중요 데이터를 보호할 수 있다.

수산아이앤티 CERT팀은 지난 번 갠드크랩 V3에 이어 이번 신변종 갠드크랩 V4도 eReD 내에서 공격이 무력화 되는 것을 확인 했다고 밝혔다.

#수산INT#랜섬웨어#갠드크랩