새로운 내용으로 유포되는 갠드크랩 5.2 랜섬웨어...‘대한민국 국세법’ 내용으로 첨부파일 확인 유도

[보안뉴스 원병철 기자] ‘대한민국 국세법’을 인용한 새로운 유포방식의 갠드크랩 랜섬웨어가 발견됐다. 이번에 확인된 랜섬웨어가 지난 2월부터 대한민국에 지속적으로 유포됐던 경찰청, 헌법재판소 등을 사칭하는 메일과 동일한 형태의 공격파일을 사용하는 갠드크랩 5.2버전으로 드러났다.


수산아이앤티(대표 이성권) CERT팀에 따르면 이번 공격은 대한민국 정부를 사칭하고 있으며, 특히 국세법을 어겼다며 국세청 출두를 요구학 있다. 특히, 첨부파일로 국세검사문서.rar 파일을 첨부해 피해자가 이를 열어보면 갠드크랩 랜섬웨어에 감염된다.

최근 한국을 표적으로 한 랜섬웨어 공격이 급증하고 있다. 개인보다 중소기업 등을 겨냥해 회사 메일로 경찰청, 한국은행, 지방경찰청 등 정부기관을 사칭한 출석 통보 메일을 보내는 형태라고 수산아이앤티 측은 설명했다. 특히, 정부기관 사칭 외 이력서 및 사업관련 정보제공에 대한 제목과 내용으로 공격하는 등 표적공격도 증가하고 있어 회사에서 이메일 확인 시 각별한 주의가 필요하다고 강조했다. 아울러 기존에 배포된 랜섬웨어 이메일의 확장자나 비슷한 모양의 아이콘을 확인하는 습관이 필요하다고 조언했다.

또한, 최근 공격은 빠른 속도로 변종이 나타나고 있는 갠드크랩은 특정 제작자가 존재하지 않고 누구나 제작에 참여하고 서비스화해 유포할 수 있는 서비스형 랜섬웨어라는 점이 특징이다. 구매에서부터 유포까지 서비스 형태로 제공받을 수 있는 갠드크랩은 이러한 이유로 일반인도 서비스를 이용하여 랜섬웨어 공격을 쉽게 감행할 수 있다.

이와 같은 신종 랜섬웨어 예방을 위해 일반 사용자가 취할 수 있는 조치는 ‘악성 메일 조심하기’, ‘사이트 접속 주의하기’, ‘폴더의 확장자 숨김처리 해제하기’ 등이 있다. 하지만 보다 강한 보안이 요구되는 기업과 조직은 신변종 악성코드가 빠르게 제작되고, 확산되는 사이버 보안 위협 상황에 맞춰 기존 시그니처 탐지 방식의 백신 프로그램보다 더 깊은 보안 방식을 도입할 필요가 있다고 수산아이앤티는 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>