지난해부터 한국을 포함한 세계 PC사용자를 빈번하게 괴롭히던 '갠드크랩(Gandcrab)' 랜섬웨어 제작자가 1개월 내 '제작 중단'을 예고했다.
미국 지디넷은 지난 1일 갠드크랩 랜섬웨어 제작자가 5월말 그의 '서비스형랜섬웨어(RaaS)' 운영을 중단하겠다고 밝혔음을 파악했다고 보도했다. [원문보기 ☞ GandCrab ransomware operation says it's shutting down]
랜섬웨어는 컴퓨터를 감염시켜 시스템을 잠그거나 보관된 데이터를 암호화해 못 쓰게 만들고, 잠금이나 암호화를 풀어주는 대가로 금전을 요구하는 악성코드를 뜻한다. 다만 감염 피해자가 공격자에게 금전을 지불했을 때, 실제로 공격자가 암호화를 풀어줄 것이라는 보장은 없다.
RaaS는 범죄자들이 맞춤형 랜섬웨어 제작을 의뢰할 수 있는 서비스를 지칭한다. 해커는 RaaS를 통해 랜섬웨어 제작을 대행한다. 범죄자는 전문 기술이 없어도 의뢰한 맞춤 랜섬웨어를 사용해 직접 공격을 수행한다. 감염 피해자가 금전을 지불하면, 그걸 범죄자와 해커가 나눠 갖는다.
갠드크랩 제작자의 RaaS는 일종의 온라인 포털 사이트로 운영됐다. 범죄자는 여기에 맞춤 랜섬웨어 제작을 의뢰하고 이메일 스팸이나 익스플로잇킷 공격도구, 이밖에 여러 다른 수단으로 공격을 수행했다. 갠드크랩 제작자 측은 감염 피해자가 지불한 금전 중 '작은 수수료'를 갖고, 랜섬웨어를 유포한 범죄자가 나머지를 가져갔다.
보도는 악성코드 커뮤니티 쪽 익명의 소식통을 인용해, 지난달말 갠드크랩 RaaS 운영자가 1개월 안에 이 서비스를 중단할 계획을 밝혔다고 전했다. 이 내용은 유명 해킹포럼의 공식 글타래로 게재됐다. 이 포럼 웹사이트는 지난해 1월 갠드크랩 RaaS가 처음 운영되기 시작할 때 이를 광고했던 곳이기도 했다.
제작자 측은 그간 활동으로 충분한 돈을 벌었다고 자랑하며, 1개월 안에 은퇴할 계획이라는 언급을 남겼다. 갠드크랩 랜섬웨어 감염 피해자들로부터 지불받은 돈으로 20억달러(약 2조3천694억원) 이상을 벌었고, 그중 맞춤 랜섬웨어 제작자 측은 대략 1년에 1억5천만달러(약 1천777억원), 매주 250만달러(약 30억원)를 벌었다고 덧붙였다. 제작자는 이 돈을 모두 합법적인 현금으로 만들었다고 주장했다.
인용된 미국 지디넷 소식통은 이 메시지가 지난주초 갠드크랩 제작자측 가담자가 RaaS 이용 범죄자들에게 비밀 이메일을 보내 서비스를 중단할 계획이라 예고했던 과정의 마지막 단계였다고 설명했다. 갠드크랩 RaaS 이용 범죄자들은 제작자측으로부터 유포 활동을 감축하고 다음달(6월)까지 현금화하라는 고지를 받았다고 한다.
사이버 공격을 조장하고 큰 수익을 낸 범죄자의 잠적 소식은 그 자체로 달갑지 않은 소식이지만, 이미 갠드크랩 랜섬웨어에 감염된 피해자들에게는 더 불길한 전조일 수 있다. 제작자가 해킹포럼에 남긴 글타래 메시지 가운데 이미 감염당해 파일과 데이터를 잃은 사람들의 복구가 불가능해질 수 있다는 암시가 들어 있기 때문이다.
제작자는 갠드크랩 RaaS를 통해 퍼뜨린 악성코드로 암호화한 파일을 되살릴 때 필요한 '복호화 키(decryption keys)'를 모두 삭제할 계획이라고 밝혔다. 이는 감염 피해자들의 파일 복구를 불가능하게 만드는 일이다.
보도에 따르면 몇몇 보안 연구자들은 당초 악성코드 제작자의 이런 메시지가 감염 피해자를 패닉에 빠뜨려, 서둘러 복호화 키 비용을 지불하도록 유도하려는 책략일 수 있다는 견해를 내놨다. 하지만 이 연구자들은 제작자가 감염 피해자뿐아니라 그 '고객'에 해당하는 RaaS 이용 범죄자들에게도 같은 메시지를 내놨다는 점을 알고 나서 이런 생각을 바꿨다.
과거 다른 제작자가 랜섬웨어 유포 활동을 중지할 땐 드물게나마 이미 감염된 악성코드 감염 피해자에게 데이터를 복구할 수 있는 복호화 키를 무상으로 제공하기도 했다. 테슬라크립트(TeslaCrypt), X데이터(XData), 크라이시스(Crysis), 파일스로커(FilesLocker) 등 랜섬웨어 군집의 피해자들에게 그런 일이 있었다.
갠드크랩 제작자조차 지난해 시리아(Syria) 전쟁 피해를 입은 지역에서 발생한 감염 피해자에게는 복호화 키를 무료로 배포한 전례가 있다.
최근 갠드크랩 랜섬웨어 활동 양상을 통해 제작자 잠적의 전조를 찾을 수 있었다. 랜섬웨어에 시스템을 감염당한 피해자들을 식별하는 서비스 'ID-랜섬웨어'의 제작자 마이클 길레스피(Michael Gillespie)는 지난달 갠드크랩 랜섬웨어 활동이 감소 추세임을 나타내는 그래프를 제시했다. 그래프는 갠드크랩 RaaS 운영 중단 선언 이전부터 활동이 줄어드는 모습을 보여 준다.
갠드크랩 랜섬웨어 군집은 1년 넘는 기간동안 대단히 활발한 랜섬웨어 위협으로 분류됐다. 이메일 스팸과 익스플로잇킷 공격도구를 통해 광범위하게 유포된, 그러면서도 고가치표적 조직(high-profile organizations) 대상 표적공격에까지 동원된 몇 안되는 랜섬웨어에 속했다.
랜섬웨어는 종종 업데이트됐고, 제작 중단을 예고한 현시점에 5.2 버전이 나와 있다.
사이버보안업체 비트디펜더는 1년 이상 기간 중 갠드크랩 복호화 프로그램(GandCrab decryptors)을 세 차례 만들었다. 감염 피해자들이 범죄자에게 복호화 비용을 지불하지 않고 암호화당한 파일을 복구할 수 있게 해주는 프로그램이었다. 그 마지막 배포 시점은 올해 2월이었다. 당시 배포된 버전은 갠드크랩 5.1 버전 감염으로 암호화된 파일을 되살릴 수 있었다. 다만 5.1 버전의 변형 2판과 3판은 해당되지 않았다.
갠드크랩 제작자는 지난해 여름 한국 사이버보안업체 '안랩'을 의식한 공격을 벌이기도 했다. 제작자가 갠드크랩 악성코드에 안랩 백신 프로그램을 공격할 목적으로 프로그램 삭제 스크립트를 삽입하는 식이었다. 당시 안랩이 갠드크랩 랜섬웨어를 차단하는 백신 업데이트를 수차례 내놓은 데 따른 보복이었다. [관련기사 ☞ 안랩, 갠드크랩 랜섬웨어 4.1.2 암호화 차단툴 공개] [관련기사 ☞ 악성코드 제작자의 앙심?…V3 지우려다 거듭 실패]
관련기사
- '헌법재판소 출두'…사법기관 사칭 랜섬웨어 활개2019.06.03
- 오픈소스DB '마이SQL' 노린 랜섬웨어 공격 발생2019.06.03
- 암호화폐 채굴용 랜섬웨어 유포 ↑...비트코인 시세와 비례2019.06.03
- 소닉윌, 지난해 멀웨어 공격 105억건 차단2019.06.03
최근 영국 보안업체 소포스는 마이SQL(MySQL) 데이터베이스를 구동하는 윈도 시스템에서 열려 있는 인터넷 포트를 찾는 사이버범죄조직을 관찰했는데, 이들은 시스템을 갠드크랩으로 감염시키려 시도한 걸로 파악됐다. [관련기사 ☞ 오픈소스DB '마이SQL' 노린 랜섬웨어 공격 발생] 또 지난 2월 원격 IT지원서비스 업체 고객사를 감염시키려던 공격 시도가 있었는데, 갠드크랩을 활용한 가장 위협적인 고가치표적 공격 사례였을 수 있다.
갠드크랩 제작자 측이 예고한대로 1개월 이내에 RaaS 운영을 중단할 경우, 2018년 하반기와 2019년 상반기 랜섬웨어 지형을 장악한 랜섬웨어 위협 중 하나로 남을 전망이다.