/사진=이스트시큐리티

한국을 목표로 하는 신규 랜섬웨어 공격집단이 포착됐다.

12일 이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 국내 기업·기관을 대상으로 갠드크랩 랜섬웨어를 유포하는 새로운 공격집단이 등장했다. 이 집단은 지난달부터 경찰청, 한국은행, 지마켓, 헌법재판소 등으로 위장해 갠드크랩 악성코드가 담긴 이메일을 유포 중이다.

이번에 등장한 공격집단은 지난해부터 악성코드 메일을 유포한 집단 ‘비너스락커’와 다른 새로운 공격집단으로 추정된다. 이 조직은 한국어 표현이 부자연스럽고 공격방식도 기존과 다르다. 이를테면 4월13일을 13월4일이라 표현하고 ‘스스로 보호인을 초대한다’는 어색한 표현이 등장한다.공격 방식은 악성코드를 담은 압축파일(rar)에 비밀번호를 걸어 보안프로그램 탐지 회피를 시도했다. 압축을 해제하면 악성코드 실행파일(exe)과 문서파일(doc)이 등장해 사용자를 속이는 방식이다.

이스트시큐리티 측은 이번 악성코드의 내용을 분석한 결과 명령제어(C2) 서버 위치 등으로 미뤄 중국 또는 러시아에서 활동하는 조직일 가능성이 있다고 설명했다.

문종현 ESRC 센터장은 “여러 랜섬웨어 가운데 RaaS(서비스형 랜섬웨어) 방식을 사용하는 갠드크랩이 인기인 이유는 빠른 업데이트가 가능하기 때문”이라며 “공격자는 RaaS 방식을 다크웹 등에서 구입해 사용한다. 비용이 발생하는데도 국내를 노리는 이유는 그만큼 국내에서 랜섬웨어 피해가 많이 발생하기 때문”이라고 말했다.