11.15
뉴스홈 > 보안/해킹
‘갠드크랩 v4’ 출현…진화하는 서비스형 랜섬웨어 주의수산아이앤티, ‘갠드크랩 v3’ 발견된 후 2개월 만에 신종 발견

   
 
[아이티데일리] 최근 ‘갠드크랩 v4’가 발견돼 기업 보안담당자 및 개인사용자의 주의가 요구된다. ‘갠드크랩’은 지난해 10월 초에 최초로 유포된 이래 올해 4월에 v2, 5월에 v3이 발견되는 등 신변종 제작 기간이 가속화되고 있는 것으로 나타났다.

3일 수산아이앤티(대표 이성권)는 자사 침해사고대응팀(CERT)가 ‘갠드크랩 v4’를 발견했다고 밝혔다. 수산아이앤티 CERT팀의 분석에 따르면, ‘갠드크랩 v4’는 기존 ‘갠드크랩 v3’처럼 드라이브 바이 다운로드(Drive-by Download) 방식으로 유포되고 있다. 하지만 기존 갠드크랩의 .CRAB 확장자가 .KRAB로 바뀌어 일반 보안 솔루션의 시그니처 탐지기술을 우회할 수 있는 것으로 나타났다.

빠른 속도로 변종이 나타나고 있는 ‘갠드크랩’은 사용자의 데이터를 암호화하고 금전을 요구하는 랜섬웨어의 한 종류다. 특정 제작자가 존재하지 않으며 누구나 제작에 참여하고 서비스화해 유포할 수 있는 서비스형 랜섬웨어(Ransomware as a Service)라는 점이 특징이다.

해외 보안 전문 매거진 ‘SC매거진’은 지난 2월, 다크웹에서 러시아어로 된 갠드크랩 판매 광고 문구가 발견됐다고 보도했다. 보도에 따르면 갠드크랩에서 얻은 이익은 판매자와 구매자가 4:6으로 나누는 것으로 확인됐다.

구매에서부터 유포까지 서비스 형태로 제공받을 수 있는 갠드크랩은 일반인도 서비스를 이용해 랜섬웨어 공격을 감행할 수 있다. 그만큼 다양한 형태로 변종될 수 있다는 것이다.

이와 같은 신종 랜섬웨어 예방을 위해 일반 사용자가 취할 수 있는 조치는 ‘악성 메일 조심하기’, ‘사이트 접속 주의하기’, ‘폴더의 확장자 숨김처리 해제하기’ 등이 있다. 하지만 보다 강한 보안이 요구되는 기업과 조직은 신변종 악성코드가 빠르게 제작·확산되는 사이버 보안 위협 상황에 맞춰 기존 시그니처 탐지 방식의 백신 프로그램과 다른 보안 방식을 도입할 필요가 있다는 게 수산아이앤티 측 설명이다.

수산아이앤티 CERT팀 관계자는 “수산아이앤티의 ‘이레드 하이퍼바이저 시큐리티(eReD Hypervisor Security)’는 VMI기술을 적용한 데이터 보호 솔루션으로 화이트리스트 기반의 실행제어를 통해 취약점을 노린 신종 악성코드라 할지라도 공격이 무력화돼 중요 데이터를 보호할 수 있다”며, “지난 번 갠드크랩 v3에 이어 이번 신변종 갠드크랩 v4도 ‘이레드’ 내에서 공격이 무력화 되는 것을 확인했다”고 말했다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오