이력서나 이미지 도용 항의 메일로 위장…OS·보안 업데이트해야
사진=연합뉴스
사진=연합뉴스
악성 이메일을 이용한 '갠드크랩'(GandCrab) 랜섬웨어가 국내에서 기승을 부리고 있다.

파일 복구 대가로 요구하는 금액은 200만원을 넘어섰다.

일단 감염되면 자체 복구가 어려운 만큼 이용자의 주의가 요구된다.

9일 보안업계에 따르면 올 초 등장한 갠드크랩 랜섬웨어는 주로 이미지 도용에 항의하는 메일로 위장해 유포되다 최근에는 입사지원 메일로 탈바꿈했다.

해당 메일은 채용사이트에 채용공고를 올린 기업의 인사 담당자에게 집중적으로 발송되고 있다.

이 메일은 "경력직 채용공고를 보고 지원했다"며 '.egg' 확장자를 가진 이력서 첨부 파일을 실행하도록 유도한다.

해당 파일을 실행하면 악성코드가 설치돼 PC 내 파일을 암호화한다.

암호화한 파일 뒤에는 갠드크랩 랜섬웨어 고유의 '.CRAB' 확장자명이 추가된다.

해커는 웹 브라우저 '토르'를 통해 파일 복구 대가로 가상화폐 대시(DASH)나 비트코인을 요구한다.

파일 복구비는 지난달 이미지 도용에 항의하는 디자이너를 사칭할 당시 60만원에서 최근에는 200만원까지 올랐다.
한국 맞춤형 '갠드크랩' 랜섬웨어 기승… 파일 몸값 200만원
이메일 외에도 웹페이지 다운로드 방식으로 감염되기도 한다.

보안 패치가 적용되지 않은 기기가 해커가 침투한 웹사이트에 접속하면 랜섬웨어가 자동으로 다운로드되는 방식이다.

스카이프나 카카오톡 등 정상 프로그램을 위장해 압축파일 형태로 유포되기도 한다.

안랩에 따르면 올해 1분기 수집된 랜섬웨어 샘플 중 갠드크랩이 16%로, 매그니베르(Magniber, 62%)에 이어 두 번째로 많았다.

안랩은 "매그니베르 랜섬웨어가 4월 초순께 종적을 감추면서 현재는 갠드크랩의 비중이 가장 크다"며 "갠드크랩은 매그니베르와 달리 더욱 교묘하게 추적을 어렵게 한다"고 설명했다.

보안업계는 2016년 말부터 국내 주요 기관과 기업에 비너스로커(VenusLocker) 랜섬웨어를 유포한 조직이 갠드크랩 랜섬웨어를 유포하는 것으로 보고 있다.
한국 맞춤형 '갠드크랩' 랜섬웨어 기승… 파일 몸값 200만원
이 조직은 유창한 한글 이메일을 사용해 인사 담당자나 디자인 업계 종사자 등 특정 타깃에 메일을 집중적으로 발송하고, 이메일 문장에 마침표를 잘 사용하지 않는 점 등이 특징이다.

이스트시큐리티는 "갠드크랩 랜섬웨어는 현재 3.0 버전까지 업데이트가 이뤄졌고, 지속해서 변종이 제작돼 이용자의 각별한 주의가 필요하다"고 강조했다.

보안업계는 피해를 막으려면 윈도 등 사용 중인 운영체제(OS)와 보안 솔루션을 최신 버전으로 업데이트하고, 출처가 불분명한 메일이나 링크는 실행하지 않는 게 좋다고 당부했다.

/연합뉴스