안랩은 15일 웹사이트 광고로 유포돼 사용자 정보를 탈취하고 감염 PC에 랜섬웨어를 실행하는 '비다르'(Vidar) 악성코드 유포 사례를 최근 발견했다며 사용자 주의를 당부했다.비다르 악성코드 유포에는 정상 광고 서비스를 악용해 악성코드를 유포, 감염시키는 멀버타이징 기법이 이용됐다.사용자가 악성 광고가 포함된 불법 성인사이트, 토렌트 사이트 등에 접속하면 공격자가 악성코드 제작·유포 도구인 '폴아웃 익스플로잇 킷'으로 사용자의 접속 환경을 분석해 인터넷 익스플로러의 취약점 보안패치가 되지 않은 경우 비다르 악성코드를 설치하는 방식이다.감염 이후 비다르 악성코드는 사용자 PC의 모든 웹 브라우저 프로그램을 탐색해 아이디, 패스워드 등 웹사이트 계정 데이터를 수집하고, 운영체제 정보, 네트워크 연결정보, 하드웨어 정보 등 시스템 정보를 공격자에게 전송한다.사용자 정보탈취 후에는 '갠드크랩'(GandCrab) 랜섬웨어를 감염시켜 사용자 PC 내 주요 파일을 암호화한 뒤 대가를 안내하는 문구를 띄운다.피해를 예방하기 위해서는 운영체제(OS)와 프로그램의 최신 버전 유지, 보안 패치 적용, 보안이 확실하지 않은 웹사이트 방문자제, 백신 프로그램 최신버전 유지, 실시간 검사 실행 등을 실행해야 한다고 안랩을 권고했다./연합뉴스
“내가 발견한 보안 구멍이 몇 년간 안랩의 오점으로 남을 것이다.”러시아인으로 추정되는 해커가 국내 보안업체 안랩을 상대로 ‘해킹 전쟁’을 선포했다. 안랩의 랜섬웨어 킬스위치(암호화 차단 도구)로 피해 규모가 줄어들자 데이터 ‘몸값’으로 받는 가상화폐 수익도 덩달아 줄어든 탓이다.지난 3일 미국 사이버보안 전문매체 블리핑컴퓨터는 랜섬웨어 ‘갠드크랩’ 제작자와의 이메일 인터뷰를 공개했다. 갠드크랩은 올해 초부터 국내에서 기승을 부리고 있는 랜섬웨어다. ‘크랩(게)’이라는 가명을 쓴 이 해커는 “안랩이 내 랜섬웨어를 쓸모없게 만들었다”며 “새 버전에서 V3(안랩의 보안 프로그램)를 공격하는 코드를 삽입해 보복할 것”이라고 밝혔다. 크랩은 자신이 공격할 취약점을 블리핑컴퓨터에 알려주기도 했다. ‘막을 테면 막아보라’는 자신감을 드러낸 것이다.크랩의 도발은 허풍이 아니었다. 최근 발견된 갠드크랩 4.3 버전에서 V3를 노린 악성코드가 다수 포함됐다. 블리핑컴퓨터에 따르면 이 악성코드는 V3 프로그램의 과부하를 일으키는 서비스거부(DoS) 공격을 일으켜 강제 종료를 유발한다. 최악의 경우 PC 전체가 다운될지도 모른다는 분석이다.안랩은 대응책을 갖췄기 때문에 큰 문제가 되지 않을 것이라고 밝혔다. 안랩 관계자는 “공격 코드가 발견된 것은 사실이나 이미 대응 태세를 마련했다”며 “공격 코드 자체를 해결하는 패치도 곧 내놓을 예정”이라고 말했다.안랩은 지난 4월과 7월 두 차례 갠드크랩을 퇴치하는 킬스위치를 배포했다. 지난달 초 발견된 갠드크랩 4.1.2 버전은 20일도 채 지나지 않아 무력화됐다.보안업계는 해커의 공개적 공격을 보기 드문 일로 평가했다. 해커가 공격할 대상 이름을 은밀히 악성코드 내부에 삽입하는 것은 흔한 편이나 언론을 섭외해 공격을 예고하는 일은 흔치 않아서다.보안업계 관계자는 “최근 해커들의 주 수익원은 가상화폐”라며 “안랩이 신속하게 랜섬웨어 대응책을 내놓자 수익이 줄어 상당히 분노했을 것”이라고 말했다.배태웅 기자 btu104@hankyung.com
이력서나 이미지 도용 항의 메일로 위장…OS·보안 업데이트해야악성 이메일을 이용한 '갠드크랩'(GandCrab) 랜섬웨어가 국내에서 기승을 부리고 있다.파일 복구 대가로 요구하는 금액은 200만원을 넘어섰다.일단 감염되면 자체 복구가 어려운 만큼 이용자의 주의가 요구된다.9일 보안업계에 따르면 올 초 등장한 갠드크랩 랜섬웨어는 주로 이미지 도용에 항의하는 메일로 위장해 유포되다 최근에는 입사지원 메일로 탈바꿈했다.해당 메일은 채용사이트에 채용공고를 올린 기업의 인사 담당자에게 집중적으로 발송되고 있다.이 메일은 "경력직 채용공고를 보고 지원했다"며 '.egg' 확장자를 가진 이력서 첨부 파일을 실행하도록 유도한다.해당 파일을 실행하면 악성코드가 설치돼 PC 내 파일을 암호화한다.암호화한 파일 뒤에는 갠드크랩 랜섬웨어 고유의 '.CRAB' 확장자명이 추가된다.해커는 웹 브라우저 '토르'를 통해 파일 복구 대가로 가상화폐 대시(DASH)나 비트코인을 요구한다.파일 복구비는 지난달 이미지 도용에 항의하는 디자이너를 사칭할 당시 60만원에서 최근에는 200만원까지 올랐다.이메일 외에도 웹페이지 다운로드 방식으로 감염되기도 한다.보안 패치가 적용되지 않은 기기가 해커가 침투한 웹사이트에 접속하면 랜섬웨어가 자동으로 다운로드되는 방식이다.스카이프나 카카오톡 등 정상 프로그램을 위장해 압축파일 형태로 유포되기도 한다.안랩에 따르면 올해 1분기 수집된 랜섬웨어 샘플 중 갠드크랩이 16%로, 매그니베르(Magniber, 62%)에 이어 두 번째로 많았다.안랩은 "매그니베르 랜섬웨어가 4월 초순께 종적을 감추면서 현재는 갠드크랩의 비중이 가장 크다"며 "갠드크랩은 매그니베르와 달리 더욱 교묘하게 추적을 어렵게 한다"고 설명했다.보안업계는 2016년 말부터 국내 주요 기관과 기업에 비너스로커(VenusLocker) 랜섬웨어를 유포한 조직이 갠드크랩 랜섬웨어를 유포하는 것으로 보고 있다.이 조직은 유창한 한글 이메일을 사용해 인사 담당자나 디자인 업계 종사자 등 특정 타깃에 메일을 집중적으로 발송하고, 이메일 문장에 마침표를 잘 사용하지 않는 점 등이 특징이다.이스트시큐리티는 "갠드크랩 랜섬웨어는 현재 3.0 버전까지 업데이트가 이뤄졌고, 지속해서 변종이 제작돼 이용자의 각별한 주의가 필요하다"고 강조했다.보안업계는 피해를 막으려면 윈도 등 사용 중인 운영체제(OS)와 보안 솔루션을 최신 버전으로 업데이트하고, 출처가 불분명한 메일이나 링크는 실행하지 않는 게 좋다고 당부했다./연합뉴스
![넷플릭스, 가입자 순증 꺾였다…악재 쏟아진 기술주 [글로벌마켓 A/S]](https://timg.hankyung.com/t/560x0/photo/202404/B20240419072033320.jpg)
