[공감신문] 올해 초 국내에서 등장한 ‘갠드크랩(GandCran)’ 랜섬웨어가 여전히 무차별 유포되고 있다. 피해자들은 데이터 복구를 위해 복구업체를 찾았지만, 이를 빌미로 과도한 수수료를 요구하는 경우가 많아 문제가 되고 있다. 

18일 보안업계는 갠드크랩 랜섬웨어가 등장한 이후 빠르게 변종을 만들어 내 피해자를 양산하고 있다고 설명했다.

랜섬웨어 유포자는 악성코드가 담긴 이메일을 통해 이용자의 PC를 공격하며, 파일 복구를 대가로 가상화폐를 요구하고 있다. 

초반에는 이미지 도용에 항의하는 메일로 꾸며 발송됐으며, 이후에는 채용사이트에 공고를 올린 회사들을 상대로 입사지원서로 위장한 메일을 유포했다. 그리고 최근에는 유명 택배 회사를 사칭한 메일로 변모했다. 

유포자가 데이터를 복구하는 대가로 요구하는 비용은 60만원에서 최고 200만원에 달했으며, 이틀이 지나면 요구액은 두 배로 올랐다. 

갠드크랩의 피해자가 늘어나자 데이터 복구업체들은 대목을 맞은 셈이 됐다. 상당수 업체들은 ‘갠드크랩 랜섬웨어 복구법’이라는 홍보를 활발히 하고 있었다.

하지만 이 복구업체의 대부분은 해커와 거래를 대행해주는 업체이며, 자체적으로 데이터를 복구해주는 업체는 거의 없다고 봐도 무방하다. 실제로 해커에게 암호화된 파일을 풀 암호, 즉 키(Key)를 받아 복구해주는 방식인 것.

아울러 사설 복구업체들은 ‘센터’나 ‘위원회’, ‘연구소’ 같은 명칭을 사용해 피해자들을 현혹하고 있었다. 인터넷에 ‘랜섬웨어’라고 검색하기만 해도 이러한 명칭을 내세운 업체들이 줄이어 나온다. 

일부 복구업체들은 50%에 달하는 수수료를 요구하거나, 데이터 복구 전 선입금을 요구하고 있었다. 해커에게 요구받은 금액이 65만원이라면, 선입금과 수수료를 포함해 90만원을 요구하는 것이다. 

여기서 문제는 복구업체가 해커에게 주는 비용이 피해자에게 고지한 비용보다 적을 수 있다는 점이다. 

실제로 갠드크랩 랜섬웨어 유포자는 복구업체가 요청할 경우, 복구비 일부를 할인해주는 것으로 알려졌다. 해커에게는 복구업체가 일종의 ‘고객’인 만큼, 할인을 제공하겠다는 얘기다. 

이와 관련해 보안업계 관계자는 “가령 해커가 피해자에게 60만원을 요구했다면, 데이터 복구업체는 이보다 적은 40~50만원만 받는다”며 “복구업체 입장에서는 그만큼 추가 이익을 얻는 셈이지만 피해자에게 이런 사실을 거의 알리지 않는다”라고 설명했다. 

갠드크랩 랜섬웨어는 유창한 한글을 사용해 인사 담당자, 택배 고객 등 타깃에 메일을 집중적으로 발송하고, 문장에 마침표를 잘 사용하지 않는다는 특징을 가졌다.

보안업계는 지난 2016년 말부터 국내 주요 기관과 기업에 비너스로커(VenusLocker) 랜섬웨어를 유포한 조직이 갠드크랩을 유포하는 것이라 추정 중이다. 

전문가들은 랜섬웨어의 특성상 일단 감염되면 해커에게 돈을 주지 않고는 복구가 힘들다고 말하고 있다. 이에 PC 이용 시 각별한 주의가 요구된다.  

이용자들은 피해를 막기 위해 윈도 등 사용 중인 운영체제(OS)와 보안 솔루션을 최신 버전으로 업데이트하고, 출처가 불분명한 메일이나 링크는 실행하지 않아야 한다. 특히 첨부파일을 열기 전에는 이중 확장명을 가졌는지 꼭 확인하는 단계가 필요하다.