[디지털데일리 최민지기자] 갠드크랩 랜섬웨어 변종이 또다시 한국에서 유포되고 있다. 이번에는 소환장으로 위장한 이메일을 통해 사용자들을 겁박하는 방식으로 클릭을 유도하고 있어 주의가 필요하다.

4일 이스트시큐리티에 따르면 이날 새벽 6시경 사이버공격자는 불특정 다수에게 유창한 한국어로 작성된 소환장 통지문 이메일을 보냈다. 기존과 다르게 파일을 첨부하지 않고, 본문 내 링크를 클릭하도록 했다. 최대한 사용자들의 접근을 용이하게 한 것이다.

사용자가 이메일을 열면 “귀하는 고소를 당했습니다”라는 문장으로 시작하는 소환장을 보게 된다.

본문에는 “이 통지서를 받은 후 법원에 답변을 제출하고, 다른 당사자에게 사본을 제공하거나 법원에서 다른 법적 조치를 취할 수 있는 기간이 11일 남았다”며 “허용된 시간 내에 회신을 보내지 않거나 다른 조치를 취하지 않을 경우, 고소장에서 요구된 구제책을 위해 귀하에 대한 심판이 진행될 수 있다”고 사용자들을 위협하고 있다.

‘여기서 소환 공지 다운로드’라는 부분을 클릭하게 되면 워드(doc) 문서를 내려받게 된다. 이 때 매크로 실행 허용을 요청하고, 매크로 기능을 활성화시키게 되면 해외의 특정 사이트로 접속하게 된다. 이 경우, 악의적인 갠드크랩 랜섬웨어에 감염된다.

갠드크랩 랜섬웨어는 올해 초부터 다양한 변종으로 국내에 유포되고 있다. 경찰청을 사칭한 교통법칙금 인터넷 납부, 저작권 위반 그림 사용 확인 메일, 실존 디자이너 명의 도용 등의 내용으로 위장해 왔다.

최근에는 국내 유명 택배회사를 사칭한 이메일과 취업전문 사이트의 채용 정보에 기재된 국내기업 인사담당자를 대상으로 입사지원서로 속인 악성 이메일을 뿌리기도 했다.

러시아 공격그룹으로 추정되는 갠드크랩 랜섬웨어는 서비스형랜섬웨어를 적용하고 있다. 이에 러시아 소행이 아닐 가능성도 커졌다. 원하는 누구나 서비스형랜섬웨어 형태로 서비스를 도입해 대행 판매할 수 있기 때문이다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 “기존과 변형된 형태인 변종 갠드크랩 랜섬웨어로 보이며, 첨부파일 방식이 아닌 본문 내 링크 방식으로 활용한 점이 특이하다”며 “소환장으로 위장해 위압감을 조성해 클릭을 유도하고 있으며, 예상보다 많이 유포된 것으로 보인다”고 설명했다.

이어 “타깃마다 다른 내용을 채택한 다양한 악성 인터넷주소(URL) 링크를 불특정 다수에게 유포하고 있다”며 “이스트시큐리티는 이번 공격을 분석하고 있고, 알약을 통해 탐지할 수 있다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr