침해사고/위협동향

갠드크랩 V4.0 출현, 기존 보안솔루션 우회

최민지
[디지털데일리 최민지기자] 수산아이앤티는 기존 보안솔루션 탐지시스템을 우회하는 ‘갠드크랩 V4.0’이 발견됐다고 3일 밝혔다.

갠드크랩은 지난해 10월 초 처음 유포된 이후 올해 4월에 V2.0, 5월에 V3.0이 나타나는 등 신·변종 제작 기간이 가속화 되고 있다.

수산아이앤티 침해대응(CERT)팀의 분석에 따르면 이번 갠드크랩 V4.0은 기존 갠드크랩처럼 드라이브 바이 다운로드(Drive-by Download) 방식으로 유포되고 있다.

하지만, 기존 갠드크랩의 특징이던 ‘.CRAB’ 확장자가 ‘.KRAB’로 바뀌어 일반 보안 솔루션의 시그니처 탐지기술을 우회할 수 있다. 이에 국내 보안 솔루션 다수가 이 신종 갠드크랩을 탐지하지 못하고 있는 것으로 확인됐다.

빠른 속도로 변종이 나타나고 있는 갠드크랩은 사용자 데이터를 암호화하고 금전을 요구하는 랜섬웨어의 종류로, 특정 제작자가 존재하지 않고 누구나 제작에 참여하고 서비스화해 유포할 수 있는 서비스형 랜섬웨어다.

구매에서부터 유포까지 서비스 형태로 제공받을 수 있는 갠드크랩은 이러한 이유로 일반인도 서비스를 이용해 랜섬웨어 공격을 쉽게 감행할 수 있다. 그만큼 다양한 형태로 변종될 수 있는 것이다.

이와 같은 신종 랜섬웨어 예방을 위해 일반 사용자가 취할 수 있는 조치는 ▲악성메일 조심하기 ▲사이트 접속 주의하기 ▲폴더의 확장자 숨김처리 해제하기 등이 있다.

보다 강한 보안이 요구되는 기업과 조직은 신변종 악성코드가 빠르게 제작되고 확산되는 사이버 보안 위협 상황에 맞춰 기존 시그니처 탐지 방식의 백신 프로그램보다 더 깊은 보안 방식을 도입할 필요가 있다.

수산아이앤티 관계자는 “이레드 하이퍼바이저 시큐리티(eReD Hypervisor Security)는 화이트리스트 기반의 실행제어를 통해 취약점을 노린 신종 악성코드라 할지라도 공격이 무력화돼 중요 데이터를 보호할 수 있다”며 “수산아이앤티 CERT팀은 지난 갠드크랩 V3.0에 이어 이번 신변종 갠드크랩 V4.0에서도 이레드 내에서 공격이 무력화 되는 것을 확인했다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널