478일간의 싸움…안랩 vs 갠드크랩 랜섬웨어 뒷이야기

암호화 막는 '킬스위치' 공개로 시작된 악연


[아이뉴스24 김국배 기자] 478일. 국내 보안업체 안랩과 '갠드크랩' 랜섬웨어 제작자는 무려 1년 반에 걸쳐 치열한 공방전을 벌였다. 이는 사이버 공격자와 보안업체가 직접적인 싸움을 벌인 이례적인 사례다.

2018년 1월부터 지난해 5월까지 유포된 갠드크랩은 우리나라를 비롯해 전세계에 막대한 피해를 입히며 악명을 떨친 서비스형 랜섬웨어(RaaS).

이달 발행된 국제 안티바이러스 평가기관 바이러스 불러틴(Virus Bulletin)의 보고서에는 안랩이 갠드크랩 랜섬웨어 제작자에 맞선 1년여 간의 활동 기록이 게재됐다.

◆'킬스위치' 공개하자 3일만에 욕설

안랩과 갠드크랩의 싸움은 안랩이 2018년 2월 '킬스위치'를 공개하면서 시작됐다. 이 킬스위치는 파일 암호화를 방지해 갠드크랩의 동작을 막았다.

불과 3일 뒤 발견된 갠드크랩 샘플에서는 '뮤텍스'라는 이름으로 안랩을 향한 욕설이 담겨 있었다. 명령제어(C&C)서버 통신 시 이용되는 호스트 접속 주소도 'google.com'에서 'ahnlab.com'으로 변경했다. 네트워크 필터에 걸리지 않기 위해 임의로 조작한 것이다.

이후 킬스위치가 참고했던 암호화 차단 방식이 패치됐지만, 안랩은 팝업 메시지를 활용해 새로운 암호화 방지 기법을 찾아내 곧바로 공개하며 심기를 건드렸다.

안랩을 향한 욕설이 포함된 갠드크랩 랜섬웨어 샘플 [자료=안랩]

◆반격 나선 갠드크랩 제작자, 안랩 백신 취약점까지 공개

그해 8월 갠드크랩 제작자도 본격적으로 안랩을 공격하기 시작했다. 갠드크랩 제작자는 블리핑컴퓨터와 이메일 인터뷰를 통해 "안랩 V3 제품의 취약점을 공개하겠다"며 엄포를 놨다. 안랩이 킬스위치를 공개한 데 대한 보복이었다.

실제로 인터뷰 이후 유포된 갠드크랩 랜섬웨어 4.2.1 버전에는 V3 라이트 제품을 겨냥한 공격 코드와 함께 '안랩과의 스코어는 이제 1:1이며 공격 코드는 온라인에 공개했다'는 문구가 포함됐다. 이 공격코드는 V3 라이트 제품이 설치된 PC에 블루스크린(BSOD)을 유발하는 것으로 파일 암호화 후 공격이 실행되도록 설정된 상태였다. 안랩은 즉시 V3 제품의 긴급 패치를 배포했다.

그러자 제작자는 사용자가 알지 못하게 V3를 삭제할 수 있도록 코드를 업데이트하는 등 V3 제품 삭제에 총력을 기울였다. 안랩이 백신을 업데이트하면 갠드크랩도 마찬가지로 업데이트 버전이 나오며 싸움이 이어졌다. 이 과정에서 V3 삭제 프로그램에 '캡차(CAPTCHA)가 도입됐다. 결국 V3를 삭제할 수 없게 된 갠드크랩은 V3 삭제 기능을 없애버렸다.

갠드크랩 랜섬웨어 제작자 운영 중단 선언

◆돌연 제작 중단 선언…5.3 버전이 마지막

갠드크랩 제작자는 지난해 2월 유포한 갠드크랩 5.2 버전에도 욕설을 남기며 안랩을 계속 조롱했다. 시간 지연 기법을 써 동적 분석을 방해하기도 했다. 4월에는 V3의 탐지를 우회하기 위한 기능까지 추가됐다. 안랩은 이를 막기 위한 보안 패치를 내놨다.

끝날 것 같지 않던 싸움은 지난해 5월 공격자가 돌연 갠드크랩 제작 중단을 선언하며 끝이 났다.

제작자는 홈페이지를 통해 "충분히 돈을 벌었다"고 주장하며 자취를 감췄다. 그 이후 갠드크랩 변종은 나오지 않고 있다. 5.3 버전이 갠드크랩의 마지막 버전이 된 셈이다.

보고서는 "보안업체에는 지속적으로 위협을 예의주시하고 끈질기게 대응하는 자세가 필요하다"고 전했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스