[아이뉴스24 김국배 기자] 갠드크랩 랜섬웨어 제작자가 서비스형 랜섬웨어(RaaS) 운영 중단을 선언했다. 지난해부터 악명을 떨쳐온 갠드크랩이 사라질 전망이다.
하지만 새로운 랜섬웨어는 계속 등장해 랜섬웨어 위협 자체는 줄어들지 않을 것으로 보인다.
3일 보안업계와 외신들에 따르면 갠드크랩 랜섬웨어 제작자가 다크웹에 존재하는 러시아 해킹포럼 사이트를 통해 RaaS 운영을 1개월 내 중단할 것을 선언했다.
RaaS는 제작자와 유포자가 따로 있으며 이들은 범죄수익을 공유한다. 피해자가 '데이터 몸값'을 지불하면 제작자가 수수료로 일부를 챙기고, 나머지는 유포자가 가져가는 식이다. 갠드크랩은 대표적인 RaaS로 알려져 있다.
갠드크랩은 지난해부터 국내에서 기승을 부렸다. 이력서, 교통위반 범칙금 등을 가장하는 등 수법도 매우 다양했다. 심지어 안랩, 포티넷 등 국내외 보안 회사와 신경전을 벌이기도 했다. 안랩이 갠드크랩 복호화 툴을 공개하자 곧바로 새로운 변종을 제작했다.
이런 갠드크랩 제작자가 RaaS 서비스 운영을 그만두는 이유는 이미 충분한 수익을 거뒀기 때문으로 알려지고 있다. 제작자는 갠드크랩이 벌어들인 범죄 수익금이 한화 2조원대에 달한다고 주장한다.
갠드크랩 제작자는 해킹포럼에 올린 글에서 "갠드크랩 랜섬웨어는 20억 달러 이상의 수익을 벌어들였으며 운영자는 주당 약 250만 달러, 연간 1억 5천만 달러를 벌었다"고 자랑스러워했다.
특히 갠드크랩 제작자는 '은퇴' 시점이 되면 복호화 키도 모두 삭제할 계획이라고 밝혀 이후 피해자들은 영원히 파일을 복구할 수 없을 것으로 예상된다. RaaS를 이용하던 범죄자들은 갠드크랩을 유포하는 행위를 줄이고 이달까지 현금화하라는 권유를 받았다고 한다.
RaaS 운영 중단으로 갠드크랩은 크게 줄어들 것으로 예상된다. RaaS는 아니었지만 '테슬라크립트' 역시 2016년 해커들의 활동 종료 후 사라진 바 있다. 다만 갠드크랩이 감소하더라도랜섬웨어 위협이 줄어들지는 않을 전망이다. 신종 랜섬웨어는 계속 등장하고 있기 때문이다.
한 보안 전문가는 "해커들이 소스코드를 팔아서 다른 곳에서 다시 만들지 않는 한 갠드크랩은 역사 속으로 사라질 것"이라며 "갠드크랩의 빈 자리는 다른 랜섬웨어가 나타나 채우게 될 것"이라고 내다봤다.
이미 보안업계에서는 갠드크랩을 유포하던 특정 조직이 '소디노키비'로 갈아탔다는 분석도 나온다. 최근에는 이 랜섬웨어가 담긴 악성 파일이 헌법재판소를 사칭한 내용으로 국내에 유포되기도 했다. RaaS인지는 확인되지 않았다.
문종현 이스트시큐리티 이사는 "갠드크랩 랜섬웨어를 뿌리던 조직은 지난달을 전후로 소디노키비를 유포하고 있다"고 말했다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기