[작성자:] ATCP

갠드크랩(GandCrab)은 지난 2018년 초부터 2019년 2분기까지 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 국내 사용자를 노린 이력서나 한글 파일 형식 등으로 위장하기도 하였으나 2019년을 지나 2020년 현재는 사실상 자취를 감춘 상태이고, 블루크랩(BlueCrab) 이라는 새로운 랜섬웨어가 기존 갠드크랩과 유사한 방식으로 활발히 유포되고 있는 상황이다.  대다수의 일반적인 악성코드는 감염 시스템에 백신 제품이 설치되었거나 동작 중인 것이 확인되면 악성코드의 기능을 중단하거나 동작 프로세스를 변경한다. 이에 반해 갠드크랩 랜섬웨어는 랜섬웨어의 본래의 목적인 파일 암호화 외에도 코드 상에 ‘안랩’과 ‘V3 Lite’ 제품을 직접적으로 언급하며 이에 대해 적극적인 공격을 시도했다. 초기 버전은 단순 문자열을 언급하는 정도였으나 점차 V3 제품 취약점 공개, 제품 삭제 등의 기능으로 진화했다. 한편 안랩 또한 갠드크랩 랜섬웨어의 킬스위치를 공개하는 것을 시작으로 V3 제품을 공격하는 기능이 새롭게 확인될 때마다 이를 보완하기 위해 빠르게 대응했다.  유포 기간 내내 지속된 안랩과 갠드크랩 랜섬웨어 제작자와의 긴 싸움은 국내외 IT 언론을 통해 몇 차례 보도된 바 있지만 지금까지 공개되었던 내용은 극히 일부이다. 이번 ASEC리포트 보고서에는 ASEC 분석팀이 추적•분석한 내용을 바탕으로 그동안 민감 정보라는 이유로 공개되지 않았던 안랩과 갠드크랩 간의 사투를 시간순으로 면밀히 살펴보고자 한다. ASEC리포트 Vo.97 PDF https://image.ahnlab.com/file_upload/asecissue_files/ASEC%20REPORT_vol.97.pdf ASEC리포트 https://www.ahnlab.com/kr/site/securityinfo/asec/asecView.do?groupCode=VNI001&seq=28878 ASEC Report | AhnLab 최고의 악성코드 분석가 및 보안 전문가 조직인 ASEC(AhnLab Security Emergency response Center)이 최신 보안 위협에 대한 상세한 분석 정보를 제공합니다.