경찰을 사칭해 무작위로 유포되던 랜섬웨어 '갠드크랩'이 한국은행·헌법재판소 등 국책은행이나 국가기관도 사칭하며 범죄 범위를 넓히고 있는 것으로 나타났다. 특히 랜섬웨어는 암호해제 조건으로 비트코인 등의 암호화폐를 요구해 추적수사에 어려움을 겪고 있다는 설명이다. 이에 경찰은 암호화폐 해외 전문가를 초청해 전문가 양성 교육을 실시하고, 관련 범죄에 선제적으로 대응한다는 계획이다. ■국가기관 사칭하는 랜섬웨어 21일 경찰청에 따르면 갠드크랩 랜섬웨어는 지방경찰서를 사칭하며 클릭을 유도하던 방식에서 다양한 국가 기관을 사칭하는 방식으로 범죄 양상을 다양화하고 있다. 지난달 경찰은 수원, 대구, 부산 등 전국 각 지역의 경찰서 이름으로 '온라인 명예훼손관련 출석 통지서'라는 제목의 랜섬웨어 이메일이 유포되고 있는 것으로 파악하고 수사를 진행한 바 있다. 그러나 경찰은 최근 들어 랜섬웨어가 경찰서 뿐만 아니라 한국은행, 헌법재판소 등을 사칭해 발송되고 있는 것으로 파악돼 수사 역량을 집중하고 있다. 사칭 이메일은 '로그인 횟수를 초과했다', '재판에 출두해야 한다'는 내용으로 압축된 첨부파일의 다운로드를 유도하고 있다. 압축파일에 포함된 파일을 문서로 착각하고 클릭하면 숨어 있던 랜섬웨어가 실행돼 이용자의 PC를 암호화하는 방식이다. 경찰청 사이버안전국 관계자는 "최근에는 메일 첨부파일이 아닌 링크를 클릭하도록 유도해 랜섬웨어 파일을 다운로드 받도록 유도하기도 한다"며 "사칭 이메일 대부분이 문맥에 맞지 않는 조악한 한국어로 적혀 있는 만큼 주의가 필요하다"고 당부했다. '갠드크랩' 등의 랜섬웨어는 암호 해제 조건으로 암호화폐를 요구하고 있어 추적수사에 어렵다. 암호화폐 지갑을 통한 추적을 막기 위해 불특정 다수의 지갑 주소를 뒤섞는 '믹싱' 수법을 이용하거나, 제 3자를 통해 코인 거래를 이용하는 등 관련 범죄는 갈수록 지능화되는 양상이다. 특히 '대시'·'모네로' 등 거래정보를 비공개해 익명성을 강화한 암호화폐(일명 다크코인)가 늘어나면서 추적이 한층 더 힘들어지고 있다고 경찰은 설명했다. '다크코인'은 도박·마약 범죄 등의 자금세탁책으로 보편화되고 있다. 국내에서도 지난 2017년 마약판매 대금으로 암호화폐를 받은 공급책이 검거된 바 있다. ■암호화폐 관련 범죄 '기승' 암호화폐에 대한 대중의 관심이 시들한 틈을 타 이를 이용한 범죄가 기승을 부리고 있는 셈이다. 경찰 관계자는 "한국 뿐 아니라 전 세계적으로 암호화폐를 규제할 제도나 법규가 충분치 않다"며 "암호화폐가 지갑에 들어오는 순간 주소를 암호화하거나, 추적이 어려운 다른 암호화폐로 '세탁'하는 등 양상이 고도화되고 있다"고 설명했다. 한편 경찰은 이달 중순 미국 민간업체 추적 전문가를 초청해 관련 교육을 실시하는 등 관련 범죄 대응 역량을 강화하고 있다. 암호화폐 전문 팀장과 수사관 등이 참석한 이 교육에서는 해외 전문가의 지도에 따라 실제 사건을 바탕으로 랜섬웨어·자금세탁 등에 대한 예제 풀이 등을 실시했다. 경찰 관계자는 "이론 학습보다는 암호화폐 추적에 대한 이해가 있는 수사관을 대상으로 실습 교육을 실시했다"며 "수사관들이 국제적 기준에 부합하는 역량을 갖출 수 있도록 하겠다"고 말했다. bhoon@fnnews.com 이병훈 기자

보안업체 안랩은 랜섬웨어 '갠드크랩 4.1.2' 피해를 사전 차단 툴을 개발했다고 21일 밝혔다. 랜섬웨어는 해커들이 이용하는 악성 프로그램이다. 컴퓨터에서 실행되면 주요 파일들을 통째로 암호화 한 후 사용자에게 돈을 요구한다. 비트코인 등 암호화폐 계좌에 거액을 입금하면 암호화 키를 알려주는 식이다. 돈을 입금해도 키를 주지 않거나, 키가 맞지 않는경우가 있어 사실상 컴퓨터를 포맷하는 경우가 많다. 안랩에 따르면 암호화 차단의 핵심이 되는 파일 '*.lock'이 특정 경로에 있으면 암호화를 차단할 수 있다. 안랩은 분석 결과를 토대로 현재 ASEC블로그에 갠드크랩 4.1.2에 대한 '암호화 사전 차단 툴'을 올려놨다. 이 툴을 쓰려면 사이트에서 내려받아 마우스 오른쪽을 클릭해 '관리자 권한으로 실행'하면 된다. 이때 다운로드 받은 폴더 내에 '.lock' 확장자를 가진 파일이 생기면 해당 랜섬웨어에 감염돼도 파일 암호화를 사전에 차단할 수 있다. 다만 이미 해당 랜섬웨어에 감염돼 암호화가 진행된 경우에는 복구하기 어렵다. 현재 V3 제품군에서도 갠드크랩 4.1.2를 진단해 차단하고 있다. 최유림 안랩 분석팀 주임 연구원은 "국내에 유포되는 갠드크랩 랜섬웨어는 주로 이력서나 정상 프로그램을 위장해 사용자 클릭을 유도한다"며 "출처가 불분명하거나 불법인 콘텐츠 파일을 내려받지 말고 백신프로그램을 수시로 업데이트해야 한다“고 말했다. ksh@fnnews.com 김성환 기자

최근 인터넷 사이트 접속만으로도 PC에 감염돼 피해를 일으킨 ‘갠드크랩(GandCrab) 2.1 버전'에 대해 안랩이 감염방지 대응 방안을 20일 공개했다. 안랩은 ‘갠드크랩 2.1’을 분석한 결과 특정 데이터를 포함한 파일('이하 데이터 파일')이 폴더에 존재하면 해당 폴더는 암호화를 하지 않는 ‘킬 스위치’ 조건을 발견했다. 이는 백신 제품의 여러 탐지 기법 중 하나를 우회하기 위해 공격자가 설계한 것으로 추정된다. 안랩은 이를 역이용해 해당 데이터 파일이 특정 드라이브의 첫 번째 지점에 존재하면 해당 드라이브 전체가 암호화되지 않는 것을 확인했다. 안랩은 현재 ASEC블로그에서 해당 데이터 파일을 제공하고 있다. 사용자는 안랩이 제공하는 데이터 파일을 다운로드 받아서 각 드라이브의 첫 번째 지점에 복사해 놓으면 갠드크랩 2.1에 감염되어도 해당 드라이브에 존재하는 파일이 암호화되는 것을 막을 수 있다. 해당 랜섬웨어가 파일리스 형태(fileless·감염 시 특정 파일이 생성되지 않는 형태)로 유포되기 때문에 안랩 V3 제품군에서는 URL 및 패킷을 차단해 대응 중이다. 안랩은 향후 해당 랜섬웨어에 대한 대응을 더 강화할 예정이다. 이 같은 악성코드 피해를 예방하기 위해서는 △수상한 웹사이트 접속 금지 △출처가 불분명하거나 불법 콘텐츠 파일 다운로드 금지 △OS(운영체제), 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램 최신 버전 유지 및 보안 패치 적용 △V3 등 백신 프로그램 최신 업데이트 유지 등 ‘생활 보안수칙’을 실행해야 한다. 안랩 시큐리티대응센터(ASEC) 한창규 센터장은 "이번에 안랩이 공개한 방법을 적용하면 대규모 피해는 막을 수 있겠지만 공격자들은 또 다른 우회 방법을 찾아 감염을 유도할 것으로 추정된다”면서 “PC사용자들은 백신 업데이트나 주요 SW업데이트 패치 설치 등 생활 보안수칙을 반드시 실행해야 한다”고 당부했다.   gogosing@fnnews.com 박소현 기자

[파이낸셜뉴스]   경찰이 랜섬웨어 '갠드크랩' 유포사범을 국내 최초로 검거한 수사 사례를 UN에서 발표했다. 경찰청 국가수사본부(국수본) 사이버수사국은 랜섬웨어 금품요구 악성 프로그램 유포사범을 국내 최초로 검거한 수사 사례를 19일(현지시각) 오스트리아 빈에서 개최된'제30회 유엔 범죄예방 및 형사사법위원회' 정기회의에 온라인으로 참석해 발표했다고 20일 밝혔다. 이는 '유엔 마약·범죄 사무소'가 운영하는 위원회로, 매년 5월 범죄예방 및 사법분야에서 UN의 활동을 안내하는 정기회의를 연다. 이 자리에서 우리 경찰은 루마니아·필리핀·미국등 10개국과 공조하며 2년간의 수사를 통해 경찰관서 등을 사칭하며 '출석통지서'를 위장한 갠드크랩 금품요구 악성 프로그램을 유포한 피의자들을 지난 2월 검거한 사례를 소개했다. 경찰은 지난해 2월부터 6월까지 경찰관서 63개, 헌법재판소, 한국은행을 사칭하며 포털사이트 이용자에게 출석요구서로 위장한 갠드크랩 랜섬웨어를 6486회에 걸쳐 이메일로 발송해 악성프로그램을 유포한 피의자 2명을 검거하고 이 중 1명은 구속해 검찰에 송치한 바 있다. 유엔 측은 성공적으로 해결한 한국경찰의 수사를 모범사례로 선정해 정기회의에서의 발표를 요청했다. 이 사건을 직접 수사한 발표자 조재영 경사는 금품요구 악성 프로그램 유포사건의 착수 경위와 범행 수법, 사건 해결을 위한 수사 시 착안사항 등을 설명했다. 특히 최근 사이버범죄에서 범행수익금이 가상자산으로 전달되는 특성상 국가 간 신속하고도 긴밀한 공조수사도 중요하다고 강조했다. 경찰청 관계자는 "이번 유엔 발표를 통해 한국 경찰의 사이버수사 역량을 전 세계 수사기관에 알리는 좋은 기회가 됐다"며 "앞으로도 한국 경찰의 첨단 사이버 수사기법과 적극적인 국제공조를 통해 금품요구 악성 프로그램·디도스(DDoS) 등 최신 사이버범죄를 신속하게 해결해 국민의 피해를 최소화하겠다"라고 전했다. 한편 조 경사는 인터넷진흥원에서 침해사고를 담당하던 중 2013년 경력직 특별채용으로 사이버수사관이 됐으며, 아동성착취물 공유사이트 '웰컴투비디오'의 운영자도 검거한 바 있다. 해당 수사사례는 지난 2018년 태국에서 개최된 '유엔 마약·범죄 사무소, 동남아시아 가상자산 실무자 회의'에서 발표한 경력이 있다. bhoon@fnnews.com 이병훈 기자

경찰 등을 사칭한 랜섬웨어 이메일을 약 6500건 발송한 피의자가 경찰에 붙잡혔다. 경찰청 사이버수사국은 경찰서, 헌법재판소, 한국은행을 사칭하며 '갠드크랩' 랜섬웨어를 유포한 혐의로 A씨를 검거해 구속했다고 9일 밝혔다. 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 금전을 요구하는 악성 프로그램이다. A씨는 2019년 2월부터 6월까지 공범으로부터 랜섬웨어를 받아, 포털사이트 이용자 등에게 출석통지서로 위장한 랜섬웨어 이메일을 총 6486회 발송한 혐의를 받는다. 랜섬웨어에 감염돼 문서·사진 등이 암호화된 이용자에게는 복원비용으로 1300달러 상당의 가상화폐 전송을 요구했다. 피해자는 최소 120명에 달하는 것으로 경찰은 보고 있다. 피해자가 복원비용을 내면 개발자, 브로커, 유포자에게 순서대로 전달됐으며, 이런 방식으로 A씨는 약 1200만원의 부당이득을 올린 것으로 파악됐다. 경찰청은 지난해 2월부터 경찰기관을 사칭한 랜섬웨어 이메일이 유포 중인 사건을 인지하고 수사에 착수했다. 2년여 간 10개국과 공조수사를 진행하며 3000만여건의 가상화폐 입·출금 흐름과 2만7000여개의 통신기록을 분석한 결과, 사칭용으로 구매한 도메인을 확인하고 국내에서 랜섬웨어를 유포한 피의자를 특정해 검거했다고 설명했다. 해당 랜섬웨어를 개발한 용의자는 현재 인터폴과 함께 추적하고 있다. bhoon@fnnews.com 이병훈 기자

[파이낸셜뉴스]   경찰 등을 사칭한 랜섬웨어 이메일을 약 6500건 발송한 피의자가 경찰에 붙잡혔다. 경찰청 사이버수사국은 경찰서, 헌법재판소, 한국은행을 사칭하며 '갠드크랩' 랜섬웨어를 유포한 혐의로 A씨를 검거해 구속했다고 9일 밝혔다. 랜섬웨어는 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 금전을 요구하는 악성 프로그램이다. A씨는 2019년 2월부터 6월까지 공범으로부터 랜섬웨어를 받아, 포털사이트 이용자 등에게 출석통지서로 위장한 랜섬웨어 이메일을 총 6486회 발송한 혐의를 받는다. 조사결과 A씨는 경찰 등을 속이기 위해 'ulsanpolice.com' 등 가짜 인터넷 도메인 95개를 준비한 뒤 이 같은 범행을 저지른 것으로 드러났다.  랜섬웨어에 감염돼 문서·사진 등이 암호화된 이용자에게는 복원비용으로 1300달러 상당의 가상화폐 전송을 요구했다. 피해자는 최소 120명에 달하는 것으로 경찰은 보고 있다. 피해자가 복원비용을 내면 개발자, 브로커, 유포자에게 순서대로 전달됐으며, 이런 방식으로 A씨는 약 1200만원의 부당이득을 올린 것으로 파악됐다. A씨는 여러 국가를 거쳐 IP주소를 세탁하고, 범죄수익금은 가상통화로 지불받는 등 치밀하게 수사기관의 추적을 피해 온 것으로 드러났다. 경찰청은 지난해 2월부터 경찰기관을 사칭한 랜섬웨어 이메일이 유포 중인 사건을 인지하고 수사에 착수했다. 2년여 간 10개국과 공조수사를 진행하며 3000만여건의 가상화폐 입·출금 흐름과 2만7000여개의 통신기록을 분석한 결과, 사칭용으로 구매한 도메인을 확인하고 국내에서 랜섬웨어를 유포한 피의자를 특정해 검거했다고 설명했다. 해당 랜섬웨어를 개발한 용의자는 현재 인터폴과 함께 추적하고 있다. A씨는 경찰 조사에서 랜섬웨어 2종(갠드크랩, 소디노키비)을 범행 기간에 매일 20만건씩 발송했다고 진술한 것으로 전해졌다. 경찰 관계자는 "의심되는 이메일을 수신하면, 안전이 확인될때까지 첨부파일을 절대로 클릭하지 않도록 주의해야 한다"며 "랜섬웨어에 감염되면 복원은 매우 어려우나, 금전을 지불하더라도 복원이 보장되지 않고, 범죄를 더 조장하는 결과를 초래한다"고 당부했다. bhoon@fnnews.com 이병훈 기자

경찰을 사칭해 무작위로 유포되던 랜섬웨어 '갠드크랩'이 한국은행·헌법재판소 등 국책은행이나 국가기관도 사칭하며 범죄 범위를 넓히고 있는 것으로 나타났다. 특히 랜섬웨어는 암호해제 조건으로 비트코인 등의 암호화폐를 요구해 추적수사에 어려움을 겪고 있다는 설명이다. 이에 경찰은 암호화폐 해외 전문가를 초청해 전문가 양성교육을 실시하고, 관련 범죄에 선제적으로 대응한다는 계획이다.■국가기관 사칭하는 랜섬웨어21일 경찰청에 따르면 갠드크랩 랜섬웨어는 지방경찰서를 사칭하며 클릭을 유도하던 방식에서 다양한 국가기관을 사칭하는 방식으로 범죄 양상을 다양화하고 있다.지난달 경찰은 수원, 대구, 부산 등 전국 각 지역의 경찰서 이름으로 '온라인 명예훼손관련 출석 통지서'라는 제목의 랜섬웨어 e메일이 유포되고 있는 것으로 파악하고 수사를 진행한 바 있다.그러나 경찰은 최근 들어 랜섬웨어가 경찰서뿐만 아니라 한국은행, 헌법재판소 등을 사칭해 발송되고 있는 것으로 파악돼 수사 역량을 집중하고 있다.사칭 e메일은 '로그인 횟수를 초과했다' '재판에 출두해야 한다'는 내용으로 압축된 첨부파일의 다운로드를 유도하고 있다. 압축파일에 포함된 파일을 문서로 착각하고 클릭하면 숨어 있던 랜섬웨어가 실행돼 이용자의 PC를 암호화하는 방식이다.경찰청 사이버안전국 관계자는 "최근에는 e메일 첨부파일이 아닌 링크를 클릭하도록 유도해 랜섬웨어 파일을 다운로드 받도록 유도하기도 한다"며 "사칭 e메일 대부분이 문맥에 맞지 않는 조악한 한국어로 적혀있는 만큼 주의가 필요하다"고 당부했다.'갠드크랩' 등의 랜섬웨어는 암호해제 조건으로 암호화폐를 요구하고 있어 추적수사에 어렵다. 암호화폐 지갑을 통한 추적을 막기 위해 불특정 다수의 지갑 주소를 뒤섞는 '믹싱' 수법을 이용하거나, 제3자를 통해 코인 거래를 이용하는 등 관련 범죄는 갈수록 지능화되는 양상이다. 특히 '대시' '모네로' 등 거래정보를 비공개해 익명성을 강화한 암호화폐(일명 다크코인)가 늘어나면서 추적이 한층 더 힘들어지고 있다고 경찰은 설명했다. '다크코인'은 도박·마약 범죄 등의 자금세탁책으로 보편화되고 있다. 국내에서도 지난 2017년 마약판매 대금으로 암호화폐를 받은 공급책이 검거된 바 있다. ■암호화폐 관련 범죄 '기승'암호화폐에 대한 대중의 관심이 시들한 틈을 타 이를 이용한 범죄가 기승을 부리고 있는 셈이다. 경찰 관계자는 "한국뿐 아니라 전 세계적으로 암호화폐를 규제할 제도나 법규가 충분치 않다"며 "암호화폐가 지갑에 들어오는 순간 주소를 암호화하거나, 추적이 어려운 다른 암호화폐로 '세탁'하는 등 양상이 고도화되고 있다"고 설명했다.한편 경찰은 이달 중순 미국 민간업체 추적 전문가를 초청해 관련 교육을 실시하는 등 관련 범죄 대응 역량을 강화하고 있다. 암호화폐 전문 팀장과 수사관 등이 참석한 이 교육에서는 해외 전문가의 지도에 따라 실제 사건을 바탕으로 랜섬웨어·자금세탁 등에 대한 예제 풀이 등을 실시했다. 경찰 관계자는 "이론학습보다는 암호화폐 추적에 대한 이해가 있는 수사관을 대상으로 실습교육을 실시했다"며 "수사관들이 국제적 기준에 부합하는 역량을 갖출 수 있도록 하겠다"고 말했다. bhoon@fnnews.com 이병훈 기자

최근 전국 각지에서 발생하고 있는 경찰 사칭 랜섬웨어 이메일에 대해 경찰이 본격적인 수사에 착수했다. 12일 경찰에 따르면 경찰청은 최근 지방 경찰서를 사칭한 랜섬웨어 악성코드 이메일 피해와 관련 각 지방청으로부터 자료를 받아 수사를 진행 중이다. 경찰은 최근 수원, 대구, 부산 등 전국 각 지역의 경찰서 이름으로 '온라인 명예훼손관련 출석통지서'라는 제목의 랜섬웨어 이메일이 유포되고 있는 것으로 파악하고 있다. 경찰청 관계자는 "당초 각 지방청 별로 조사를 진행하려고 했지만 워낙에 여러 지역에서 신고가 접수돼 본청 차원에서 수사에 착수하게 됐다"면서 "현재 접수된 신고를 파악하고 있는 상황"이라고 말했다. 경찰을 사칭한 메일에는 갠드크랩 랜섬웨어 악성코드가 포함된 출석통지서 파일명을 가진 압축파일이 첨부돼 있다. 사용자가 압축파일에 포함된 파일을 워드 파일로 착각, 실행하면 워드파일로 위장하고 있던 랜섬웨어가 실행된다. 이를 내려받아 실행할 시 컴퓨터가 감염될 우려가 있다는 것이다. 이와 관련 이스트시큐리티 시큐리티대응센터(ESRC)는 "지난 11일부터 지방 경찰서를 사칭한 악성 메일이 대량 유포되고 있다"면서 "특히 실행파일 제목 뒤에 긴 공백을 둬 문서파일로 위장하고 있어 주의해야 한다"고 설명했다. 경찰청 관계자는 "경찰은 우편, 전화 등을 통해 전달할뿐 이메일을 통해서는 절대로 출석통지서를 보내지 않는다"면서 "해당 제목의 메일을 받게 되면 열지 말고 바로 삭제해야 한다"고 강조했다. bhoon@fnnews.com 이병훈 기자