지난해부터 한국을 포함한 세계 PC사용자를 빈번하게 괴롭히던 '갠드크랩(Gandcrab)' 랜섬웨어 제작자가 1개월 내 '제작 중단'을 예고했다.

미국 지디넷은 지난 1일 갠드크랩 랜섬웨어 제작자가 5월말 그의 '서비스형랜섬웨어(RaaS)' 운영을 중단하겠다고 밝혔음을 파악했다고 보도했다. 

랜섬웨어는 컴퓨터를 감염시켜 시스템을 잠그거나 보관된 데이터를 암호화해 못 쓰게 만들고, 잠금이나 암호화를 풀어주는 대가로 금전을 요구하는 악성코드를 뜻한다. 다만 감염 피해자가 공격자에게 금전을 지불했을 때, 실제로 공격자가 암호화를 풀어줄 것이라는 보장은 없다. 

RaaS는 범죄자들이 맞춤형 랜섬웨어 제작을 의뢰할 수 있는 서비스를 지칭한다. 해커는 RaaS를 통해 랜섬웨어 제작을 대행한다. 범죄자는 전문 기술이 없어도 의뢰한 맞춤 랜섬웨어를 사용해 직접 공격을 수행한다. 감염 피해자가 금전을 지불하면, 그걸 범죄자와 해커가 나눠 갖는다. 

갠드크랩 제작자의 RaaS는 일종의 온라인 포털 사이트로 운영됐다. 범죄자는 여기에 맞춤 랜섬웨어 제작을 의뢰하고 이메일 스팸이나 익스플로잇킷 공격도구, 이밖에 여러 다른 수단으로 공격을 수행했다. 갠드크랩 제작자 측은 감염 피해자가 지불한 금전 중 '작은 수수료'를 갖고, 랜섬웨어를 유포한 범죄자가 나머지를 가져갔다. 

보도는 악성코드 커뮤니티 쪽 익명의 소식통을 인용해, 지난달말 갠드크랩 RaaS 운영자가 1개월 안에 이 서비스를 중단할 계획을 밝혔다고 전했다. 이 내용은 유명 해킹포럼의 공식 글타래로 게재됐다. 이 포럼 웹사이트는 지난해 1월 갠드크랩 RaaS가 처음 운영되기 시작할 때 이를 광고했던 곳이기도 했다.

제작자 측은 그간 활동으로 충분한 돈을 벌었다고 자랑하며, 1개월 안에 은퇴할 계획이라는 언급을 남겼다. 갠드크랩 랜섬웨어 감염 피해자들로부터 지불받은 돈으로 20억달러(약 2조3천694억원) 이상을 벌었고, 그중 맞춤 랜섬웨어 제작자 측은 대략 1년에 1억5천만달러(약 1천777억원), 매주 250만달러(약 30억원)를 벌었다고 덧붙였다. 제작자는 이 돈을 모두 합법적인 현금으로 만들었다고 주장했다.

사이버 공격을 조장하고 큰 수익을 낸 범죄자의 잠적 소식은 그 자체로 달갑지 않은 소식이지만, 이미 갠드크랩 랜섬웨어에 감염된 피해자들에게는 더 불길한 전조일 수 있다. 제작자가 해킹포럼에 남긴 글타래 메시지 가운데 이미 감염당해 파일과 데이터를 잃은 사람들의 복구가 불가능해질 수 있다는 암시가 들어 있기 때문이다. 

제작자는 갠드크랩 RaaS를 통해 퍼뜨린 악성코드로 암호화한 파일을 되살릴 때 필요한 '복호화 키(decryption keys)'를 모두 삭제할 계획이라고 밝혔다. 이는 감염 피해자들의 파일 복구를 불가능하게 만드는 일이다. 

보도에 따르면 몇몇 보안 연구자들은 당초 악성코드 제작자의 이런 메시지가 감염 피해자를 패닉에 빠뜨려, 서둘러 복호화 키 비용을 지불하도록 유도하려는 책략일 수 있다는 견해를 내놨다. 하지만 이 연구자들은 제작자가 감염 피해자뿐아니라 그 '고객'에 해당하는 RaaS 이용 범죄자들에게도 같은 메시지를 내놨다는 점을 알고 나서 이런 생각을 바꿨다. 

과거 다른 제작자가 랜섬웨어 유포 활동을 중지할 땐 드물게나마 이미 감염된 악성코드 감염 피해자에게 데이터를 복구할 수 있는 복호화 키를 무상으로 제공하기도 했다. 테슬라크립트(TeslaCrypt), X데이터(XData), 크라이시스(Crysis), 파일스로커(FilesLocker) 등 랜섬웨어 군집의 피해자들에게 그런 일이 있었다.

갠드크랩 제작자조차 지난해 시리아(Syria) 전쟁 피해를 입은 지역에서 발생한 감염 피해자에게는 복호화 키를 무료로 배포한 전례가 있다.

""""갠드크랩 랜섬웨어 감염 피해자들로부터 지불받은 돈으로 20억달러(약 2조3천694억원) 이상을 벌었고, 그중 맞춤 랜섬웨어 제작자 측은 대략 1년에 1억5천만달러(약 1천777억원), 매주 250만달러(약 30억원)를 벌었다고 덧붙였다. 제작자는 이 돈을 모두 합법적인 현금으로 만들었다고 주장""""

어떻게 잡을 방법 없나여