본문으로 바로가기
38814454 0242017062838814454 08 0801001 5.17.4-RELEASE 24 이데일리 0

페트야 랜섬웨어, 워너크라이와 동일한 공격 방식·한단계 진화

글자크기

페트야 감염되면, 윈도 OS 구동 자체 불가능

[이데일리 이유미 기자] 통합 보안 기업 이스트시큐리티는 27일(현지시간)부터 유럽을 중심으로 급속히 확산되고 있는 ‘페트야(Petya) 랜섬웨어’가 워너크라이 랜섬웨어와 상당 부분 유사하며, 일부 진화된 특성으로 더욱 큰 피해도 가져올 수 있다고 28일 밝혔다.

지난달 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유는 최초로 윈도 OS의 SMB 취약점을 활용했기 때문이다. 또 한대의 PC가 감염되면 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하는 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문이다.

현재 확산되고 있는 페트야 랜섬웨어 역시 이 같은 워너크라이의 공격 방식을 동일하게 사용하고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석에 따르면 페트야 랜섬웨어는 윈도 OS에서 폴더 및 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB(Server Message Block) 취약점을 공격에 사용하고 있으며, 다른 시스템을 감염시키는 네트워크 웜의 특성도 동일하게 지니고 있다.

다만 페트야 랜섬웨어는 워너크라이 랜섬웨어보다 한 단계 진화된 특징이 추가돼, 이전에 비해 더욱 큰 피해를 가져올 수도 있을 것으로 보인다.

워너크라이는 물론 기존 랜섬웨어는 사진, 문서 등 저장된 파일을 개별적으로 암호화 시켰던 반면, 페트야 랜섬웨어는 하드 디스크(HDD)와 같이 저장매체에 저장된 모든 파일과 디렉토리에 대한 정보를 담고있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킨다.

이에 따라 이 랜섬웨어에 감염된 PC나 시스템은 윈도 OS 구동 자체가 불가능한 이른바 ‘먹통’ 상태가 되며, 작동을 위해 전원을 켜면 OS를 불러오는 대신 미화 300달러 상당의 비트코인을 요구하는 안내창 만이 보이게 된다.

또한 워너크라이 랜섬웨어의 동작을 무력화 시켜 초기 확산을 저지하는데 큰 역할을 했던 ‘킬 스위치’가 존재하지 않아, 현재로서는 페트야 랜섬웨어의 확산을 지연 시킬 수 있는 효과적인 방안이 없는 상태다.

이스트시큐리티 시큐리티대응센터는 “워너크라이 랜섬웨어 사태 이후 각국의 보안 기업과 관련 기관이 SMB 취약점 업데이트에 대한 안내를 지속적으로 해왔지만, 동일한 취약점을 사용하는 페트야 랜섬웨어 공격의 피해 사례가 전 세계적으로 접수되고 있는 것으로 미루어 보아 아직까지 많은 사용자가 보안 업데이트를 진행하지 않았다는 것으로 보인다”라며, “SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 전검과 업데이트를 진행해야 한다”고 당부했다.

이스트시큐리티는 페트야 랜섬웨어의 국내 피해를 예방하기 위해 통합 백신 알약(ALYac)의 긴급 업데이트를 완료했으며, 현재 탐지명 ‘Trojan.Ransom.Petya’ 진단 후 차단하고 있다.

페트야 랜섬웨어와 관련된 상세한 분석 내용은 이스트시큐리티 공식 블로그 게시글(http://blog.alyac.co.kr/1180)을 통해 확인할 수 있다.

이데일리

부팅 화면에서 보여지는 페트야 랜섬웨어 결재 안내창 (자료제공 : 이스트시큐리티)

<이미지를 클릭하시면 크게 보실 수 있습니다>




<ⓒ성공 창업 프랜차이즈 정보허브 이데일리 EFN - 무단전재 & 재배포 금지>
<ⓒ종합 경제정보 미디어 이데일리 - 무단전재 & 재배포 금지>
페이스북 공유 트위터 공유 댓글