ID·비밀번호 같으면 1대 감염되도 확산 가능
감염되면 윈도OS 부팅 안돼
아직 국내 감염 사례는 많지 않아
글로벌 보안업체 카스퍼스키랩은 지금까지 약 2000명의 사용자가 페트야 랜섬웨어 공격을 받은 것으로 확인했다. 러시아와 우크라이나가 가장 많은 공격을 받았으며 폴란드, 이탈리아, 영국, 독일, 프랑스, 미국 및 여러 국가도 공격을 받았다.
◇워너크라이보다 강력한 페트야
28일 보안업계에 따르면 페트야 랜섬웨어 감염 사례가 아직 국내에는 많지 않지만 위험성은 워너크라이보다 높은 것으로 분석되고 있다.
페트야는 워너크라이 랜섬웨어 유포에 사용된 윈도 운영체제(OS)의 SMB(Server Message Block) 취약점을 이용하고 있다. 또 워너크라이처럼 한대의 PC가 감염되면 내부망에 연결된 다른 PC도 무작위로 찾아내 공격을 시도하는 네트워크 ‘웜(Worm)’의 특성도 지니고 있다.
하지만 이번 페트야는 취약점이 없는 PC도 감염될 수 있는 것으로 분석됐다. 페트야는 주로 내부 네트워크 망을 통해 확산되도록 설계됐다. 페트야 랜섬웨어에 감염된 것으로 추정되는 한국MSD도 본사 네트워크를 통해 감염된 것이다. 이러한 특성 때문에 국내 감염사례가 많지 않은 것으로 보이지만, 이 때문에 같은 네트워크 망을 사용하는 여러 대의 PC 중 한 대의 PC만 걸려도 확산될 가능성이 있다.
최상명 하우리 침해사고대응팀(CERT) 센터장은 “페트야 랜섬웨어는 PC방이나 학교 실습실 등 같은 네트워크 망을 사용하면서 아이디와 비밀번호가 같은 여러대의 컴퓨터 중 한대가 감염되면, 취약점이 없는 다른 컴퓨터도 감염시키는 특징이 있다”면서 “같은 네트워크 망을 사용하는 컴퓨터들은 비밀번호를 모두 다르게 설정해야만 감염을 피할 수 있다”고 당부했다.
또 지난달 워너크라이가 작동을 멈추게 하는 ‘킬 스위치’ 덕분에 빠르게 확산을 막을 수 있었던 것과 달리 페트야는 킬 스위치가 작동하지 않는다. 워너크라이는 킬 스위치 도메인을 한 명만 등록해도 전 세계적에 퍼진 악성코드가 영향을 받았다. 페트야의 경우 각각의 PC마다 개별적으로 킬 스위치를 설정을 해야 한다. 이 때문에 킬 스위치로서의 역할이 효율적으로 작동할 수 없다.
페트야는 파일 암호화 외에 PC의 MBR(Master Boot Record)을 변조해 윈도 OS의 컴퓨터 부팅이 불가능하게 만든다. 워너크라이는 컴퓨터 내에 사진이나 파일 등 일부 데이터만 개별적으로 암호화시켜 다른 기능을 작동할 수 있도록 했다. 페트야에 감염되면 사용자가 컴퓨터를 키고 부팅을 시도할 때 정상 윈도 로고 대신 랜섬웨어 감염사실과 금전을 요구하는 ‘랜섬노트’가 등장하기 때문에 컴퓨터의 어떠한 기능도 사용할 수 없도록 한다.
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
◇우크라이나 타깃…국내 감염 사례는 적어
한국MSD가 페트야에 감염되고 온라인 커뮤니티 상에서 감염된 것으로 추정되는 글이 올라온 것 외에는 공식적으로 감염이 신고된 사례는 없다. 우크라이나나 러시아, 유럽 등에 비해 국내에는 비교적 잠잠한 상황이다.
페트야가 우크라이나를 타깃으로 만들어진 것으로 추정돼 국내를 직접적으로 공격한 것은 아닌 것으로 보인다.
이번 페트야가 우크라이나 기업과 기관에서 주로 쓰이는 세무 관련 회계프로그램 ‘MeDoc’에서 처음으로 유포된 것으로 알려졌다. 현재는 삭제됐지만 MeDoc 홈페이지에는 자신들의 서버가 공격당했다는 공지글이 업로드됐다.
최 실장은 ”워너크라이가 내부망에서 확산되고 인터넷으로도 확산되게 만들어진 것과 달리 페트야는 내부망에서만 확산되도록 설계됐다. 설계된 것을 보면 우크라이나 내부에서만 확산이 돼야하지만 특정 네트워크 설정이나 오류로 인해 외부로 퍼지게 된 것으로 보인다“면서 ”한국MSD도 본사 네트워크망을 통해 감염된 것으로 한국이 직접적으로 걸린 사례는 아직 없는 것으로 보아 한국이 공격대상은 아닌 것으로 파악된다“고 말했다.
페트야 피해를 최소화하기 위해서는 백신 프로그램을 최신버전으로 업데이트하는 것만으로도 어느정도 막을 수 있다. 보안업체들은 △백신을 최신으로 업데이트 및 시스템 정밀검사 및 실시간 감시 기능 키기 △윈도 OS 및 기타 사용 중인 프로그램을 최신으로 업데이트 △주요파일 백업 △수상한 메일 첨부파일 실행금지 등 기본 보안 수칙을 당부했다.
<ⓒ종합 경제정보 미디어 이데일리 - 무단전재 & 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
