세계 강타 '페트야' 랜섬에어 국내 유입…대비책은?

'킬 스위치' 없어 차단 쉽지 않을 듯

윈도우 업데이트 및 백신 설치 요망

27일(현지시간) 유럽과 러시아, 우크라이나를 중심으로 전 세계를 강타한, '페트야(PETYA)' 랜섬웨어가 국내에도 유입된 것으로 파악돼 각별한 주의가 요망된다.

랜섬웨어는 컴퓨터 사용자가 저장된 파일에 접근할 수 없도록 막고 차단을 풀어주는 조건으로 금전을 요구하는 악성 프로그램이다.

이번 랜섬웨어는 지난달의 워너크라이 랜섬웨어와는 달리 킬 스위치가 없어 치료하기가 쉽지 않다는 분석이 나오고 있다.

특히 세계 각국의 공공기관 및 회사와 체르노빌 원자로까지 무차별 공격당했으며 그 여진은 최소 수개월은 지속될 것이라는 우려도 나오고 있다.

◇랜섬웨어에 다시 강타당한 세계 각국

우크라이나는 정부 주요 부처와 은행, 기업의 컴퓨터 전산망이 대규모로 해킹공격에 노출되면서 나라 전체가 혼란에 빠졌다. 외신에 따르면 우크라이나 기간산업부 등 주요 정부부처와 키예프 보리스필 국제공항, 우크라이나 중앙은행을 포함한 일부 국영은행, 우크르에네르고와 우크르텔레콤 등 전력·통신기업 등은 이번 공격으로 시스템이 장애를 빚거나 가동이 중단됐다.

심지어 해킹공격을 받은 은행에서는 지점 영업과 현금지급기 가동이 중단되기도 했다.

우크라이나에 있는 사고 원전 체르노빌 원자력 발전소도 이번 해킹공격으로 방사능 감지 시스템이 중단돼 현재 수동으로 방사능 수치를 점검하고 있는 것으로 알려졌다.

러시아도 최대 국영 석유회사인 로스네프티와 러시아 중앙은행, 철강 기업 예브라즈가 해킹공격을 받았다.

다국적 로펌인 DLA 파이퍼와 다국적 제약사 머크, 덴마크의 세계 최대 해운사 A.P.몰러머스크, 영국의 광고기업 WPP, 프랑스 제조업체 생고뱅 등도 랜섬웨어의 희생양이 됐다.

◇지난달 워너크라이보다 강력한 랜섬웨어 공격

이번 랜섬웨어는 워너크라이와 유사한 점도 있지만, 확산을 저지하는 '킬 스위치(kill switch)'가 없는 더욱 강력한 변종일 수 있다는 우려가 나온다.

전문가들은 워너크라이의 확산을 막았던 '킬 스위치'가 없는 형태로 만들어졌을 수 있어 수개월에 걸쳐 공격을 가할 수 있을 것으로 보인다고 분석했다.

이번 페티야 공격도 운영체계인 원도의 허점을 노리고 들어오는 까닭에 마이크로소프트의 보안 패치를 설치하는 방식으로 쉽게 감염을 막을 수 있지만 시스템 상의 컴퓨터 한 대가 감염되면 보안 패치를 설치한 다른 컴퓨터까지 감염될 수 있어 많은 컴퓨터를 한 네트워크에서 운용하는 대규모 기업이 자연스럽게 주요 피해자로 노출될 수 있다.

전문가들은 이번 랜섬웨어도 워너크라이와 마찬가지로 '이터널 블루'(Eternal Blue) 코드를 사용한 것으로 보고 있다.

이터널 블루는 미국 국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구로 알려졌는데 지난 4월 해커 조직 '섀도 브로커스'(Shadow Brokers)가 이를 NSA에서 훔쳐 온라인상에 공개했다.

만약 이번 공격에 페티야의 변종 랜섬웨어가 사용됐다면 배후 세력을 추적하기가 쉽지 않아 보이지만 미국 사이버보안업체 플래시포인트는 워너크라이 공격에 쓰인 악성 코드를 언어학적으로 분석한 결과 남부 중국어를 모국어로 하는 사람들이 작성했다는 결론을 내리기도 했다.

◇국내에도 유입된 페티야 렌섬웨어, 대비책은?

출처=한국인터넷진흥원(KISA)

28일 보안업계에 따르면 '페티야(PETYA)' 혹은 '페트야'로 알려진 이 랜섬웨어는 전날 저녁부터 미국 제약사 머크의 국내 지사인 한국MSD가 감염되면서 업무에 차질을 빚기도 했다.

또 일부 온라인 커뮤니티에도 피해자들의 감염 사례가 속속 올라오고 있지만 한국인터넷진흥원(KISA)은 "오후 2시까지 정식으로 신고가 들어온 사례는 없다"며 "보안업계와 정보를 공유하고, 특이 동향을 주시하고 있다"고 말했다.

페트야 랜섬웨어는 작년 초 발견된 랜섬웨어로, 지난달 세계를 휩쓴 워너크라이(WannaCry) 랜섬웨어와 마찬가지로 윈도 운영체제의 SMB(파일공유) 취약점을 파고들어 컴퓨터를 감염시킨 뒤 300달러(한화 약 34만원) 상당의 비트코인(가상화폐)을 요구한다.

보안업계는 "윈도우 SMB 취약점을 이용하기 때문에 윈도 최신 버전을 사용하는 것이 좋다"며 "지난번 워너크라이 사태 때 윈도 업데이트를 통해 해당 취약점을 보완했다면 당분간 안심해도 될 것"이라고 밝혔다.

안랩 V3와 이스트시큐리티의 알약 등 국내 백신 프로그램은 해당 랜섬웨어를 감지해 차단하고 있다.

한국인터넷진흥원은 이상 발생 시 보호나라 홈페이지(www.boho.or.kr)나 인터넷침해대응센터(국번없이 ☎118)로 즉시 신고해달라고 당부했다.

임정빈 선임기자 jblim@segye.com

ⓒ 세상을 보는 눈, 세계일보 & Segye.com