페트야 랜섬웨어, 목표는 '돈'보다 '국가'

감염 피해 60%가 우크라이나에 집중…'국가' 겨냥한 공격설에 무게

[아시아경제 한진주 기자] 유럽의 기업과 기관들 사이에서 확산되고 있는 '페트야(Petya)' 랜섬웨어가 금전보다는 국가를 목표로 한다는 분석에 힘이 실리고 있다.

28일(현지시간) 카스퍼스키랩 등에 따르면 페트야 랜섬웨어에 감염된 PC가 2000대 이상이며, 이중 60%가 우크라이나에서 발생한 것으로 조사됐다. 우크라이나의 공항이나 중앙은행, 지하철, 체르노빌 발전소 등 기반시설까지도 타격을 입었다. 이밖에도 러시아, 덴마크, 영국 등에서도 피해를 입었다.

국내에서도 미국 제약사 머크의 한국 지사인 한국MSD에서 페트야 감염 피해를 입은 것으로 나타났다. 인터넷진흥원을 통해 접수된 신고나 피해 사례는 없는 상태다.

'페트야' 랜섬웨어의 초기 침투 경로들을 살펴보면 기존의 랜섬웨어들과 다르다는 점을 알 수 있다. 해커들은 우크라이나에서 자주 사용되는 회계 프로그램의 소프트웨어 업데이트 취약점을 활용해 페트야를 유포시켰다. 또한 우크라이나의 뉴스 홈페이지를 활용해 악성 프로그램을 설치한 정황도 포착됐다.

페트야 랜섬웨어의 주 목적이 '돈'보다는 '공격' 그 자체일 가능성에도 무게가 실리고 있다. 대부분의 랜섬웨어는 파일을 암호화했다가 비용을 지불하면 복호화해주지만, 페트야에 감염된 시스템의 경우 암호를 해독할 수 없고 지불방법 또한 매우 복잡하기 때문이다.

페트야 랜섬웨어에 감염된 화면

페트야는 컴퓨터 부팅에 필요한 파일들까지 감염시켜 일단 감염되면 컴퓨터가 '먹통'이 되어버린다. 하드웨어에 저장된 모든 파일과 디렉토리 정보를 담은 마스터파일테이블(MFT)과 운영체제(OS) 구동과 관련된 마스터부트레코드(MBR)을 암호화시키기 때문이다. 공격자들이 복구 이후를 고려하지 않은 방법을 사용한 것이 특정 국가를 겨냥했기 때문이라는 해석도 가능하다. 보안업계에서는 러시아가 우크라이나를 상대로 사이버전을 벌였다는 주장도 나온다.

보안업계 관계자는 "페트야 랜섬웨어는 복구를 고려하지 않은 파괴적인 성격을 띄는 악성코드로 원래는 내부망의 PC들을 모두 감염시키기 위해 사용됐다"며 "일부 PC의 동일한 IP 대역의 다른 나라들까지 일부 전파되면서 세계적 공격이 된 것으로 보이지만 IP대역이 근접한 일부 국가에만 피해를 입었고, 동시다발적인 공격으로 우크라이나를 초토화 시킨 사이버전 성격이 짙다"고 설명했다.

페트야 랜섬웨어는 '워너크라이'와 유사한 취약점을 활용한다.윈도 OS에서 폴더와 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB(Server Message Block) 취약점을 공격에 사용하고 있으며, 다른 시스템을 감염시키는 네트워크 웜의 특성도 지니고 있다. 다만 워너크라이 확산 초기에는 워너크라이의 동작을 무력화시키는 '킬스위치'가 있었지만, 페트야의 경우 아직까지 확산을 지연시킬 방안이 없는 상황이다.

감염을 예방하기 위해서는 중요한 자료는 네트워크에서 분리된 저장장치에 별도로 저장해 관리하고, 윈도 등 OS와 사용중인 프로그램에 최신 보안 업데이트를 적용해야 한다. 이외에도 ▲신뢰할 수 있는 백신 최신버전 설치·정기적 검사 진행 ▲출처가 불분명한 메일 또는 링크의 실행 주의 ▲파일 공유 사이트 등에서의 파일 다운로드·실행에 주의해야 한다.

안랩 ASEC 대응팀은 "페트야 랜섬웨어는 파일을 암호화하는 것 외에 시스템의 MBR을 변조해 부팅을 불가능하게 만들어 감염되면 워너크라이보다 더 큰 피해가 우려된다"며 "감염피해를 막기위해 SMB취약점 관련 윈도우 보안패치를 적용하는 것이 필요하다"고 말했다.

한진주 기자 truepearl@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>