[디지털투데이 박근모 기자] 지난달 150여개국 30여만대의 컴퓨터 시스템을 마비시킨 워너크라이 랜섬웨어가 잠잠해지자 새로운 랜섬웨어가 출현해 유럽과 미국 등 전세계 65개국에서 피해가 보고되고 있다. 특히 이번에 등장한 '페트야' 랜섬웨어는 워너크라이와 달리 PC 시스템 감염시 정상적인 부팅조차 불가능해 더욱 큰 피해 가능성이 높은 것으로 평가된다. 국내에서도 페트야 랜섬웨어로 인한 감염 사례가 보고되는 등 본격적인 확산 가능성이 있어 PC 사용시 주의를 요한다.

미래창조과학부와 한국인터넷진흥원(KISA) 등 보안당국과 국내외 보안업체들은 페트야 랜섬웨어에 피해를 당하지 않기 위해서는 윈도 운영체제(OS) 보안 업데이트와 보안 프로그램을 최신 상태로 유지하고, 중요 데이터는 백업을 해둬야 한다고 강조했다. 또한 인터넷이나 이메일에 첨부된 출처를 알 수 없는 의심스런 파일은 절대 다운로드 받거나 실행하면 안된다고 당부했다.

페트야 랜섬웨어 감염되면 비트코인을 요구하는 '랜섬노트' 화면만 뜬다.(자료=시만텍)

우크라이나에서 시작된 페트야 랜섬웨어...전세계 빠르게 확산

페트야 랜섬웨어는 지난 2016년 처음 보고된 랜섬웨어로 감염시 PC 시스템의 내부 파일 암호화와 더불어 MBR(마스터 부트 레코드) 영역을 손상시켜 엔드포인트 디바이스의 부팅을 불능 상태로 만든다. 이번에 등장한 페트야 랜섬웨어는 기존 보고된 페트야 랜섬웨어의 변종으로 이터널블루 익스플로잇 SMB 취약점을 이용해서 전파되는 것으로 확인됐다.

최상명 하우리 CERT 실장은 "페트야 랜섬웨어의 최초 감염 지역은 우크라이나로 '메독' 소프트웨어(SW)를 통해서 시작된 것으로 알려졌다"라며 "최초 감염 이후 내부 네트워크 상에 존재하는 PC의 윈도 계정 정보를 탈취해 확산 된 것"이라고 설명했다.

이어 "페트야 랜섬웨어에 감염된 PC 중 공인IP가 할당돼 있으면서 서브넷마스크가 잘못 설정된 경우(예:255.0.0.0 등) 외부 네트워크로 감염이 확산이 가능하다"라며 "이를 통해 최초 감염지인 우크라이나를 넘어 우선적으로 유럽과 러시아에 페트야 랜섬웨어가 전파된 것"이라고 덧붙였다.

메독 SW는 우크라이나 기업과 기관에서 널리 쓰이는 세무 회계 프로그램으로 파이어아이에 따르면 이번 페트야 랜섬웨어는 메독 SW 자동 업데이트 패치 배포일인 27일에 맞춰 해당 SW를 사용 중인 PC에 최초 감염이 된 것으로 알려졌다. 또한 우크라이나 CERT 발표에 따르면 메독 SW와 별개로 우크라이나 기관들에 워드문서가 첨부된 이메일을 보내고 해당 이메일의 워드문서를 열람한 사용자 PC에도 페트야 랜섬웨어가 감염되기 시작한 것으로 확인됐다.

초기 감염 이후 윈도OS SMB 취약점(MS17-010)을 이용해 우크라이나를 넘어 전세계에 확산된 것이라고 파이어아이 측은 설명했다.

첫날 우크라이나 정부 전산망을 시작으로 러시아·덴마크·영국 등으로 빠르게 확산된 페트야 랜섬웨어는 키예프 공항·지하철 등 주요 공공시설 마비를 일으켰고, 현금지급기(ATM) 가동 중단 등 금융 시스템에도 영향을 준 것으로 알려졌다. 또한 러시아 국영 석유기업 로스네프트, 덴마크 최대 해운사 A.P.몰더머스크, 영국 광고기업 WPP 뿐만 아니라 미국의 제약기업 머크 등도 페트야 랜섬웨어로 인해 시스템 가동이 중단됐다.

특히 체르노빌 방사능 감지 시스템도 페트야 랜섬웨어의 타깃이 돼 방사능 자동 모니터링 가동이 중단되는 등 위험 상황도 발생했던 것으로 알려졌다. 체르노빌 원전 관리청 공보실에 따르면 현재 해당 문제를 해결하고 시스템이 정상적으로 작동 중이다.

국내 감염 사례 발생...킬 스위치 없어 확산 지연 방법 전무

KISA에 페트야 랜섬웨어로 인한 피해 사례가 정식으로 접수된 바는 없지만, 보안 업계에 따르면 현재 국내에서도 피해 사실이 있는 것으로 확인됐다. 미국의 다국적제약사 머크가 페트야 랜섬웨어에 감염된 이후 국내 지사인 한국MSD의 PC 시스템이 감염돼 업무가 마비된 것으로 알려졌다. 이는 본사인 머크의 PC 시스템이 감염되면서 내부 네트워크 망을 통해 국내 지사에도 확산된 것으로 보안업계에서는 짐작 중이다.

이처럼 페트야 랜섬웨어가 전세계에 빠르게 확산된 원인으로 '킬 스위치'가 없다는 점이 지목됐다.

최상명 실장은 "워너크라이 랜섬웨어의 경우 킬 스위치가 발생 초기에 발견되면서 확산을 지연할 수 있었다"라며 "킬 스위치를 찾지 못한다면 페트야 랜섬웨어의 확산을 지연시킬 방법을 찾는 것은 어려워 보인다"고 설명했다.

보안업계에 따르면 워너크라이 랜섬웨어의 경우는 범용 킬 스위치가 발견돼 초기 확산을 막고 보안 당국과 보안업체들이 대비할 시간을 벌 수 있었지만, 페트야 랜섬웨어의 경우 킬 스위치를 찾지 못해 확산을 저지할 방법이 없는 것으로 알려졌다. 킬 스위치가 존재하지 않으면 해당 랜섬웨어는 네트워크 상에서 끊임없이 취약점이 노출된 시스템을 찾아 공격하게 된다.

윈도 보안 업데이트 및 백업 필수...의심스런 파일 실행 주의

페트야 랜섬웨어로부터 피해를 입지 않도록 대비하기 위해서는 우선적으로 개인 PC 사용자와 기업 내 PC 사용자들은 마이크로소프트(MS)에서 지난 4월과 6월 제공한 윈도 OS 보안 업데이트를 반드시 해야한다. MS에 따르면 해당 업데이트를 통해서 현재 페트야 랜섬웨어가 노리는 SMB 취약점을 해결 가능하다.

특히 보안 업데이트 지원이 끝난 윈도XP, 윈도 서버 2008 등도 해당 취약점 보안 업데이트를 제공하는만큼 아직 하지 않았다면 지금이라도 해야한다. 더불어 PC에 설치된 보안 솔루션을 최신 버전으로 유지해야한다. 현재 국내 보안업체들의 보안 솔루션들은 최신 업데이트를 통해 해당 랜섬웨어를 탐지할 수 있다.

또한 페트야 랜섬웨어가 SMB 취약점을 노리는 동시에 이메일 등을 통한 파일 전파 방법도 이용하는 것으로 알려져 인터넷과 이메일 등을 통해 첨부된 출처를 알 수 없는 파일은 다운로드나 실행을 절대 하면 안된다.

끝으로 중요 데이터는 반드시 백업을 해둬야 한다. 페트야 랜섬웨어의 경우 감염되면 자동으로 재부팅이 되도록 설정되고, 재부팅시 정상적인 시스템 부팅이 이뤄지지 않고, 약 34만원 상당의 비트코인을 요구하는 '랜섬노트'만이 화면에 뜨게 된다. 중요 데이터를 백업해 뒀다면 랜섬웨어에 감염됐더라도 복구가 가능하다. 단, 백업 파일은 반드시 망 분리가 된 외장 디스크나 클라우드 시스템 등에 따로 보관해야 한다. 만약 동일 저장 장치나 네트워크 상에 있다면 백업 파일 조차 감염돼 암호화가 될 수 있다.

한편, 페트야 랜섬웨어는 미국 국가안보국(NSA)가 MS 윈도 OS 취약점을 활용해 만든 해킹툴 이터널 블루의 소스코드를 접목한 것으로 알려져 해당 소스코드를 이용한 또다른 변종이 등장할 가능성도 큰 것으로 알려졌다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사