침해사고/위협동향

2000명 공격한 페트야 랜섬웨어, 메일계정 폐쇄 “암호 못 푼다”

최민지

[디지털데일리 최민지기자] 전세계 2000여명을 공격한 페트야(Petya) 랜섬웨어의 메일계정이 폐쇄돼 현재 암호를 풀어 데이터를 복구할 수 있는 방법이 없어진 것으로 확인됐다.

28일 카스퍼스키랩은 페트야 랜섬웨어를 퍼트린 사이버범죄자들의 메일 계정이 폐쇄돼 현재 암호를 푸는 방법이 없다고 밝혔다. 해커는 암호화된 데이터를 복구하려면 300달러를 비트코인으로 종합 비트코인 계좌로 지불하도록 피해자들에게 요구하고 있다.

이 해커는 워너크라이 랜섬웨어 때와 달리 지갑번호를 메일로 보내도록 했는데, 이 메일 계정이 사라진 것이다. 현재까지 비트코인 지갑에는 24건의 거래가 기록돼 있다. 금액으로는 2.54비트코인, 약 6000달러로 추산된다.

카스퍼스키랩에 따르면 2000여명의 사용자가 페트야 랜섬웨어 공격을 받았다. 러시아와 우크라이나가 가장 많은 공격을 받았으며 폴란드, 이탈리아, 영국, 독일, 프랑스, ​​미국, 한국 등 여러 국가도 공격 대상이 됐다.

이 랜섬웨어는 기존에 공개된 페트야 랜섬웨어 변종이 아닌 이전에 보고되지 않은 새로운 신종으로 알려졌다. 다만, 워너크라이 랜섬웨어와 상당 부분 유사한 것으로 조사됐다.

지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유는 최초로 윈도 운영체제(OS)의 SMB(Server Message Block) 취약점을 활용했으며, 네트워크 웜(Worn)의 특성을 지니고 있었기 때문이다.

한대의 PC가 감염되면 인터넷에 연결돼 있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하는 마치 전염병과 같다. 현재 확산되고 있는 페트야 랜섬웨어 역시 이 같은 워너크라이의 공격 방식을 동일하게 사용하고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)의 분석에 따르면 페트야 랜섬웨어는 윈도 OS에서 폴더 및 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB 취약점을 공격에 사용하고 있으며, 다른 시스템을 감염시키는 네트워크 웜의 특성도 동일하게 지니고 있다.

특히, 워너크라이 랜섬웨어보다 한 단계 진화된 특징이 추가돼 이전에 비해 더욱 큰 피해를 가져올 수도 있을 것으로 보인다.

기존 랜섬웨어는 사진·문서 등 저장된 파일을 개별적으로 암호화 시켰던 반면, 페트야 랜섬웨어는 하드 디스크(HDD)와 같이 저장매체에 저장된 모든 파일과 디렉토리에 대한 정보를 담고있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킨다.

이 랜섬웨어에 감염된 PC나 시스템은 윈도 OS 구동 자체가 불가능한 이른바 먹통 상태가 되며, 작동을 위해 전원을 켜면 OS를 불러오는 대신 미화 300달러 상당의 비트코인을 요구하는 안내창만 보이게 된다.

또한 워너크라이 랜섬웨어의 동작을 무력화 시켜 초기 확산을 저지하는데 큰 역할을 했던 ‘킬 스위치’가 존재하지 않아, 현재로서는 페트야 랜섬웨어의 확산을 지연 시킬 수 있는 효과적인 방안이 없는 상태다.

이 익스플로잇을 이용한 랜섬웨어를 막기 위해서는 윈도 소프트웨어의 ‘MS17-010’ 보안 패치를 수행해야 한다.

현재 알약, V3 등 국내외 보안 프로그램을 통해 이 랜섬웨어를 진단하며 대처하고 있다. 사용자는 피해를 예방하기 위해 백신 프로그램을 최신으로 업데이트하고 윈도 OS와 사용 중인 프로그램을 최신 버전으로 유지해야 한다. 중요 데이터에 대한 백업도 수행해야 한다.

이스트시큐리티 시큐리티대응센터는 “SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 점검과 업데이트를 진행해야 한다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널