하드웨어에 저장된 정보 담은 마스터부트레코드 등을 암호화
감염되면 컴퓨터 먹통 상태로 만들고 300달러 요구
[아시아경제 한진주 기자] '페트야(Petya)' 랜섬웨어의 감염 피해가 전 세계적으로 확산되고 있다. 제2의 워너크라이 사태로 확대될 가능성까지 제기되고 있다.
28일 인터넷진흥원은 "러시아, 유럽 등의 공공기관, 기업, 금융기관이 사이버 공격을 받아 시스템 장애 등 피해가 발생했다"며 "랜섬웨어를 이용한 공격으로 피해 발생, 각 기관,기업 및 일반사용자는 피해 예방을 위한 보안 강화 조치 등 주의가 필요하다"고 말했다.
국내의 한 커뮤니티에서도 '페트야' 랜섬웨어에 감염되자 다른 직원들의 컴퓨터들까지 차례대로 감염됐다는 게시글이 업로드됐다. 28일 현재 인터넷진흥원에 접수된 감염 신고 사례는 한 건도 없다.
페트야는 컴퓨터의 부팅 관련 파일과 이용자 파일을 암호화해 장애를 유발하는 랜섬웨어다. 지난 27일부터 변종이 유포되기 시작하면서 유럽 일대에서 감염 사례가 확대되고 있다. 카스퍼스키랩에 따르면 현재까지 2000여명의 사용자가 페트야로 인해 피해를 입었다.
페트야는 단순히 파일을 암호화하는 랜섬웨어보다 더 큰 피해를 입히며, 감염될 경우 PC 자체가 먹통이 될 수 있다. 하드웨어에 저장된 모든 파일과 디렉토리 정보를 담은 마스터파일테이블(MFT)과 운영체제(OS) 구동과 관련된 마스터부트레코드(MBR)을 암호화시킨다. 감염되면 OS를 작동시킬 수 없고 300달러 상당의 비트코인을 요구하는 안내창이 등장한다.
또한 페트야는 워너크라이와 유사한 취약점을 활용하며, 스스로 전파할 수 있다. 윈도 OS에서 폴더와 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB(Server Message Block) 취약점을 공격에 사용하고 있으며, 다른 시스템을 감염시키는 네트워크 웜의 특성도 지니고 있다.
워너크라이 당시 랜섬웨어의 동작을 무력화시키는 '킬스위치'가 있었지만, 페트야의 경우 아직까지 확산을 지연시킬 수 있는 방안이 없는 상황이다.
인터넷진흥원은 감염을 예방하기 위해 중요한 자료는 네트워크에서 분리된 저장장치에 별도로 저장해 관리하고, 윈도 등 OS와 사용중인 프로그램에 최신 보안 업데이트를 적용해야 한다고 밝혔다. 또한 ▲신뢰할 수 있는 백신 최신버전 설치·정기적 검사 진행 ▲출처가 불분명한 메일 또는 링크의 실행 주의 ▲파일 공유 사이트 등에서의 파일 다운로드·실행 주의 등을 당부했다.
현재 안랩 V3와 알약, 시만텍 등은 자사 백신 시스템으로 페트야를 탐지하고 있다.
이스트시큐리티 시큐리티대응센터는 "워너크라이 랜섬웨어 사태 이후 각국의 보안 기업과 관련 기관이 SMB 취약점 업데이트에 대한 안내를 지속적으로 해왔지만, 동일한 취약점을 사용하는 페트야 랜섬웨어 공격의 피해 사례가 전 세계적으로 접수되고 있어 아직까지 많은 사용자가 보안 업데이트를 진행하지 않은 것으로 보인다"며 "SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 전검과 업데이트를 진행해야 한다"고 말했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
