더 강력한 랜섬웨어 등장… 사용자 주의 당부
[IT동아 이상우 기자] 이스트시큐리티가 지난 6월 27일부터 유럽을 중심으로 빠르게 퍼지고 있는 '페트야(Petya) 랜섬웨어'가 워너크라이 랜섬웨어와 유사하며, 일부 진화된 특성으로 더 큰 피해도 가져올 수 있다고 발표했다. 지난 5월 발생한 워너크라이 랜섬웨어 공격이 매우 빠른 속도로 퍼진 이유는 최초로 윈도우 운영체제의 SMB 취약점을 활용했으며, 네트워크를 무작위로 검색해 보안이 취약한 다른 PC를 찾아 감염시키는 특성도 있었기 때문이다.
현재 확산 중인 페트야 랜섬웨어 역시 이 같은 공격 방식을 사용한다. 이스트시큐리티 보안 대응센터(ESRC)의 분석에 따르면 페트야 랜섬웨어는 윈도우 운영체제에서 폴더 및 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용하는 통신 프로토콜인 SMB의 취약점을 공격에 사용하고 있으며, 네트워크로 다른 PC에 전염되는 특성 역시 동일하다.
또한, 페트야 랜섬웨어는 워너크라이 랜섬웨어보다 한 단계 진화한 특징이 있다. 과거 랜섬웨어가 사진이나 문서 등 개별 파일을 암호화한 반면, 페트야 랜섬웨어는 저장장치의 모든 파일과 경로 정보(디렉토리)를 담고있는 MFT(Master File Table)와 운영체제 구동과 관련한 MBR(Master Boot Record) 영역을 감염시킨다.
따라서 감염될 경우 부팅 자체가 불가능한 상태가 되며, 전원을 켜면 윈도우 화면이 나타나는 대신 금전을 요구하는 안내 창만 보인다. 또한 랜섬웨어의 동작을 무력화 시켜 초기 확산을 막는 킬 스위치도 없어, 현재로서는 확산을 늦출 효과적인 방법도 없는 상태다.
이스트시큐리티 관계자는 "워너크라이 랜섬웨어 사태 이후 각국 보안 기업 및 관련 기관이 SMB 취약점 업데이트에 대한 안내를 지속적으로 해왔지만, 동일한 취약점을 사용하는 페트야 랜섬웨어 공격의 피해 사례가 전 세계적으로 접수되고 있는 것으로 미루어 보아 아직까지 많은 사용자가 보안 업데이트를 진행하지 않았다고 추측할 수 있다"며, "SMB 취약점을 활용한 공격은 윈도우와 백신을 최신 버전으로 업데이트만 해도 대부분 차단할 수 있는 만큼, 보안 점검과 업데이트를 서둘러야 한다고 당부했다.
한편, 이스트 시큐리티는 페트야 랜섬웨어 확산에 따라 알약 긴급 업데이트를 통해 이를 진단 및 차단하고 있다. 페트야 랜섬웨어와 관련된 상세한 분석 내용은 이스트시큐리티 공식 블로그(http://blog.alyac.co.kr/1180)에서 확인할 수 있다.
SMB 기능을 차단해 랜섬웨어 감염 및 확산을 막는 방법은 다음 기사를 참고하면 된다(참고기사=https://it.donga.com/26388/).
글 / IT동아 이상우(lswoo@itdonga.com)