워너크라이 유사한 윈도 취약 방식… '더욱 센 변종' 우려도
우크라이나, 영국 러시아 등 유럽을 강타한 랜섬웨어가 국내에도 유입된 것으로 나타났다.
28일 보안업계에 따르면 ‘페티야(PETYA)’로 알려진 이 랜섬웨어는 전날 저녁부터 국내에서도 감염 사례가 발견된 것으로 알려졌다. 실제 일부 온라인 커뮤니티에는 피해자들의 감염 사례가 올라오고 있다.
한국인터넷진흥원(KISA) 관계자는 “정식으로 신고가 들어온 것은 아직 없다”며 “보안업계와 정보를 공유하고, 특이 동향을 주시하고 있다”고 설명했다.
지난해 초 발견된 페티야 랜섬웨어는 지난달 전세계를 강타한 워너크라이(WannaCry) 랜섬웨어와 유사하다. 윈도 운영체제의 SMB(파일공유) 취약점을 파고들어 컴퓨터를 감염시킨 뒤 300달러(한화 약 34만원) 상당의 비트코인(가상화폐)을 요구하는 식이다.
이 랜섬웨어는 윈도의 마스터부트레코드(MBR)를 암호화하므로 감염되면 시스템 자체가 먹통이 된다.
국내 보안업체 이스트시큐리티는 “워너크라이와 동일하게 네트워크 웜 기능이 추가된 것으로 보인다”며 “스스로 네트워크의 취약점을 찾아서 전파되기 때문에 감염 속도가 빠르다”고 분석했다.
안랩은 “해당 랜섬웨어는 워너크라이 랜섬웨어 유포에 사용된 SMB 취약점(CVE-2017-0144)을 이용하지만 파일 암호화 외에 PC의 MBR(마스터 부트 레코드)를 변조해 부팅도 불가능한 것으로 확인됐다”라며 “감염되면 사용자가 부팅 시도 시 정상 윈도우 로고 대신 랜섬웨어 감염사실과 금전을 요구하는 ‘랜섬노트’가 팝업 된다”고 전했다.
일각에서는 '페티야 랜섬웨어'의 변종인 '골든아이'와 거의 동일한 새로운 악성 프로그램이라는 분석도 나온다.
특히 이번 랜섬웨어는 워너크라이와 유사한 점도 있지만, 확산을 저지하는 '킬 스위치(kill switch)'가 없는 더욱 강력한 변종일 수 있다는 우려가 제기된다.
이에 새로운 랜섬웨어 확산에 대한 경고가 나오고 있지만 한편에서는 지난달 워너크라이 공격 당시 많은 사람이 컴퓨터에 최신 윈도 보안 패치를 설치했기 때문에 오히려 지난달보다 피해가 작을 것이라는 낙관론도 나온다.
보안업계 관계자는 “워너크라이와 동일한 SMB 취약점을 이용하기 때문에 윈도 업데이트를 통해 해당 취약점을 보완했다면 당장 감염 위험은 없는 것으로 확인됐다”면서도 “해당 랜섬웨어로부터 추가로 발생할 수 있는 감염 피해를 막기 위해서 최신 윈도 업데이트와 보안 솔루션 등 대비가 반드시 필요하다”고 당부했다.
한편 전날 이번 랜섬웨어 공격으로 우크라이나 정부 전산망과 체르노빌 방사능감지시스템, 러시아 국영 기업, 덴마크의 세계 최대 해운사 A.P.몰러머스크, 영국의 광고기업 WPP 등 유럽 전역이 피해를 봤다. 동시에 미국의 제약기업 머크 등도 해킹 공격을 받은 사실을 확인했다.
[신아일보] 박소연 기자 thdus5245@shinailbo.co.kr
