상세 컨텐츠

본문 제목

워너크라이와 동일한 공격 방식 사용하는 ‘페트야 랜섬웨어’… 피해를 왜 막지 못했나?

이스트시큐리티 소식

by 알약(Alyac) 2017. 6. 28. 13:08

본문


▲ 부팅 화면에서 보여지는 페트야(PETYA) 랜섬웨어 결재 안내창

 

27일(현지시간)부터 유럽을 중심으로 급속히 확산되고 있는 ‘페트야(Petya) 랜섬웨어’가 워너크라이 랜섬웨어와 상당 부분 유사하며, 일부 진화된 특성으로 더욱 큰 피해도 가져올 수 있는 것으로 보입니다. 이에 사용자 주의를 당부 드립니다.


지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유로는 두 가지를 들 수 있습니다. 첫 번째로는 최초로 윈도 OS의 SMB 취약점을 활용한 점과 한 대의 PC가 감염되면, 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하여 마치 전염병과 같은 네트워크 웜(Worm)의 특성도 지니고 있었기 때문입니다. 현재 확산되고 있는 페트야(PETYA) 랜섬웨어 역시 이 같은 워너크라이의 공격 방식을 동일하게 사용하고 있습니다.

 

이스트시큐리티 시큐리티대응센터(ESRC)의 분석에 따르면 페트야 랜섬웨어는 윈도 OS에서 폴더 및 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB(Server Message Block) 취약점을 공격에 사용하고 있으며, 다른 시스템을 감염시키는 네트워크 웜의 특성도 동일하게 지니고 있습니다.

 

다만 페트야(PETYA) 랜섬웨어는 워너크라이 랜섬웨어보다 한 단계 진화된 특징이 추가돼, 이전에 비해 더욱 큰 피해를 가져올 수도 있을 것으로 보입니다.

 

워너크라이는 물론 기존 랜섬웨어는 사진, 문서 등 저장된 파일을 개별적으로 암호화 시켰던 반면, 페트야 랜섬웨어는 하드 디스크(HDD)와 같이 저장매체에 저장된 모든 파일과 디렉토리에 대한 정보를 담고있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킵니다.

 

이에 따라 이 랜섬웨어에 감염된 PC나 시스템은 윈도 OS 구동 자체가 불가능한 이른바 ‘먹통’ 상태가 되며, 작동을 위해 전원을 켜면 OS를 불러오는 대신 미화 300달러 상당의 비트코인을 요구하는 안내창 만이 보이게 됩니다. 또한 워너크라이 랜섬웨어의 동작을 무력화 시켜 초기 확산을 저지하는데 큰 역할을 했던 ‘킬 스위치’가 존재하지 않아, 현재로서는 페트야 랜섬웨어의 확산을 지연 시킬 수 있는 효과적인 방안이 없는 상태입니다.

 

이스트시큐리티 시큐리티대응센터는 워너크라이 랜섬웨어 사태 이후 각국의 보안 기업과 관련 기관이 SMB 취약점 업데이트에 대한 안내를 지속적으로 해왔지만, 동일한 취약점을 사용하는 페트야 랜섬웨어 공격의 피해 사례가 전 세계적으로 접수되고 있는 것으로 미루어 보아 아직까지 많은 사용자가 보안 업데이트를 진행하지 않았다는 것으로 보인다고 밝혔습니다.


SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 전검과 업데이트를 진행할 것을 간곡히 당부 드립니다.

 

이스트시큐리티는 페트야 랜섬웨어의 국내 피해를 예방하기 위해 통합 백신 알약(ALYac)의 긴급 업데이트를 완료했으며, 현재 탐지명 ‘Trojan.Ransom.Petya’로 진단 후 차단하고 있습니다.

 





관련글 더보기

댓글 영역