지난 5월 발생한 워너크라이 랜섬웨어 공격이 기존의 랜섬웨어와 비교해 매우 빠른 속도로 세계 각국에 확산된 이유는 최초로 윈도 OS의 SMB 취약점을 활용했으며, 한대의 PC가 감염되면 인터넷에 연결되어있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도하는 마치 전염병과 같은 네트워크 웜(Worn)의 특성도 지니고 있었기 때문이다.
현재 확산되고 있는 페트야 랜섬웨어 역시 이 같은 워너크라이의 공격 방식을 동일하게 사용하고 있다.
안랩 측은 “해당 랜섬웨어는 워너크립토(WannaCryptor) 랜섬웨어 유포에 사용된 SMB 취약점(CVE-2017-0144)을 이용하지만, 파일 암호화 외에 PC의 MBR(Master Boot Record)을 변조해 부팅이 불가능하다는 특징이 있다. 감염되면 사용자가 부팅 시도 시 정상 윈도우 로고 대신 랜섬웨어 감염사실과 금전을 요구하는 ‘랜섬노트’가 팝업된다”고 설명했다.
또 이스트시큐리티 시큐리티대응센터(ESRC)도 “페트야 랜섬웨어는 윈도우 OS에서 폴더 및 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB(Server Message Block) 취약점을 공격에 사용하고 있으며, 다른 시스템을 감염시키는 네트워크 웜의 특성도 동일하게 지니고 있다. 다만 페트야 랜섬웨어는 워너크라이 랜섬웨어보다 한 단계 진화된 특징이 추가돼 이전에 비해 더욱 큰 피해를 가져올 수도 있을 것으로 보인다”고 말했다.
그 이유는, 워너크라이는 물론 기존 랜섬웨어는 사진, 문서 등 저장된 파일을 개별적으로 암호화 시켰던 반면, 페트야 랜섬웨어는 하드 디스크(HDD)와 같이 저장매체에 저장된 모든 파일과 디렉토리에 대한 정보를 담고있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킨다.
이에 따라 이 랜섬웨어에 감염된 PC나 시스템은 윈도 OS 구동 자체가 불가능한 이른바 ‘먹통’ 상태가 되며, 작동을 위해 전원을 켜면 OS를 불러오는 대신 미화 300달러 상당의 비트코인을 요구하는 안내창 만이 보이게 된다.
또한 워너크라이 랜섬웨어의 동작을 무력화 시켜 초기 확산을 저지하는데 큰 역할을 했던 ‘킬 스위치’가 존재하지 않아, 현재로서는 페트야 랜섬웨어의 확산을 지연 시킬 수 있는 효과적인 방안이 없는 상태다.
이스트시큐리티 시큐리티대응센터는 “워너크라이 랜섬웨어 사태 이후 각국의 보안 기업과 관련 기관이 SMB 취약점 업데이트에 대한 안내를 지속적으로 해왔지만, 동일한 취약점을 사용하는 페트야 랜섬웨어 공격의 피해 사례가 전 세계적으로 접수되고 있는 것으로 미루어 보아 아직까지 많은 사용자가 보안 업데이트를 진행하지 않았다는 것으로 보인다”라며, “SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 전검과 업데이트를 진행해야 한다”고 당부했다.
또 안랩 측은 “사용자는 피해를 예방하기 위해 안티바이러스를 최신으로 업데이트 및 시스템 정밀검사 및 실시간 감시 기능을 켜고 윈도우 OS 및 기타 사용중인 프로그램을 최신으로 업데이트해야 한다. 또 주요파일 백업 및 수상한 메일 첨부파일 실행 금지 등 기본 보안수칙을 실행하는 것이 중요하다”고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
