본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

부팅 막는 ‘페트야’ 변종 랜섬웨어 전 세계 확산

OSS 게시글 작성 시각 2017-06-28 05:28:45 게시글 조회수 4436

2017년 6월 28일 (수)

ⓒ 블로터닷넷, 한수연 기자 again@bloter.net


업계에서는 망 분리, OTP, 리눅스로 업무용 PC 교체 등을 제시했다.


‘페트야'(Petya) 변종 랜섬웨어가 전 세계적으로 확산되고 있다. <뉴욕타임스>, <더버지> 등 외신은 6월27일(현지시간) 우크라이나, 프랑스, 러시아, 미국 등 세계 여러 나라에서 해당 랜섬웨어 감염 피해가 속출하고 있다고 보도했다.


해당 랜섬웨어는 지난달 전 세계를 강타한 워너크라이 랜섬웨어와 같이 SMB 취약점을 이용한다. 하지만 한 단계 진화한 특성을 가지고 있다.


가장 큰 특징은 페트야 변종 랜섬웨어에 감염되면 PC를 부팅하는 것조차 불가능하다는 점이다. 부팅을 시도하면 정상 윈도우 로고 대신 랜섬웨어 감염 사실과 300달러 상당의 비트코인을 요구하는 ‘랜섬노트(첨부파일 변조)’가 뜬다.


페트야 변종 랜섬웨어 랜섬노트 화면.

▲페트야 변종 랜섬웨어 랜섬노트 화면. (출처=안랩)


또 다른 특징은 빠르게 확산되는 전염성이다. 이스트시큐리티는 해당 랜섬웨어가 마치 전염병처럼 퍼지는 네트워크 웜의 특성을 지녔다고 분석했다. PC 1대가 감염되면 인터넷에 연결돼 있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도한다.


가장 큰 피해를 본 나라는 우크라이나다. 우크라이나의 보르시프리 국제공항, 중앙 은행 등이 페트야 변종 랜섬웨어의 공격을 받았다. 체르노빌 원자력 발전소 운행 시스템까지 공격 대상이 됐다. 이외에도 러시아 석유 회사 로즈네프트, 미국 피츠버그에 위치한 제약 회사 등 피해 사례가 확인됐다.


현재 한국인터넷진흥원(KISA)에 공식적으로 접수된 국내 피해 사례는 없다. KISA 측은 “접수된 것은 없지만 온라인 커뮤니티에 페트야 변종 랜섬웨어에 감염됐다는 국내 피해 사례가 올라왔다”라며 “계속 모니터링을 하며 주시하고 있다”이라고 밝혔다. KISA는 현재 해당 악성코드의 샘플을 확보해 보안업체들과 공유한 상태다.


보안 회사들은 유럽에서 페트야 변종 랜섬웨어가 확산되기 시작하자 대응 모색을 시작했다. 안랩은 6월28일 V3 백신에서 해당 랜섬웨어에 대응하고 있다고 했다. 안랩 V3 제품군에서는 해당 랜섬웨어 정보를 최신 엔진에 반영해 이미 탐지명 ‘Trojan/win32.Petya’으로 진단하고 있다.


이스트시큐리티는 통합 백신 알약의 긴급 업데이트를 완료했으며, 현재 탐지명 ‘Trojan.Ransom.Petya’으로 진단 후 차단하고 있다.


안랩은 피해를 예방하기 위해 기본 보안수칙을 실행해야 한다고 제시했다. 안랩이 제시한 수칙은 V3 등 백신 최신 업데이트, 시스템 정밀검사 및 실시간 감시 기능 켜기, 윈도우 운영체제 및 기타 사용 중 프로그램 최신 업데이트, 주요 파일 백업, 수상한 메일에 첨부된 파일 실행 금지 등이다. 이스트시큐리티 시큐리티대응센터 역시 “SMB 취약점을 활용한 공격은 윈도우와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 전검과 업데이트를 진행해야 한다”라고 당부했다.




크리에이티브 커먼즈 라이선스 (주)블로터앤미디어에 의해 작성된 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-변경금지 4.0 국제 라이선스에 따라 이용할 수 있습니다.


[원문출처 : http://www.bloter.net/archives/283704]

맨 위로
맨 위로