시만텍에 따르면 페트야 랜섬웨어의 새로운 변종이 지난 27일 유포되기 시작, 프랑스, 러시아, 우크라이나, 스페인 등 유럽의 기업 및 정부 시스템을 공격하며 많은 감염사례가 보고되고 있다.
영국 런던의 세계 최대 광고회사 WPP, 프랑스의 건축자재 및 유리 제조기업 생고뱅, 러시아의 철강 및 석유기업 예브라즈와 로즈네프트 등이 피해를 입었다.
글로벌 식품업체 몬델리즈와 세계 최대 로펌 디엘에이파이퍼, 덴마크 종합기업 A.P. 몰러-머스크 그룹 등도 감염됐다. 다국적 기업이 주로 공격의 대상이 됐다는 분석이다.
특히 우크라이나에서 정부와 은행, 전력망, 공항 및 지하철 등이 극심한 공격을 받은 것으로 알려졌다.
최근 전세계적으로 대규모 감염사태를 초래한 워너크라이(WannaCry)와 유사하게 페트야 랜섬웨어도, MS17-010 취약점을 이용한 이터널 블루(Eternal Blue) 익스플로잇을 통해 스스로 전파가 가능한 것으로 나타났다.
지난해 최초 탐지된 페트야는 단순히 파일을 암호화하는 전형적인 랜섬웨어와 달리, 마스터 부트 레코드(MBR)를 덮어쓰고 암호화함으로써 더 큰 피해를 입히는 것으로 분석됐다.
이번에 발견된 공격에서는 파일 복구를 위해 300달러의 몸값을 비트코인으로 요구하기도 했다.
시만텍 조사 결과, 페트야는 현재 유럽에 위치한 기업들을 주 공격 대상으로 삼고 이고, 페트야 이전 변종은 기업을 겨냥한 표적 공격에 사용됐던 것으로 나타났다.
페트야 랜섬웨어는 미국국가안보국(NSA) 해킹에 의해 유출된 SMB 취약점을 이용해 대량으로 확산된 워너크라이 랜섬웨어의 웜 전파 방식을 차용한 사례로, 이를 모방한 유사 사이버 범죄가 등장할 것이라는 게 시만텍측 판단이다.
윤광택 시만텍코리아 CTO는 "국내 기업들도 피해를 입지 않도록 소프트웨어를 업데이트하고, 최신 보안패치를 적용해야 할 것"이라고 당부했다.