28일(현지시각) IT 전문 매체 BGR은 이번 페트야 랜섬웨어가 특정 국가를 노린 사이버 공격일 수 있다고 보도했다. 러시아가 우크라이나를 겨냥한 사이버 공격이며 이것이 인터넷을 타고 전 세계적으로 확산됐다는 것이다.
전날 우크라이나에서 발생한 페트야 랜섬웨어는 순식간에 전 세계로 퍼졌다. 러시아를 비롯해 프랑스, 독일 등 유럽 전역은 물론 미국에서도 피해가 발생했다. 특히 체르노빌 원전의 방사능 자동 모니터링 시스템까지 수동으로 전환할 정도였다.
페트야 랜섬웨어는 지난달 세계를 휩쓴 워너크라이 랜섬웨어와 마찬가지로 윈도 운영체제의 SMB(파일공유) 취약점을 파고들어 컴퓨터를 감염시킨다. 이후300달러(한화 약 34만원) 상당의 비트코인(가상화폐)을 요구한다.
보통 랜섬웨어는 복구할 방법을 남겨두지만 이번 페트야 랜섬웨어는 마스터부트레코드(MBR)의 특정 섹터를 모조리 지워버린다. 돈을 줘도 복구 자체가 불가능하다.
전문가들은 랜섬웨어 공격 대부분이 돈을 목적으로 하는 것과 달리 이번 페트야 랜섬웨어는 그렇지 않다는데 의문을 제기하고 있다.
페트야 랜섬웨어는 일반적인 랜섬웨어와 달리 감염된 시스템의 암호를 해독할 수 없었을 뿐 아니라 지불 방법도 매우 복잡했다. 비트코인 계좌에도 평소보다 적은 금액이 모였다.
또 워너크라이가 150여 개 국가에 퍼진 것과 달리 이번 페트야 랜섬웨어는 약 10개 국가에서만 나타났다.
국내외 보안 업계에서는 이번 페트야 랜섬웨어 공격이 워너크라이와 같은 보안 취약점을 쓰긴 했지만 "매우 차별적인 공격 특성을 보인다"고 분석했다.
사이버 보안회사 카스퍼스키랩(Kaspersky Labs)은 "우크라이나가 이번 페트야 랜섬웨어 공격의 진원지"라면서 "감염된 시스템의 60%가 우크라이나에 있다"면서 표적 공격 가능성을 제기했다.
우크라이나 경찰과 국가 컴퓨터 침해 사고 대응반(CERT)은 이번 페트야 랜섬웨어가 우크라이나 기업, 정부기관 등에서 많이 사용하는 '메독(MeDoc)'의 자동 업데이트 취약점을 악용해 침투한 것으로 보고 있다. 해커들은 우크라이나 공무원들에게 랜섬웨어가 숨겨진 이메일을 보내 컴퓨터를 감염시킨 것으로 알려졌다.
동시에 우크라이나 특정 언론사를 대상으로 한 '워터링홀' 공격까지 일어났다. 우크라이나를 집중적으로 노렸다는 추정이 나오는 배경이다.
너무 많은 공격이 우크라이나에 비정상적으로, 또 고의로 쏟아진데다 암호화한 뒤 '몸값'을 요구하지 않는 점 등으로 미뤄 전문가들은 러시아가 랜섬웨어 악성코드로 위장해 우크라이나를 노린 사이버공격으로 보고 있다.
러시아가 피해를 입은 것도 우크라이나를 조준한 사이버 공격이 외부 네트워크로 유출되면서 IP 대역이 비슷한 러시아까지 영향을 미쳤다는 설명이다.
러시아는 지난 2014년 빅토르 야누코비치 전 대통령이 물러난 뒤 우크라이나 지역에서 군사 개입에 적극 나서고 있다. 지난 2015년엔 우크라이나의 전력망에 대한 사이버공격을 감행하기도 했다.
우크라이나 내무장관 보좌관인 안톤 게라시첸코 의원은 페이스북을 통해 "우크라니아의 불안정을 목표로 하이브리드 전쟁(hybrid warfare)을 벌이고 있는 러시아가 벌인 일"이라고 밝히기도 했다.
이번 페트야 랜섬웨어는 워너크라이와는 달리 공격을 중지할 수 있는 '킬 스위치'가 발견되지 않은 만큼 피해 우려가 더 큰 상황이다.
한국인터넷진흥원은 이상 발생 시 보호나라 홈페이지나 인터넷침해대응센터(국번없이118)로 즉시 신고해달라고 당부했다.
중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하고, 사용 PC의 운영 체제와 보안 프로그램을 최신 버전으로 업데이트가 필요하다.