Home > 전체기사
中 페트야 랜섬웨어 피해 발생...몸값 지불했다
  |  입력 : 2017-07-05 13:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보보안업계 “베이징·상하이·장쑤성·간쑤성·랴오닝성 내 소량 컴퓨터 감염 피해”
中 누리꾼 36명 감염 피해 입고 공격자에 파일 복호화 위해 ‘몸값’ 지불


[보안뉴스 온기홍= 중국 베이징] 지난 주 유럽을 중심으로 발생한 페트야(Petya) 랜섬웨어로 인해 중국에서도 감염 피해가 발생한 것으로 확인됐다. 3일 중국 정보보안업계와 매체를 종합하면, 6월 27일 이후 중국 여러 지역에서 일부 컴퓨터 사용자들이 페트야 랜섬웨어 감염 피해를 입은 것으로 확인됐다. 또한, 일부 기업들의 컴퓨터 전산망이 페트야 랜섬웨어의 공격을 받아 감염 피해를 입은 것으로 드러났다. 유럽에 지사를 둔 중국 내 기업들도 페트야 랜섬웨어 공격을 받은 것으로 전해졌다.

중국 정보보안업체인 루이싱정보기술은 자체 위협정보 데이터플랫폼을 통해 페트야 랜섬웨어가 지난달 27일 이후 베이징, 상하이, 간쑤성, 장쑤성, 랴오닝성 등지에서 소량의 컴퓨터를 감염시킨 것으로 파악됐다고 밝혔다. 다만 중국에서는 아직까지 대규모 감염 사례는 전해지지 않고 있다.

▲ 중국 정보보안업체 루이싱정보기술이 페트야 랜섬웨어를 탐지한 화면[자료=루이싱정보기술]


중국에서 페트야 랜섬웨어 감염 피해를 입은 PC 사용자 가운데 36명은 데이터 복호화를 위해 공격자가 요구하는 ‘몸값’을 지불한 것으로 밝혀졌다고 루이싱정보기술은 밝혔다.

공격자는 페트야 랜섬웨어 감염 피해자에게 파일을 복호화하려면 미화 300달러에 상당하는 비트코인을 보내라고 협박하고 있다. 피해자들이 ‘몸값’을 지불한 후 파일이 복호화됐는지 여부는 정확히 알려지지 않고 있지만, 복호화가 이뤄지지 못했을 것으로 보안업계는 보고 있다.

▲ 중국에서 페트야 랜섬웨어 감염 후 파일 복호화를 위해 공격자에게 비트코인을 지불한 피해자 수
[자료=루이싱정보기술]


중국 정보보안업계에 따르면, 페트야 랜섬웨어는 지난 5월 전 세계적으로 피해를 일으킨 워너크라이(WannaCry) 랜섬웨어와 마찬가지로 윈도 운영체제의 SMB 취약점을 이용해 PC를 감염시킨다. 또 ‘EternalBlue’와 ‘EternalRomance’ 취약점을 통해 전파된다.

중국 보안업계는 “페트야 랜섬웨어는 변종의 전파 속도가 워너크라이보다 더 빠르고, NSA 워너크라이 등 해커 툴을 써서 시스템 취약점을 공격하며, 컴퓨터 관리자 공유 기능을 이용해 네트워크에 자동으로 침투할 수 있다”고 밝혔다. 이번에 유럽 내 감염 다발 지역에서는 변종의 전파 속도가 10분마다 5,000여대의 컴퓨터를 감염시킬 정도라고 보안 업계는 설명했다.

루이싱정보기술은 “페트야 랜섬웨어는 워너크라이 랜섬웨어와 비교해 보면, 컴퓨터에 저장된 파일과 디렉터리 정보를 담고 있는 MFT(Master File Table) 영역을 암호화하고 MBR(Master Boot Record) 영역에 접근하여 변조해 컴퓨터 부팅이 안 되게 한다”며, “이로써 기기의 정상 작동을 막으면서 컴퓨터를 사용하지 못하게 한다”고 설명했다. 페트야는 하드디스크의 개별 파일을 파일 확장자 목록에 따라 암호화하는데, 1시간이나 일정한 시간 뒤로 강제 재부팅을 예약 설정한 뒤 재부팅 후 암호화를 진행하는 것으로 알려졌다.

임무 설정과 컴퓨터 재부팅 전까지의 시간 동안 페트야 랜섬웨어는 기기의 지정 포맷의 파일을 암호화하고, 취약점과 원격 WMI 방식을 이용해 인트라넷 안의 다른 기기들을 공격한다고 이 회사는 설명했다. 또한 “페트야 랜섬웨어에 감염되면, 컴퓨터 재부팅 때 바이러스 코드는 윈도우 OS에 앞서 데이터 암호화 실행 등 악성 행위를 벌인다”고 덧붙였다.

컴퓨터 재부팅 때 정상적인 윈도우 로고 대신 랜섬웨어 감염 사실을 알리며 금전 지불을 요구하는 메시지가 뜬다. 이 랜섬 메시지에는 컴퓨터 사용자에게 먼저 파일 복호화를 위해 300달러에 상당하는 비트코인을 특정 (비트코인 지갑) 주소로 보내고 메시지에 표기된 암호화 키를 전자우편 계정으로 전송하라는 공격자의 요구가 담겨 있다.

하지만 페트야 랜섬웨어 제작자가 밝힌 금전 지불용 전자우편 계정이 이미 폐쇄됐기 때문에 피해자가 ‘몸값’을 지불해도 시스템을 복구할 수 없는 상황이라고 이 회사는 강조했다.

▲ 페트야 랜섬웨어 제작자의 전자우편 계정과 비트코인 지갑[자료=루이싱정보기술]


치후360 보안검측대응센터는 “현재까지 파악한 바로는 이번 페트야 랜섬웨어 공격은 매우 강한 지향성을 갖고 있고 유럽 내 감염이 비교적 많았다”며, “현재 중국에서는 감염 수량이 매우 적은 편이고, 주로 유럽과 관계있는 회사에 집중돼 있다”고 설명했다. 하지만 지향성과 이전 (랜섬웨어) 바이러스들이 국외에서 국내로 확산된 사례를 봤을 때, 앞으로 중국 내에서도 전파될 위험성은 비교적 높다고 센터는 경고했다.

中, 유럽 관련 있는 컴퓨터는 주의 필요...취약점에 대해 보안 패치 업데이트해야
중국 내 루이싱정보기술, 텅쉰, 치후360, 진샨 등은 각자 제공하는 백신 소프트웨어들이 페트야 랜섬웨어를 차단, 탐지·퇴치할 수 있다며 컴퓨터 사용자들에게 최신 버전으로 업그레이드할 것을 당부했다.

정보보안업계는 대응조치로 △윈도우 보안 패치 업데이트 △MS 오피스와 워드패드의 원격 코드 실행 취약점(CVE-2017-0199) 보안 패치 업데이트 △WMI 서비스를 이용하지 말 것 △백신 프로그램을 설치하고 최신 버전으로 업데이트 △출처를 알지 못하는 전자우편의 첨부파일을 열지 말라고 당부했다. 중요한 파일의 백업도 반드시 필요하다.

치후360 보안검측대응센터는 “컴퓨터 사용자들은 doc, rtf 등이 붙는 첨부파일과 잘 모르는 곳에서 보낸 전자우편을 열지 말고, 네트워크에서 동일한 계정과 비밀번호를 사용하는 기기에 대해서는 신속히 비밀번호를 바꿔야 한다”고 강조했다. 전원을 켜지 않은 컴퓨터의 경우 비밀번호 변경, 전문 보안제품 패치 업데이트로 랜섬웨어 탐지·퇴치를 진행해야 한다고 센터는 덧붙였다.

베이징시 인터넷정보판공실도 페트야 랜섬웨어에 대한 예방 안내 지침을 발표하고 누리꾼에게 주의를 당부했다. 중국 내 여러 백신 회사의 기업용 제품과 개인용 제품은 모두 페트야 랜섬웨어에 맞서 차단과 탐지 퇴치가 가능하다고 보안업계와 매체들은 전했다.

한편, 페트야 랜섬웨어에 의한 감염 피해는 우크라이나가 가장 심각한 것으로 전해졌다. 우크라이나의 수도 국제공항, 중앙은행, 통신회사, 전력회사, 국가저축은행, 우체국, 지하철, 선박회사, 체르노빌 방사능감지시스템의 컴퓨터 전산망이 페트야 랜섬웨어 공격을 받았다. 우크라이나에서 주로 쓰는 회계 프로그램 ‘MeDoc’의 업데이트 서버가 공격을 받았고, MeDoc을 쓰는 기기들이 자동 업데이트되면서 페트야 랜섬웨어 감염 피해를 입은 것으로 알려졌다.

러시아, 폴란드, 영국, 독일, 인도, 네덜란드, 스페인, 덴마크 등에서도 페트야 랜섬웨어 감염 피해가 발생했다고 중국 보안업계와 매체들은 전했다. 러시아에서는 석유·천연가스회사 Rosneft, 중앙은행, 철강회사 예브라즈, 덴마크에서는 해운회사인 머스크, 미국의 경우 제약회사 Merck와 법률사무소 DLA Piper, 독일 내 다국적 회사인 머크 등이 페트야 랜섬웨어의 공격을 받은 것으로 알려졌다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향