[아이뉴스24 김국배기자] 페트야 랜섬웨어가 우크라이나를 겨냥한 표적 공격일 가능성에 무게가 실리고 있다.
지난달 전 세계를 대상으로 무차별적으로 뿌려진 워너크라이 랜섬웨어와 달리 우크라이나를 목표로 삼은 상태에서 비슷한 IP 대역의 국가들이 덩달아 피해를 봤다는 분석이다.
특히 랜섬웨어의 특성 자체도 금전을 요구하려는 목적보다는 파괴적인 성격이 강한 것으로 나타나 '사이버 인질극'보다 '사이버전'에 가깝다는 평가가 나온다. 배후를 둘러싼 추측도 무성하다.
29일 국내외 보안 업계에서는 이번 페트야 랜섬웨어 공격이 지난 5월 발생한 워너크라이와 같은 보안 취약점(윈도 운영체제 SMB 취약점)을 쓰긴 했지만 매우 차별적인 공격 특성을 보인다는 분석을 내놓고 있다.
가장 큰 차이점은 표적 공격 가능성이다. 페트야 랜섬웨어는 우크라이나 기업, 정부기관 등에서 많이 사용하는 영국 회계 소프트웨어(SW)인 '메독(MeDoc)'의 자동 업데이트 취약점을 악용해 최초 감염된 것으로 알려진다.
동시에 우크라이나 기관을 겨냥한 이메일을 통한 '스피어 피싱'과 특정 언론사를 대상으로 한 '워터링홀' 공격까지 일어났다. 우크라이나를 집중적으로 노렸다는 추정이 나오는 배경이다.
실제로 카스퍼스키랩에 따르면 우크라이나는 이번 랜섬웨어 공격을 가장 많이 받은 국가로 나타났다. 또 워너크라이가 150여 개 국가에 퍼진 것과 달리 이번 페트야 랜섬웨어는 약 10개 국가에서만 나타났다.
파이어아이는 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크, 스페인에서 페트야 랜섬웨어를 탐지했다.
최상명 하우리 CERT실장은 "이번 공격은 전 세계를 대상으로 무차별적으로 뿌린 워너크라이와는 확연히 다르다"면서 "최초 감염은 모두 우크라이나를 대상으로 했고, 악성코드에 같은 IP 대역으로 전파하는 '네트워크 웜' 기능이 있어 해당 국가들이 피해를 본 것"이라고 말했다.
이어 "특히 러시아는 우크라이나와 IP 대역이 많이 비슷해 두 번째로 공격이 많았고, 한국의 경우 글로벌 기업 본사가 당하면서 같은 네트워크를 쓰는 한국지사가 당한 사례"라고 설명했다.
또 지난해 처음 등장한 페트야는 과거 표적 공격에 쓰인 적이 있다. 시만텍은 "현재로선 표적공격 여부는 확실하지 않다"면서도 "페트야 이전 변종은 기업을 겨냥한 표적 공격에 사용된 바 있었다"고 전했다.
더욱이 이번 페트야 랜섬웨어는 일반적인 랜섬웨어와 달리 파괴적 성격을 지녔다는 점도 표적 공격이라는 주장에 설득력을 높이고 있다.
흔히 랜섬웨어는 중요 파일을 암호화하고 이를 풀어주는 대가로 금전을 노린다. 하지만 이번 랜섬웨어는 파일 암호화뿐만 아니라 부팅 영역까지 파괴한다. '몸값'을 노렸다면 복구를 염두해뒀어야 하는데 그렇지 않다는 얘기다.
최 실장은 "보통 랜섬웨어는 복구할 방법을 남겨두지만 이번 페트야 랜섬웨어는 마스터부트레코드(MBR)의 특정 섹터를 아예 지워버린다"며 "이 부분은 돈을 줘도 복구할 수 없다"고 말했다.
이번 공격의 배후는 밝혀지지 않고 있다. 다만 일각에서는 러시아의 소행을 의심하는 목소리가 나온다. 과거 수차례 러시아 해커들의 공격을 받은 전례가 있기 때문이다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기