국내 감염사례 아직 없지만 유입 가능성 높아
충분히 복구 가능... 다른 랜섬웨어보다 위험도 낮아
[보안뉴스 권 준] 최근 들어 각종 랜섬웨어 변종이 기승을 부리는 가운데 지난 25일부터는 PC의 MBR(Master Boot Record) 영역을 변조하는 신종 랜섬웨어 ‘PETYA┖가 발견돼 비상이 걸렸다.
▲PETYA 랜섬웨어가 MBR 영역을 변조한 후 최초로 띄우는 해골 이미지 화면(자료: 알약 블로그)
보안전문업체 하우리는 한동안 잠잠했던 MBR 락커(Locker)가 랜섬웨어의 유행과 함께 다시 등장했다며, 해당 악성코드에 감염되면 PC의 정상적인 부팅이 불가능해져 PC를 아예 사용하지 못하게 된다고 밝혔다.
아직 국내 감염 사례는 발견되지 않았지만, 해외에서 활동한 랜섬웨어들이 빠른 시일 내에 국내로 유입되는 경우가 많았기에 사용자들의 주의가 필요하다는 것.
알약 블로그 측도 MBR(Master Boot Record) 영역을 변조해 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염됐다는 랜섬메시지를 띄우는 ‘PETYA’ 랜섬웨어가 발견됐다며 각별한 주의를 당부했다.
이번에 발견된 ‘PETYA’ 랜섬웨어 파일을 암호화 대상으로 삼는 기존의 랜섬웨어들과는 달리 MBR 영역의 코드를 변조해 정상적으로 부팅이 불가능한 것으로 알려졌다. 하지만 원본 MBR 코드를 간단한 인코딩을 통해 PC내에 저장하고 있어 실질적으로 입금을 하지 않더라도 충분히 복구가 가능하므로 다른 랜섬웨어보다는 위험도가 낮다는 게 하우리 측의 설명이다.
또한, 해당 랜섬웨어는 주로 이메일 첨부파일을 통해 드롭박스를 경유해서 유입되는 형태를 띄고 있는 것으로 분석됐으며, 일단 감염되면 MBR 영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능한 것으로 알려졌다. 감염되면 몇분 이내로 시스템이 강제 재부팅된다.
알약 블로그에 따르면 MBR 영역을 변조한 후 최초로 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬메시지가 뜨게 된다.
▲PETYA 랜섬웨어가 띄우는 랜섬메시지(자료: 알약 블로그)
랜섬메시지에서는 토르 브라우저를 이용한 특정 URL접속을 유도하는 데, 해당 주소로 실제 접근하게 되면 먼저 캡챠코드 인증 단계를 거친 후 복호화키 입력을 유도하는 것으로 알려졌다. 현재 영어, 러시아어, 독일어, 스페인어, 프랑스어, 포르투칼어, 이탈리아어, 폴란드어, 터키어, 네덜란드어 등 10개국 언어로 메시지를 띄우고 있는 상황이다.
앞서도 언급했듯 ‘PETYA’ 랜섬웨어는 실제로 강력한 암호화 방식을 사용하기보단 간단한 연산만으로 원본 코드를 인코딩하고 있으며, 이 데이터는 MBR의 특정 영역에 저장하고 있어 간단히 복구가 가능하다는 게 보안전문가들의 분석이다. 하지만 정상적으로 부팅이 되지 않아 치료에 어려움을 겪을 수 있으므로 애초에 감염되지 않도록 예방에 만전을 기해야 할 것으로 보인다. 해당 랜섬웨어는 현재 바이로봇과 알약 등의 백신에서 악성코드로 탐지되고 있다.
한편, 최근 국내에는 언론사와 오픈소스 OpenX 광고플랫폼을 통한 랜섬웨어 악성코드 유포가 기승을 부리는 것으로 드러났다.
이와 관련 하우리 최상명 CERT실장은 “현재 국내 웹사이트에서 랜섬웨어 악성코드가 유포되는 주요 원인은 취약한 워드프레스 플랫폼을 사용하거나 취약한 OpenX 광고 플랫폼을 사용하기 때문”이라며, “보안에 취약한 플랫폼을 사용하는 경우 랜섬웨어 등 악성코드 대응에 만전을 기해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>