우크라이나 정부기관 타깃 러시아의 사이버전 일환으로 해석
비트코인 지갑주소 모두 동일해 금전적 이익 크지 않아
우리나라 상대적 피해 적지만, 백업·패치 등 사전 대비 필요
[보안뉴스 권 준 기자] 우크라이나, 러시아로부터 시작해서 유럽 일부와 미국, 그리고 한국에까지 페트야(Petya) 랜섬웨어 사태가 일파만파 확대되고 있는 가운데 이번 랜섬웨어의 최초 감염경로에 대한 관심이 집중되고 있다.
[이미지=iclickart]
페트야 랜섬웨어 사태와 관련해 우크라이나 경찰과 국가 CERT 조직에서는 최초 감염경로에 대한 분석을 내놨다. 해당 랜섬웨어는 우크라이나 정부기관 등 우크라이나의 많은 곳에서 사용하는 회계 프로그램 ‘미독’의 자동 업데이트 취약점을 이용해 해당 소프트웨어를 사용하는 모든 PC에 업데이트를 통해 최초 감염됐다는 설명이다.
우크라이나 CERT 조직에서 밝힌 또 하나의 감염경로는 우크라이나 기관들에 워드문서 첨부파일이 포함된 이메일을 보내고, 해당 이메일의 워드문서를 열람한 사용자 PC에 워드문서 취약점을 이용해서 페트야 랜섬웨어를 감염시켰다는 설명이다. 이를 통해 1대의 PC만 페트야에 감염됐더라도 SMB 취약점으로 로컬 네트워크를 전부 감염시킬 수 있었다는 얘기다.
이렇게 감염된 PC에서 윈도우 계정 정보를 탈취하는 백도어를 설치해 입력되는 계정정보와 동일한 계정(패스워드)으로 운영되는 주변 PC들도 전부 감염되는 형태를 띠게 된다.
이는 국내 커뮤니티 사이트를 통해 소개된 페트야 랜섬웨어 피해사례와도 맥을 같이 한다. 어제 밤 서울 강남구에 위치한 한 회사에서 야근하던 직원들의 PC가 차례대로 감염되어 모든 회사의 PC가 랜섬웨어에 걸렸다는 게시 글이 올려왔는데, 이 사례에서 보듯 회사내 로컬 네트워크를 통해 사내 모든 PC가 감염된 것으로 추정된다.
이번 사건을 분석한 하우리 최상명 CERT실장은 “SMB 취약점을 이용한 페트야 랜섬웨어의 경우 로컬 네트워크로만 전파하도록 설계되어 있다”면서도 “감염된 PC 중 공인 IP가 할당되어 있으면서 255.0.0.0처럼 서브넷 마스크가 잘못 설정되어 있을 경우 광범위한 외부 네트워크에도 감염이 가능해 이를 통해 다른 나라들로도 전파된 것으로 추정된다”고 설명했다. 여기서 말하는 서브넷 마스크(Subnet Mask)는 호스트 이름으로부터 IP 주소지에 대한 네트워크의 이름을 규정하는 것을 의미한다.
결국 이번 사태는 러시아가 사사건건 대립하고 있는 우크라이나를 타깃으로 사이버전을 감행한 것이고, 이 와중에 유럽과 미국, 우리나라의 일부 기업이 유탄을 맞은 것으로 추정된다는 게 보안전문가의 분석이다. 피해 기관 중에 우크라이나에 있는 체르노빌의 방사능 탐지 시스템과 보리스필 공항 등 주요 공공시설이 포함돼 있다는 점이 이러한 분석을 뒷받침하고 있다.
그러나 이번 사태의 피해 국가·기업 중에는 러시아 최대 석유회사인 로즈네프트 등을 비롯해서 러시아 기업도 다수 포함돼 있다는 점에서 좀더 분석해봐야 한다는 신중론도 제기되고 있다.
또 한 가지 이번 페트야 랜섬웨어 사태가 단순히 비트코인을 노린 금전적 목적의 공격이 아니라는 점은 비트코인을 요구하는 지갑주소가 모두 똑같다는 데서도 추정할 수 있다. 일반적으로 돈을 노린 랜섬웨어 공격의 경우 특정 기업들을 타깃으로 각기 다른 비트코인 지갑주소를 알려주면서 돈을 받는 게 일반적이지만, 이번 사건의 경우 동일한 주소로 비트코인을 요구하고 있어 돈을 보내는 기업에 대한 파악이 불가능하다는 점이다. 결국 이번 페트야 랜섬웨어의 경우는 금전적 이익을 취하기보다는 주요 시설에 실질적인 피해를 입히기 위한 사이버테러 성격이 더 크다고 볼 수 있다.
우리나라의 경우 기존 워너크라이 사태 당시 많은 기업에서 윈도우 보안 패치를 수행하는 등의 학습효과와 함께 우리나라를 타깃으로 한 공격이 아니기 때문에 피해가 상대적으로 적은 상황이다. 하지만 우리나라를 타깃으로 할 경우 언제든 대규모 피해가 발생할 수 있어 백업이나 보안 패치 등에 만전을 기해야 한다는 지적이다.
[권 준 기자(editor@boannews.com)]
비트코인 지갑주소 모두 동일해 금전적 이익 크지 않아
우리나라 상대적 피해 적지만, 백업·패치 등 사전 대비 필요
[보안뉴스 권 준 기자] 우크라이나, 러시아로부터 시작해서 유럽 일부와 미국, 그리고 한국에까지 페트야(Petya) 랜섬웨어 사태가 일파만파 확대되고 있는 가운데 이번 랜섬웨어의 최초 감염경로에 대한 관심이 집중되고 있다.
[이미지=iclickart]
페트야 랜섬웨어 사태와 관련해 우크라이나 경찰과 국가 CERT 조직에서는 최초 감염경로에 대한 분석을 내놨다. 해당 랜섬웨어는 우크라이나 정부기관 등 우크라이나의 많은 곳에서 사용하는 회계 프로그램 ‘미독’의 자동 업데이트 취약점을 이용해 해당 소프트웨어를 사용하는 모든 PC에 업데이트를 통해 최초 감염됐다는 설명이다.
우크라이나 CERT 조직에서 밝힌 또 하나의 감염경로는 우크라이나 기관들에 워드문서 첨부파일이 포함된 이메일을 보내고, 해당 이메일의 워드문서를 열람한 사용자 PC에 워드문서 취약점을 이용해서 페트야 랜섬웨어를 감염시켰다는 설명이다. 이를 통해 1대의 PC만 페트야에 감염됐더라도 SMB 취약점으로 로컬 네트워크를 전부 감염시킬 수 있었다는 얘기다.
이렇게 감염된 PC에서 윈도우 계정 정보를 탈취하는 백도어를 설치해 입력되는 계정정보와 동일한 계정(패스워드)으로 운영되는 주변 PC들도 전부 감염되는 형태를 띠게 된다.
이는 국내 커뮤니티 사이트를 통해 소개된 페트야 랜섬웨어 피해사례와도 맥을 같이 한다. 어제 밤 서울 강남구에 위치한 한 회사에서 야근하던 직원들의 PC가 차례대로 감염되어 모든 회사의 PC가 랜섬웨어에 걸렸다는 게시 글이 올려왔는데, 이 사례에서 보듯 회사내 로컬 네트워크를 통해 사내 모든 PC가 감염된 것으로 추정된다.
이번 사건을 분석한 하우리 최상명 CERT실장은 “SMB 취약점을 이용한 페트야 랜섬웨어의 경우 로컬 네트워크로만 전파하도록 설계되어 있다”면서도 “감염된 PC 중 공인 IP가 할당되어 있으면서 255.0.0.0처럼 서브넷 마스크가 잘못 설정되어 있을 경우 광범위한 외부 네트워크에도 감염이 가능해 이를 통해 다른 나라들로도 전파된 것으로 추정된다”고 설명했다. 여기서 말하는 서브넷 마스크(Subnet Mask)는 호스트 이름으로부터 IP 주소지에 대한 네트워크의 이름을 규정하는 것을 의미한다.
결국 이번 사태는 러시아가 사사건건 대립하고 있는 우크라이나를 타깃으로 사이버전을 감행한 것이고, 이 와중에 유럽과 미국, 우리나라의 일부 기업이 유탄을 맞은 것으로 추정된다는 게 보안전문가의 분석이다. 피해 기관 중에 우크라이나에 있는 체르노빌의 방사능 탐지 시스템과 보리스필 공항 등 주요 공공시설이 포함돼 있다는 점이 이러한 분석을 뒷받침하고 있다.
그러나 이번 사태의 피해 국가·기업 중에는 러시아 최대 석유회사인 로즈네프트 등을 비롯해서 러시아 기업도 다수 포함돼 있다는 점에서 좀더 분석해봐야 한다는 신중론도 제기되고 있다.
또 한 가지 이번 페트야 랜섬웨어 사태가 단순히 비트코인을 노린 금전적 목적의 공격이 아니라는 점은 비트코인을 요구하는 지갑주소가 모두 똑같다는 데서도 추정할 수 있다. 일반적으로 돈을 노린 랜섬웨어 공격의 경우 특정 기업들을 타깃으로 각기 다른 비트코인 지갑주소를 알려주면서 돈을 받는 게 일반적이지만, 이번 사건의 경우 동일한 주소로 비트코인을 요구하고 있어 돈을 보내는 기업에 대한 파악이 불가능하다는 점이다. 결국 이번 페트야 랜섬웨어의 경우는 금전적 이익을 취하기보다는 주요 시설에 실질적인 피해를 입히기 위한 사이버테러 성격이 더 크다고 볼 수 있다.
우리나라의 경우 기존 워너크라이 사태 당시 많은 기업에서 윈도우 보안 패치를 수행하는 등의 학습효과와 함께 우리나라를 타깃으로 한 공격이 아니기 때문에 피해가 상대적으로 적은 상황이다. 하지만 우리나라를 타깃으로 할 경우 언제든 대규모 피해가 발생할 수 있어 백업이나 보안 패치 등에 만전을 기해야 한다는 지적이다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)