27일(현지시간) 러시아와 유럽을 강타한 랜섬웨어가 국내에도 유입된 것으로 파악됐다.
28일 보안업계에 따르면 '페티야(PETYA)' 혹은 '페트야'로 알려진 이 랜섬웨어는 전날 저녁부터 국내에서도 감염 사례가 발견됐다.
미국 제약사 머크의 국내 지사인 한국MSD가 전날 감염되면서 업무에 차질을 빚었다.
한국MSD 관계자는 "해킹에 의해 네트워크가 감염됐다"며 "현재 전사적으로 피해 규모를 파악하고 있으며, 업무 지장을 최소화하기 위해 총력을 기울이고 있다"고 말했다.
일부 온라인 커뮤니티에도 피해자들의 감염 사례가 속속 올라오고 있다.
그러나 한국인터넷진흥원(KISA)은 "오후 2시까지 정식으로 신고가 들어온 사례는 없다"고 부인한 뒤 "보안업계와 정보를 공유하고, 특이 동향을 주시하고 있다"고 말했다.
페트야 랜섬웨어는 작년 초 발견된 랜섬웨어로, 지난달 세계를 휩쓴 워너크라이(WannaCry) 랜섬웨어와 마찬가지로 윈도 운영체제의 SMB(파일공유) 취약점을 파고들어 컴퓨터를 감염시킨 뒤 300달러(한화 약 34만원) 상당의 비트코인(가상화폐)을 요구한다.
국내 보안업체 이스트시큐리티는 "워너크라이와 동일하게 네트워크 웜 기능을 이용해 빠르게 전파되고 있다"며 "이 랜섬웨어는 인터넷에 연결돼 있고, 보안이 취약한 다른 PC를 무작위로 찾아내 공격을 시도한다"고 설명했다.
페트야 랜섬웨어는 파일 단위로 암호화하는 대부분의 랜섬웨어와 달리 윈도의 마스터부트레코드(MBR)를 암호화해 부팅 단계부터 장애를 일으켜 시스템 자체를 '먹통'으로 만든다.
보안업계 관계자는 "SMB 취약점을 이용하기 때문에 윈도 최신 버전을 사용하는 것이 좋다"며 "지난번 워너크라이 사태 때 윈도 업데이트를 통해 해당 취약점을 보완했다면 당분간 안심해도 될 것"이라고 말했다.
안랩 V3와 이스트시큐리티의 알약 등 국내 백신 프로그램은 해당 랜섬웨어를 감지해 차단하고 있다.
한국인터넷진흥원은 이상 발생 시 보호나라 홈페이지(www.boho.or.kr)나 인터넷침해대응센터(국번없이 ☎118)로 즉시 신고해달라고 당부했다.
랜섬웨어 피해를 막기 위해서는 중요 자료는 네트워크에서 분리된 저장장치에 별도 저장하고, 사용 PC의 운영 체제와 보안 프로그램을 최신 버전으로 업데이트해야 한다.
한편 전날 러시아와 유럽에서 동시다발적으로 랜섬웨어 공격이 발생해 우크라이나 정부 전산망과 체르노빌 방사능감지시스템, 러시아 국영 기업, 덴마크의 세계 최대 해운사 A.P.몰러머스크, 영국의 광고기업 WPP 등이 피해를 봤다. 미국의 제약기업 머크도 해킹 공격을 받았다.
페트야 랜섬웨어는 초기 확산을 저지하는 '킬 스위치'가 없어 추가 확산 우려를 키운다.
글로벌 보안업체 카스퍼스키랩에 따르면 현재까지 전 세계에서 2천명이 공격을 받았고, 국가별로 보면 러시아와 우크라이나가 가장 많았다. 공격자의 비트코인 계좌(지갑)로 송금된 금액은 2.54비트코인(6천달러·한화 685만원) 미만이었다.
다만 카스퍼스키랩은 이 랜섬웨어가 페트야가 아닌 새로운 유형이라고 주장했다.
(연합뉴스)