28일 한국인터넷진흥원(KISA)은 이번 랜섬웨어에 대응하기 위해 페트야 악성코드 샘플을 백신사에 공유하고 국내외 인텔리전스 네트워크 협의체를 통해 변종 등 정보를 공유하고 있다고 밝혔다. 오전 9시 기준 KISA로 관련 사고신고 건수는 아직 없다.

이번 사이버공격으로 우크라이나 체르노빌 원전의 방사능 자동 모니터링 시스템이 가동 중단됐고, 우크라이나 정부 전산망과 공항·지하철·은행 등의 시스템이 장애를 일으켰다. 또, 러시아 국영석유기업 로스네프티도 공격을 받았으며 덴마크, 영국, 프랑스 등에서도 이러한 위협이 확인됐다. 덴마크 해운사와 영국 광고기업, 프랑스 제조업체, 미국 제약기업 등이 공격 대상이 됐다.

페티야 랜섬웨어는 워너크라이와 마찬가지로 윈도 운영체제 SMB(Server Message Block) 취약점을 악용하고 있으며, 300달러에 달하는 비트코인을 요구하고 있다. 랜섬웨어는 파일 등을 암호화한 후 이를 인질로 삼아 몸값을 요구하는 공격 방식이다.

이스트시큐리티에 따르면 페티야 랜섬웨어는 지난해 초 최초 발견됐으며 MFT(Master File Table)영역에 대한 암호화뿐만 아니라 MBR(Master Boot Record)영역을 감염시켜서 시스템 자체를 먹통으로 만든다. 이번에 유포 중인 페티야 랜섬웨어의 경우 워너크라이와 거의 동일하게 네트워크웜의 기능이 추가된 것으로 보인다.

이번 랜섬웨어에 감염되지 않으려면 최신 윈도 운영체제(OS)로 업그레이드하고 보안 패치 등을 최신상태로 적용해야 한다. 또한 중요한 자료는 백업을 해둬야 랜섬웨어에 감염돼도 피해를 줄일 수 있다.

이스트시큐리티는 알약 블로그를 통해 “가장 우선적으로 사용 중인 윈도 OS의 최신패치가 돼 있는지 여부를 확인해야 한다”며 “기존 워너크라이 랜섬웨어 이슈 당시 MS17-010 취약점에 대해 업데이트를 했다면, 당분간은 안심해도 된다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr