28일 파이어아이는 이번 페트야 렌섬웨어를 호주, 미국, 폴란드, 네덜란드, 노르웨이, 러시아, 우크라이나, 인도, 덴마크 및 스페인을 포함한 총 10개 국가에서 탐지했다고 밝혔다. 현재까지 알려진 초기 정보에 의하면 주범인 페트야 랜섬웨어 변종은 지난달 발생한 워너크라이 공격에 사용된 이터널블루(EternalBlue) 익스플로잇을 통해 확산되고 있는 것으로 추정된다.

파이어아이는 이번 공격에서 사용된 감염 경로 중 하나로 우크라이나에서 세무 회계목적으로 사용되는 메독(MeDoc) 소프트웨어로 판단하고 있다. 우크라이나의 많은 기업들이 사용하고 있는 메독 소프트웨어 제품군의 업데이트를 악용해 공격을 감행한 것으로 보인다. 메독 업데이트가 발표된 시간과 이번 랜섬웨어 공격이 최초로 보고된 시간이 일치한다. 메독 또한 바이러스 공격을 받았다.

이번 랜섬웨어는 단순히 파일을 암호화하는 전형적인 랜섬웨어와 달리 마스터부트레코드(MBR)를 덮어쓰고 암호화함으로써 더 큰 피해를 입히고 있다. 이번에 발견된 공격에서는 파일 복구를 위해 300달러의 몸값을 비트코인으로 요구하는 사례가 확인됐다.

이러한 페트야 랜섬웨어 감염에 대한 피해를 줄이기 위해 회사와 개인 사용자는 보안 수칙을 준수해야 한다.

우선, 회사 내 IT 부서에서는 중요 시스템의 파일을 백업하고, 백업 데이터는 오프라인 상태로 유지해야 한다. 또, 운영 시스템 디스크 및 설정에 대한 ‘최고 수준의 보안(gold standard)’를 확인하고 명확한 기준 하에 데스크탑을 재구성해야 한다. 최신 버전 패치를 설치하는 것도 잊지 말아야 한다. 사용자는 알 수 없는 출처의 첨부파일을 실행하지 말아야 한다.

보안 운영 부서에서는 ▲시그니처 및 안티바이러스 실행 ▲샌드박스를 이용해 첨부 파일 위험 분석 검사 ▲행동 기반 탐지 기능 실행 ▲방화벽 로그에서 명령제어(Command & Control) 침해 흔적 검색 ▲네트워크망 분리 등을 실행해야 한다.

포티넷 측은 “원격 데스크톱 프로토콜(Remote Desktop Protocol)이 비활성화돼 있는지 확인하고, RDP를 사용할 경우 적절히 사용자 인증되는지도 확인한다”며 “그렇지 않은 경우, 이 프로토콜이 네트워크를 통해서 전파하지 못하도록 기능을 제한해야 한다”고 설명했다.

아울러, 중요 데이터를 미리 백업해 랜섬웨어에 감염되더라도 범죄자가 요구하는 돈을 지불해서는 안 된다고 밝혔다. 신뢰할 수 있는 기관 등에 이를 신고해 피해 확산을 방지해야 한다.

이와 함께 안랩은 원격지 실행을 차단하는 방법에 대해 소개했다. 악성코드 내부에 원격지 파일실행을 위한 MS 제작의 ‘psexec.exe’ 를 포함하는 것으로 확인됐다.

원격 때 시스템에 페트야 랜섬웨어와 ‘psexec.exe’를 함께 복사해 이 파일로 하여금 랜섬웨어가 구동되는 기능을 갖도록 한다. 이 파일은 ‘dllhost.dat’라는 고정된 이름으로 %windows% 경로에 복사돼 있다. 이 경로의 ‘dllhost.dat’ 파일을 삭제하면 원격지에 복사된 랜섬웨어가 구동하는 것을 막을 수 있다.

윤광택 시만텍코리아 CTO는 “페트야 랜섬웨어는 미국국가안보국(NSA) 해킹에 의해 유출된 SMB 취약점을 이용해 대량으로 확산된 워너크라이 랜섬웨어의 웜 전파 방식을 차용한 사례”라며 “앞으로 이를 모방한 유사 사이버 범죄가 등장할 것으로 예상되며, 국내 기업들도 피해를 입지 않도록 소프트웨어를 업데이트하고 최신 보안패치를 적용해야 할 것”이라고 말했다.

<최민지 기자>cmj@ddaily.co.kr