보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

워너크라이 확산 막은 영국 청년, 페트야 랜섬웨어 조목조목 짚었다

입력 : 2017-06-28 11:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘멀웨어테크’로 알려진 마커스 허친스, “페트야는 제2의 워너크라이 아니야”
페트야, 수백만~수천만 대 컴퓨터가 최초 매개돼 로컬 네트워크로 확산
원격으로 킬스위치 작동시킬 수 없고, 감염되면 자동 리부트 전에 기기 꺼야


[보안뉴스 오다인 기자] 워너크라이 랜섬웨어 사태 초반 킬스위치를 통해 공격 저지에 기여했던 영국 청년이 현재 진행 중인 페트야 랜섬웨어와 관련해 의견을 내놓고 있어 주목된다.

[이미지=iclickart]


‘멀웨어테크(MalwareTech)’라고만 알려졌던 이 청년은 대학 교육 없이 독학으로 IT 전문가의 경지에 오른 인물로, 현재 영국 국가사이버보안센터(National Cyber Security Centre)에 근무하고 있는 마커스 허친스(Marcus Hutchins)인 것으로 드러났다. 영국 매체 텔레그래프(Telegraph)에 따르면, 허친스는 부모님 댁의 작은 침실에서 워너크라이 공격을 막았던 것으로 나타났다.

허친스는 멀웨어테크 블로그를 통해 6월 27일 “페트야 랜섬웨어 공격에 대해 알려진 사실”이라는 제목으로 글을 올려 이번 사태와 관련해 의견을 제시했다. 허친스는 페트야에 대한 것, 감염 경로, 킬스위치, 이메일 전파, 파일 복구 등으로 항목을 나눠 지금까지 드러난 사실과 의견을 정리했다.

먼저 허친스는 이번 랜섬웨어가 페트야 멀웨어가 맞는지, 페트야와 비슷한 다른 멀웨어인지 아직 확실치 않다고 지적했다. 페트야와 매우 유사한 방식으로 MBR(Master Boot Record)을 교란하는데다 이런 수법을 사용하는 랜섬웨어는 흔하지 않지만, 이런 사실로 이번 랜섬웨어가 페트야 멀웨어라고 단정할 순 없다는 세간의 논란을 짚은 것이다. 페트야 랜섬웨어 연구자의 말을 인용해 허친스는 이번 사태가 페트야 멀웨어와 매우 높은 유사성을 띈다고도 덧붙였다.

이어 감염 경로에 대해 지적하며 허친스는 “사람들이 이번 사태를 제2의 워너크라이 사태라고 부르고 있지만 (이번 사태와 워너크라이 사이에는) 사실상 커다란 차이점이 있다”고 말했다. 워너크라이는 SMBv1 취약점을 익스플로잇하는 이터널블루(EternalBlue)에 완전히 의존해 전파됐으며, 워너크라이에 감염된 시스템은 다른 시스템을 스캔한 뒤 감염시키는 등 기하급수적으로 확산한 바 있다. 이에 허친스는 킬스위치가 작동되지 않았거나 애초에 킬스위치가 없었다면 워너크라이 공격이 인터넷 전체에 무한정 확산됐을 것이라고 말했다.

[사진=멀웨어테크 블로그 캡처]


그러나 현재 진행 중인 페트야 공격은 인터넷을 통해서라기보다 로컬 네트워크를 통해서만 전파된다는 차이점이 있다. 즉, 이미 페트야 랜섬웨어에 감염된 사람과 같은 네트워크를 사용하지 않는 이상 페트야 랜섬웨어에 감염될 가능성은 극히 낮다는 것이다. 허친스는 각 로컬 네트워크의 규모가 제한적이기 때문에 일단 로컬 네트워크를 검사하고 나면 멀웨어 전파는 중단될 것이라고 설명했다. 워너크라이는 아직까지 전파되고 있다는 점을 상기하면 페트야 랜섬웨어의 전염성은 매우 낮다고 허친스는 지적했다.

페트야 랜섬웨어가 워너크라이 사태에 비견되는 이유는 최초의 감염 매개체 때문이라고 허친스는 설명했다. “워너크라이는 최초 수백 대의 컴퓨터를 감염시킨 뒤 다른 컴퓨터로 전파하는 ‘눈덩이 효과(Snowball Effect)’를 일으켰지만, 페트야는 애초 수백만에서 수천만 대의 컴퓨터를 감염시키는 데서 시작됐다”고 허친스는 말했다. 페트야 랜섬웨어는 우크라이나에서 대중적으로 사용하는 회계 소프트웨어 ‘미독(MeDoc)’을 해킹한 뒤, 자동 업데이트 기능을 통해 미독을 사용하는 모든 컴퓨터에 멀웨어가 다운되도록 했다는 것이다. 허친스는 미독이 최초의 감염 매개라는 사실이 아직 확정되진 않았지만 이를 뒷받침하는 많은 증거들이 현재 나오고 있다고 말했다.

이를 요약하면 워너크라이 사태는 상대적으로 적은 수의 컴퓨터를 최초 매개체로 삼았으며 인터넷을 통해 전파됐지만, 페트야 랜섬웨어는 처음부터 방대한 수의 컴퓨터를 노렸으며 로컬 네트워크를 통해 전파시켰다는 차이가 있다로 정리할 수 있다.

허친스는 페트야 랜섬웨어의 킬스위치와 관련해 “특정 회사들이 킬스위치를 찾았다고 주장하고 있지만 전부 홍보성일 뿐”이라고 비판했다. 워너크라이는 원격으로 킬스위치를 작동시킬 수 있었지만, 페트야의 경우 피해 당사자가 시스템상의 파일을 직접 수정함으로써 킬스위치를 작동시키는 수밖에 없다는 것이다. 이어 허친스는 페트야 랜섬웨어가 스팸 메일로 전파될 수 있다는 말은 근거 없는 주장이라고도 지적했다.

만약 페트야 랜섬웨어에 감염됐다면 몸값을 지불하지 말라고 허친스는 충고했다. 페트야 랜섬웨어 공격자가 몸값 지불과 관련해 연락하라고 알린 이메일 주소는 공급자에 의해 차단된 상태이므로, 돈을 지불한다고 해도 파일을 복구할 수 있을지는 아무도 알 수 없다는 것이다. 또한, 페트야 랜섬웨어는 기기가 자동 리부트되기 전까지는 파일을 암호화하지 않는다는 사실도 주목해야 한다고 그는 지적한다. 페트야 랜섬웨어에 감염되면 1시간 후 자동적으로 리부트되도록 설정되는데, 감염된 사람은 감염 1시간 내에 기기를 꺼버리는 것으로 암호화를 방지할 수 있다고 허친스는 조언했다. 페트야 랜섬웨어의 암호화 프로세스는 암호화가 완료되기 전까지인 감염 1시간 내에 전원을 끄는 것으로 간단히 중단될 수 있다는 것이다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)