부팅막는 페트야 랜섬웨어, 감염 막으려면

워너크라이(WannaCry)에 이어 페트야(Petya) 랜섬웨어가 세계를 강타할 조짐이다. 150개 나라 수많은 기업, 공공기관, 정부조직 컴퓨터 수십만대를 감염시킨 지난달 피해가 재현되지 않으려면 사전 예방 조치가 필수적이다. 어떻게 해야 할까.

페트야는 워너크라이처럼 윈도 서버메시지블록(SMB) 처리기능의 취약점 공격코드(익스플로잇) 이터널블루(EternalBlue)를 악용해 확산되고 있다. 마이크로소프트(MS)는 이미 지난 3월 이 공격코드로 악용되는 윈도 SMB 취약점을 패치한 업데이트(MS17-010)를 배포했다. [☞MS 보안 공지 바로가기]

즉 페트야 랜섬웨어 피해를 예방하기 위한 기본 조치는 이 업데이트를 적용하는 것으로 요약된다. 평소 꾸준히 OS 업데이트와 패치를 설치하고 있었거나, 지난달 워너크라이 확산 초기 예방차원에서 윈도 운영체제(OS) 해당 업데이트를 내려받아 설치한 환경은 이미 일부분 대비가 된 것이다.

다만 SMB 취약점 패치만으로는 충분하지 않다. 페트야가 갖춘 확산 능력은 워너크라이보다 더 다양하기 때문이다. 인도 사이버보안 전문사이트 '더해커뉴스'는 27일(현지시간) SMB 취약점을 비롯한 여러 보안 업데이트가 적용된 윈도 시스템도 페트야 랜섬웨어 감염 피해를 입었다고 전했다. [☞원문 바로가기]

보도에 인용된 사이버보안업체 F시큐어 믹코 히포넨 최고연구책임자(CRO)의 설명에 따르면 페트야는 최신 패치된 시스템도 감염시킬 수 있다. 이 악성코드가 타 시스템을 감염시킬 때 SMB 취약점뿐아니라 'WMIC' 및 'PSexec'라는 윈도 시스템 내장 관리툴도 사용하기 때문이다. [☞원문 바로가기]

한 보안 전문가는 감염 예방을 위해 SMB 취약점 패치에 더해 WMIC를 사용하지 않도록 설정하는 것이 좋다고 조언했다. WMIC는 '윈도 매니지먼트 인스트루멘테이션(WMI)'이라는 시스템 관리 서비스 기능을 명령줄로 쓸 수 있게 만드는 인터페이스다. 더해커뉴스에 따르면 WMI 서비스 중단으로 WMIC를 통한 감염 경로를 차단할 수 있다.

MS는 개발자 네트워크(MSDN) 문서를 통해 WMI 서비스를 어떻게 중단할 수 있는지 안내하고 있다. 윈도 명령프롬프트를 띄우고 'net stop winmgmt'라는 명령을 실행하면 된다. 다만 이 경우 SMS에이전트호스트나 윈도 방화벽같은 WMI 서비스에 의존하는 다른 서비스도 정지된다. [☞MSDN 문서 바로가기]

시스템 설정을 건드리지 않고 페트야 랜섬웨어 감염을 예방할 수 있는 방법도 발견됐다. 영국 PT시큐리티, 미국 사이버리즌, 프랑스 익스클루시브네트웍스 등 소속 보안연구자들을 통해서다. 컴퓨터 사용자가 'C:windows' 경로에 'perfc' 또는 'perfc.dat'이라는 이름의 파일을 만들어 넣으면 된다는 설명이다. [☞원문(1) 바로가기] [☞원문(2) 바로가기]

한 보안 전문가는 이를 수행하려면 관리자 권한으로 명령 프롬프트를 실행한 뒤 다음 3가지 명령을 입력하라고 조언했다. 첫째는 'rem. > %windir%perfc' 입력 후 엔터. 둘째는 'rem. > %windir%perfc.dat' 입력 후 엔터. 마지막으로 'attrib +R %windir%perfc.*' 입력 후 엔터. 작은따옴표(')는 제외다.

관련기사

연구자들의 설명에 따르면 페트야 랜섬웨어는 감염 대상 시스템의 윈도 OS 경로안에 perfc라는 이름의 파일명이 존재할 경우 악성 행위를 중단하는 것으로 파악됐다. 시스템을 암호화하거나 다른 컴퓨터로 전파를 시도하지 않는다는 얘기다. 이런 이유에서 이 파일 생성 방법은 '로컬 킬스위치'라 불리고 있다.

하지만 현재는 페트야 랜섬웨어의 확산 초기인데다 위 방법을 우회하는 변종이 더 만들어질 수 있기 때문에 이상의 감염 예방법이 100% 효과를 보장한다고 장담할 수는 없다. 일반적인 랜섬웨어 대응방식대로, 애초에 감염 가능성을 염두에 두고 전 미리 주요 파일과 데이터를 정기적으로 백업하고 안전하게 보관해야 할 필요가 있다.