'페트야(Petya)'라는 이름으로 알려진 랜섬웨어에 감염당했더라도 비트코인을 지불하면 안 된다. 사이버범죄를 부추길 수 있다는 우려 때문이 아니다. 공격자에게 돈을 지불하더라도 암호를 풀 방법은 이제 없기 때문이다. 러시아 보안업체 카스퍼스키랩의 조사 결과다.
카스퍼스키랩은 지난 27일 페트야 랜섬웨어 공격의 예비 조사 결과를 공개한 데 이어 28일 추가 파악된 사실을 밝히며 이같이 설명했다.
이날 카스퍼스키랩은 추가 파악된 사실로 "이 공격의 배후에 있는 범죄자들은 암호화된 데이터를 풀려면 300달러를 통합비트코인계좌(unified Bitcoin account)로 지불하도록 요구한다"고 밝혔다.
이어 "워너크라이와는 다르게 희생자에게 지갑 번호를 wowsmith123456@posteo.net로 보내도록 하여 거래를 확인 하는 방식을 취하고 있다"며 "이 메일 계정은 이미 폐쇄돼 현재 암호를 푸는 방법은 없어진 상태"라고 덧붙였다.
분석에 따르면 지금까지 페트야 랜섬웨어 공격자의 비트코인 지갑에는 24건의 거래가 기록됐다. 그 거래액수는 2.54BTC로 6천달러 미만이다. 분석 당시 기준 사용자 2천명이 공격을 받은 것으로 확인됐다. 러시아, 우크라이나가 공격당한 비중 선두그룹에 섰다. 폴란드, 이탈리아, 영국, 독일, 프랑스, 미국 및 기타 여러 나라가 공격을 받았다. 타 보안업체를 통해 국내서도 공격 피해가 발생한 것으로 파악됐다.
카스퍼스키랩은 앞서 예비 조사 결과를 공개할 때부터 해당 랜섬웨어를 'ExPetr'라 지칭했다. 기존 알려진 랜섬웨어 페트야(Petya)의 변종이 아니라는 이유에서다.
카스퍼스키랩은 "이 랜섬웨어는 Petya와 비슷한 여러 문자열을 갖고 있지만 기능은 완전히 다르다"면서 "그 동안 공개된 랜섬웨어의 변종은 아니며 보고되지 않은 새로운 유형임을 시사한다"고 지적했다.
관련기사
- 부팅막는 페트야 랜섬웨어, 감염 막으려면2017.06.28
- 랜섬웨어 또 확산…이번엔 부팅까지 차단2017.06.28
- 랜섬웨어, 해커에 돈 안내면 복원 못할까2017.06.28
- 함께 만든 보안 방어막 '사이버 집단면역'2017.06.28
카스퍼스키랩이 ExPetr라 명명한 새 랜섬웨어는 '이터널블루'와 '이터널로맨스'라는 이미 알려진 공격코드의 변형 버전으로 기업 네트워크를 감염시킨다. 이터널블루는 지난달 세계 150개국을 강타한 랜섬웨어 '워너크라이' 역시 활용한 공격코드로, 미국 첩보기관 국가안보국(NSA)이 만들어 쓰다가 '섀도브로커즈'라는 해커그룹에 의해 유출당한 사이버무기다.
카스퍼스키랩은 이터널블루 공격코드가 악용하는 윈도 취약점을 해소하기 위해 마이크로소프트가 내놓은 보안패치(MS17-010)를 적용하라고 권고했다. 중요 데이터 백업을 수행해 데이터 손실이 발생해도 원본을 복원할 수 있게 대비하라고 조언했다. 별도 보안 제품이 없을 경우 윈도 운영체제(OS) 내장 보안 기능 '앱로커'를 사용해 PSexec 도구와 'perfc.dat'이라는 파일의 실행 차단을 설정하라고 덧붙였다.
