28일 보안업계는 페트야의 피해가 급속도로 커지고 있으며 이에 대비해 즉각적인 조치를 취할 것을 권고했다. 페트야는 지금까지 약 2,000 명 이상의 사용자가 공격 받은 것으로 알려졌으며, 러시아, 우크라이나, 폴란드, 이탈리아, 영국, 독일, 프랑스 미국 등 여러 국가가 공격을 받고 있다. 에너지, 은행, 운송 시스템과 같은 중요 인프라를 포함한 산업 및 조직에 광범위한 피해가 발생했다.

‘페트야’는 랜섬 웜(ransom worm)으로 불리는 다중-벡터 랜섬웨어 공격의 새로운 변종으로 시기 적절하게 공격을 감행한다. 이 랜섬 웜은 한 곳에서 머물지 않고, 자동으로 여러 시스템으로 이동하도록 설계돼 있다. 페트야 랜섬 웜은 최근 발생한 워너크라이(Wannacry) 공격에 악용된 취약점과 비슷한 이터널 블루(Eternal Blue) 익스플로잇 취약점을 이용하는 것으로 보인다.

컴퓨터의 파일을 암호화하는 워너크라이(WannaCry)와 달리, 페트야 랜섬웜은 전체 컴퓨터가 작동하지 않도록 하드드라이브 세그먼트를 암호화한다. 오래된 레거시 시스템과 핵심 인프라가 이 공격에 특히 취약하다.

또한 워너크라이 랜섬웨어의 동작을 무력화 시켜 초기 확산을 저지하는데 큰 역할을 했던 ‘킬 스위치’가 존재하지 않아, 현재로서는 페트야 랜섬웨어의 확산을 지연 시킬 수 있는 효과적인 방안이 없는 상태다.

페트야는 2016년 최초 탐지됐으며, 단순히 파일을 암호화하는 전형적인 랜섬웨어와 달리, 마스터 부트 레코드(MBR)를 덮어쓰고 암호화함으로써 더 큰 피해를 입히는 것으로 분석된다. 이번에 발견된 공격에서는 파일 복구를 위해 300달러의 몸값을 비트코인으로 요구하는 사례가 확인 됐다.

페트야는 현재 유럽에 있는 기업들을 주 공격 대상으로 하고 있다. 현재로서는 표적 공격 여부는 확실하지 않지만, 페트야 이전 변종은 기업을 겨냥한 표적 공격에 사용된 바 있었다.

카스퍼스키랩은 해당 익스플로잇을 이용한 랜섬웨어를 막기 위해서는 윈도우 MS17-010 보안 패치를 수행하도록 권장하는 한편, 별도의 보안 제품이 없다면 윈도우의 앱락커(AppLocker) 기능을 사용해 ‘Sysinternals Suite’의 ‘PSExec’ 유틸리티와 ‘perfc.dat’이라는 이름을 가진 파일의 실행을 차단해야 한다고 설명했다.

이스트시큐리티 시큐리티대응센터는 “SMB 취약점을 활용한 공격은 윈도와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼, 서둘러서 사용하는 PC의 보안 전검과 업데이트를 진행해야 한다”고 당부했다.

윤광택 시만텍코리아 CTO는 “국내 기업들도 피해를 입지 않도록 소프트웨어를 업데이트하고, 최신 보안패치를 적용해야 한다”고 말했다.