2017. 6. 28. 21:25

세계적 싸이버 공격 재발, `페트야(Petya)` 랜섬웨어

27일 우크라이나부터 미국까지의 세계 각국 기업의 컴퓨터를 마비시킨 사이버 공격은 지난 5월 워너크라이 랜섬웨어 사태처럼 국가안보국에서 유출된 해킹 도구를 이용해 더욱 진화한 것으로 분석됐습니다.

이번 공격은 우크라이나가 1996년 소련으로부터 분리되는 헌법을 채택한 기념일 전날에 우크라이나 정부와 기업 컴퓨터를 대상으로 시작된 뒤 전 세계로 퍼져나가 수도 키예프의 현금인출기가 작동을 멈추고, 150km 떨어진 체르노빌 원전에서도 컴퓨터가 다운돼 운영요원들이 수동으로 방사선량을 측정하는 사태가 벌어졌습니다.

우크라이나 정부는 정부 부처와 지역 은행, 수도권 전철 시스템이 이 사이버 공격을 받았다고 밝혔으며 덴마크의 글로벌 해운회사 머스크부서 러시아 최대 국영 석유회사 로스네프트, 프랑스 건자재 회사 셍고벵, 영국 광고회사 더블유피피(WPP) 등 유럽의 다수 대기업들도 영향을 받았습니다.

공격은 미국으로까지 건너가 다국적 법률회사 디엘에이(DLA) 파이퍼, 거대 제약회사 머크, 펜실베이니아의 대형 병원 및 의료보험 회사들의 컴퓨터도 작동을 멈췄고, 호주에서도 국적 항공회사의 예약시스템도 한동안 먹통이 되었습니다.

이날 공격은 지난 4월 ’쉐도우 브로커’라는 단체가 미국 국가안보국에서 절취해 온라인에 유포한 해킹 도구 ’이터널 블루’를 이용한 일련의 해킹 사태 중 가장 정교한 것으로 평가되는데 5월 워너크라이 공격 때처럼, 이날 공격도 컴퓨터를 해킹해 다운시키고 이를 해결하려면 금품을 요구했습니다.

국가안보국 쪽은 자신들의 해킹 도구가 워너크라이나 이날 공격 등에 이용됐다고 인정하지 않고 있지만, 컴퓨터 보안 전문가들은 국가안보국이 이를 인정하고 사이버 공격 사태를 해결하는데 협력해야 한다고 촉구하고 있다고 <뉴욕타임스>가 28일 보도했습니다.

국가안보국이 애플이나 마이크로소프트 등 컴퓨터 운영체계 판매회사들과 긴밀히 협력해 대처해야 한다는 것인데 국가안보국은 대변인 성명을 통해 “국토안보부가 다수의 세계적 회사들에 영향을 준 사이버 공격 보고를 관찰하고 있고 우리의 국내외 사이버 협력자들과 협력하고 있다”고만 밝혔습니다.

전문가들은 이번 사이버 공격에 사용된 랜섬웨어가 지난 4월에 출현한 페트야라는 바이러스와 유사하다고 지적하고 있습니다. 이는 러시아어로 ’꼬마 피터’라는 뜻으로 늑대를 잡은 소년을 묘사한 러시아 작곡가 세르게이 프로코피에프의 교향곡 ’피터와 늑대’를 상징하는 말입니다.

국가안보국에서 유출된 이터널 블루의 코드를 바탕으로 만들어진 페트야의 변종 랜섬웨어는 일반 검색엔진이 아니라 불법 거래에 이용되는 ’다크 웹’에서 거래되며 페트야 랜섬웨어는 한번의 클릭만으로도 다른 컴퓨터 사용자의 파일을 암호화할 수 있어 이 때문에 암호 해독 키 제공을 대가로 금품을 요구하는 것도 가능합니다.

최근의 사이버 공격은 금품을 요구하는 해커들의 소행이 아니라 국가 기관이 관련돼 있다는 분석도 나옵니다. 이런 형태의 공격으로 금전적 이익을 취하기가 쉽지가 않은데다 배후의 개인이나 집단도 분명치 않기 때문.

일련의 사이버 공격에서 가장 많이 배후로 거론되는 러시아 해커들은 전통적으로 러시아 정보기관과 긴밀한 연관을 맺고 있으며 지난해 미국 대선에 개입한 러시아에 보복하기 위해 미국 정보기관들도 러시아의 사회기반시설을 마비시킬 수 있는 바이러스를 이미 심어놓았다고 <워싱턴포스트>가 보도하기도 했습니다.

영국 정보기관인 정보통신본부의 국가사이버보안센터(NCSC)와 미국 국가안보국은 워너크라이 공격의 배후로 북한을 지목하고 있고, 워너크라이 공격에 쓰인 악성 코드를 언어학적으로 분석한 결과 남부 중국어를 사용하는 사람들이 작성했다고 미국 사이버보안업체 플래시포인트는 분석했습니다. 최근 사태의 해커들이 중국 남부나 홍콩, 대만, 싱가포르 출신일 가능성이 있다는 것.

기사 원문 - http://www.hani.co.kr/arti/international/international_general/800650.html