랜섬웨어 페트야에 감염된 PC 화면. /사진제공=안랩
27일(현지시간) 유럽 전역을 동시다발적으로 공격한 랜섬웨어 ‘페트야’(Petya가 속속 파악되고 있다.
28일 보안업계에 따르면 다국적 제약사 머크가 페트야에 감염된 데 이어 머크의 한국지사인 한국MSD도 페트야에 감염된 것으로 확인됐다. 한국MSD 측은 회사의 네트워크가 해킹에 의해 감염됐다며 전사적으로 피해를 파악하고 있고 업무 공백을 최소화하기 위해 모든 힘을 기울이고 있다고 밝혔다.
전문가들은 머크가 해킹되면서 랜섬웨어가 인트라넷 서버를 타고 국내에 유입된 것으로 보고 있다. 특히 한국MDS는 국내 보안업체의 백신을 사용하면서 랜섬웨어의 탐지에 실패한 것으로 알려졌다.
페트야는 지난달 전세계를 강타한 ‘워너크라이’(WannaCry)와 같이 윈도우 상의 취약점을 파고드는 등 비슷한 형태를 보인다. 다만 페트야는 감염된 PC의 마스터부트레코드를 손상시켜 부팅 자체를 할 수 없게 만든다.
한편 이날 안랩은 페트야의 감염 방식을 공개했다. 안랩에 따르면 페트야는 감염 한시간 후 ‘C:\Windows\system32\shutdown.exe /r /f’라는 명령어를 통해 강제 재부팅 된다. 이후 시스템이 재부팅되면 네트워크 대역의 IP를 순회하면서 대상 파일을 검색·암호화 한다. 암호화 과정이 모두 종료되면 붉은 글씨의 화면이 등장하면서 약 300만원 상당의 비트코인을 요구한다.
안랩 측은 “페트야에 감염되면 정상적인 부팅은 불가능하다”면서 “다만 원본 MBR정보는 어딘가에 저장돼 있어 백업된 MBR코드를 사용하면 정상적으로 부팅에 성공할 가능성도 있다”고 말했다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>