ESET백신 이셋코리아
새소식

홈 > 새소식









 
작성일 : 17-07-04 10:33
ESET, 페트야(Petya) 랜섬웨어 확산에 따른 주의 요망
 글쓴이 : ESTC
조회 : 1,305  


유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 페트야 (Petya) 램섬웨어의 변종이 유럽을 시작으로 전 세계로 확산되고 있어 국내 사용자들의 주의를 요한다고 전했다.



ESET 제품이 Win32/Diskcoder.Petya 트로이 목마로 진단되는 이 랜섬웨어는, 앞서 많은 피해를 가져온 워너크립터 랜섬웨어와 동일하게 SMB 익스플로잇(EternalBlue)을 사용하여 네트워크 내에서 확산되지만, 대부분의 랜섬웨어가 운영체제 동작 중 파일을 암호화한 후 몸값을 요청하는 것과는 달리, PC 의 부팅에 관여하는 MBR(Master Boot Record)를 감염시키기 때문에, 감염 후 재부팅 과정에서 디스크를 암호화 하는 것이 특징이다.

따라서 MBR 에 쓰기 방지를 해놓거나, MBR 에 감염된 랜섬웨어가 실행되기 전에 컴퓨터를 종료하고 다시 부팅하지 않으면 디스크의 암호화를 방지할 수 있지만, 일단 랜섬웨어로 교체된 부트 로더가 실행되면 디스크를 암호화함으로써 정상적인 사용이 불가능하게 만든다.
특히 주의할 점은, 공격자의 이메일 계정이 이미 폐쇄되었기 때문에 복호화 키를 받을 수 없으므로 몸값을 지불하면 안된다.

이 랜섬웨어는 우크라이나에서 널리 사용되는 회계 프로그램인 M.E.Doc 의 업데이트를 이용하여 최초로 배포된 것으로 알려져 있으며, 네트워크 내에서의 확산을 위해 워너크립터가 사용했던 SMB 익스플로잇(EternalBlue)과 함께, PsExec 원격 실행 도구를 함께 이용하는 것으로 보인다.
이러한 두가지 확산 방법의 조합이 SMB 취약점이 패치 되어 있는 PC를 가리지 않고 전 세계적으로 빠르게 확산된 이유가 될 수 있다. 즉 내부에 패치 되지 않은 컴퓨터 한 대만 감염되면, 랜섬웨어는 관리자 권한을 획득한 후 다른 PC 로 빠르기 확산될 수 있다.

이셋코리아의 김남욱 대표는, “워너크립터 이후 또 다시 전세계가 새로운 랜섬웨어 피해를 받고 있습니다.
새로운 랜섬웨어 등의 악성코드가 출현할 때마다 대응책에 대해 많은 문의를 받습니다만, 각각의 악성코드마다 대응책이 따로 있어야 한다면 효과적인 대응이 사실상 불가능할 것입니다.

가장 중요한 대응책은 무엇보다도 기본적인 보안 대책이 적용되어야 한다는 것입니다.
사용 중인 운영체제를 최신 버전으로 유지하는 것이 중요하며, 다수의 컴퓨터를 운영하는 기업체는 적절한 계정 관리와 함께, 최신 업데이트가 적용된 신뢰할 수 있는 엔드포인트 보안 솔루션을 기업 보안 정책에 맞는 통제하에 사용하는 것이 필요합니다.
통제에서 벗어난 엔드포인트 보안 솔루션은 기업 전체에 피해를 줄 수 있으므로 엔드포인트 보안 솔루션 업체가 제공하는 관리 도구를 반드시 사용해야 합니다.”면서 보안 정책에 맞는 관리의 중요성을 강조했다.