페트야 랜섬웨어. 새로운 사이버 공격을 받은 PC 화면. /사진=안랩 제공
페트야 랜섬웨어. 새로운 사이버 공격을 받은 PC 화면. /사진=안랩 제공

컴퓨터 부팅을 차단해 화면을 잠그는 신종 '페트야 랜섬웨어'가 전세계로 확산되면서 국내 기업들의 피해가 우려된다.
한국인터넷진흥원(KISA)은 28일 오전 9시 기준 공식적인 피해 접수를 받지 않았지만 국내 중소기업을 중심으로 감염 사례가 속속 확인돼 대응책 마련에 고심하고 있다.

페트야 랜섬웨어는 지난 27일부터 유럽을 중심으로 급속히 확산되고 있으며 지난 5월 전세계를 공포로 몰아넣었던 '워너크라이 랜섬웨어'가 사용한 윈도 운영체제(OS) SMB(Server Message Block) 취약점을 공격에 사용하고 있다. SMB는 윈도 OS에서 폴더 및 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신기법이다.

특히 페트야 랜섬웨어는 워너크라이 랜섬웨어와 동일하게 네트워크를 통해 다른 시스템을 감염시키는 네트워크 웜(Worm)의 특성이 있어 감염 피해와 규모가 급속히 증가할 것으로 전망된다.


페트야 랜섬웨어는 저장된 문서, 사진 등의 파일을 개별적으로 암호화시켰던 기존의 랜섬웨어와 다르게 하드디스크(HDD) 등 저장매체에 저장된 모든 파일과 디렉토리에 대한 정보를 담고 있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킨다.

페트야 랜섬웨어에 감염된 PC나 시스템은 윈도 OS 구동 자체가 불가능하다. 작동을 위해 전원을 켜면 그 즉시 300달러 상당의 비트코인을 요구하는 안내창이 뜬다. 

국내에서는 지난 5월 워너크라이 랜섬웨어 당시 대다수의 기업이 OS를 업그레이드했기 때문에 현재까지 피해 규모가 크지 않은 것으로 분석된다. 다만 윈도 구형 버전을 사용하는 중소업체들에게 피해가 집중될 것으로 관측된다. 이미 국내 보안업체들로부터 확인된 피해업체가 10여개에 달하는 것으로 알려졌다.

KISA 관계자는 "아직까지 구체적인 피해 상황이 접수되지 않았지만 악성코드 샘플을 보안 업체와 공유하며 대응하고 있다"며 "변종 여부에 대해서도 확인 중"이라고 설명했다.


보안업계 관계자는 "러시아와 우크라이나 사이의 사이버전의 결과물로 발생한 것으로 추정된다"며 "윈도를 최신 버전으로 업데이트하는 것이 유일한 예방법"이라고 조언했다.