“킬 스위치 없어 워너크라이보다 강력”

페트야, 유럽·미국 동시다발 공격

우크라이나 정부 전산망·은행·공항시설 초토화

러시아 ‘석유 국영사’·미국 ‘머크’·유럽 기업도 큰 피해

인도·호주 등으로 바이러스 공격 확산...장기화 가능성

‘NSA 코드’ 사용 땐 배후세력 확인도 쉽지 않을듯

지난 5월 150여개국의 전산망을 마비시킨 ‘랜섬웨어 대란’이 46일 만인 지난달 또다시 전 세계를 강타했다. 이번 사태를 일으킨 바이러스가 앞선 ‘워너크라이’보다 더 강력한 악성코드로 알려진 가운데 전문가들 사이에서는 이번 공격이 수개월간 지속될 수 있다는 경고가 나와 각국 보안 당국에 비상이 걸렸다.

영국 일간 가디언 등은 지난달 말 유럽과 미국을 중심으로 65개국에서 ‘페트야’ 랜섬웨어의 동시다발적인 공격이 발생했다고 보도했다. 랜섬웨어는 중요 컴퓨터 문서를 암호화한 뒤 암호 해독키를 제공하겠다며 300달러의 비트코인(가상화폐)을 요구하는 해킹 수법으로 지난달 워너크라이 공격 때도 쓰였다.

이날 공격은 우크라이나 정부 전산망을 시작으로 러시아·덴마크·영국 등에서 거의 동시에 일어났다. 우크라이나 정부 전산망과 키예프 공항·지하철 등 중요 시설물이 피해를 입었고 일부 은행에서는 지점 영업과 현금지급기 가동이 중단됐다. 또 러시아 국영 석유기업 로스네프트, 덴마크 해운사 A.P.몰러머스크, 영국 광고기업 WPP 등 유럽의 주요 기업들이 공격에 노출됐으며 미국에서는 제약기업 머크 등이 큰 피해를 입었다.

공격은 유럽과 미국을 넘어 아시아와 호주로도 확산됐다. 블룸버그통신은 “뭄바이에 위치한 인도 최대 컨테이너선 항구 중 하나인 JNPT도 페트야 공격에 피해를 입었다”고 전했다. 호주에서는 캐드베리 초콜릿 제조공장에서 컴퓨터 시스템이 다운됐다.

특히 이번 사이버 공격은 30여년 전 원전사고가 발생했던 체르노빌의 방사능 감지 시스템까지 타깃을 삼아 충격을 줬다. 1986년 원자로 폭발 사고의 여파로 아직까지 방호벽을 덧씌우는 작업이 진행 중인 상황에서 방사능 감지 시스템이 사이버 공격에 노출된 것이다. 페트야의 공격에 이날 체르노빌원전의 방사능 자동 모니터링 가동은 즉각 중단되고 시스템은 수동으로 전환됐다. 체르노빌 원전 소개지역 관리청 공보실은 “원전의 모든 기술적 시스템은 정상 작동됐다”며 이날 사고로 인한 방사능 오염 위험은 없다고 강조했다.

페트야와 워너크라이는 유사한 랜섬웨어지만 확산을 저지하는 ‘킬 스위치(kill switch)’가 없다는 점에서 페트야가 훨씬 악성 바이러스라는 평가가 나온다. 연계 피해를 막는 장치가 없기 때문에 수개월에 걸쳐 사이버테러가 계속될 수 있다는 것이다. 미국 싱크탱크 애틀랜틱카운슬의 사이버기술계획 부국장 보 우즈는 “페트야가 워너크라이의 확산을 막았던 ‘킬 스위치’가 없는 형태로 만들어졌다면 수개월에 걸쳐 공격이 이어질 수 있다”며 “페트야가 마이크로소프트(MS) 윈도 운영체제(OS)의 다양한 버전에서 기존보다 빠르고 효과적으로 확산되고 있다면서 워너크라이보다 더 심각할 수 있다고 지적했다.

소프트웨어 패치의 효용에 대해서는 의견이 엇갈린다. 패치로 페트야를 예방할 수 있다는 주장과 이번 바이러스의 구조상 확산 위험이 커 별 소용이 없다는 주장이 맞서는 것이다. 글로벌 보안업체 시만텍의 연구원 에릭 젠은 “최근 워너크라이 사태로 사람들이 패치를 설치해 이번 공격이 큰 문제가 되지 않을 것”이라고 내다봤다. 반면 사이버보안업체 베라코드의 크리스 와이소펄은 “네트워크로 연결된 전체 시스템에 패치를 설치하지 않았다면 안전하지 않다”고 맞섰다.

이번 랜섬웨어도 워너크라이처럼 ‘이터널 블루(Eternal Blue)’ 코드를 사용했다면 배후를 밝히기 어렵다는 전문가 지적이 나온다. 이터널 블루는 미국 국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구로 지난 4월 해커 조직에 의해 유출됐다.

유럽 지역을 중심으로 빠르게 퍼져나간 랜섬웨어 ‘페트야’는 지난달 전 세계를 강타한 ‘워너크라이’보다 더 강력한 피해를 줄 수 있는 사이버 공격 수단으로 평가받는다. 워너크라이가 컴퓨터 전산망의 일부 데이터 파일을 암호화해 부분적인 피해를 주는 것에 그쳤다면 페트야는 PC나 시스템의 부팅(가동) 자체를 차단해버리기 때문이다.

사이버 보안업체 이스트시큐리티는 “페트야 랜섬웨어는 PC 운영체제(OS)의 마스터부트레코드(MBR)를 암호화해서 ‘먹통’으로 만든다”며 “워너크라이처럼 서버메시지블록(SMB) 처리 기능의 취약점을 이용해 다른 전산망도 감염시킨다”고 설명했다. 지난해 3월 처음 발견된 페트야는 특정 주소에 300달러의 비트코인(가상화폐)을 보내라고 요구하는 메시지를 PC 화면에 띄운다.

페트야의 공격 대상 OS는 일반 사용자 PC에 가장 많이 깔린 윈도다. 이에 반해 워너크라이는 서버 PC 등에 많이 사용하는 리눅스 OS를 겨냥했다. 페트야는 PC를 구동시키는 MBR를 변조하기 때문에 재부팅을 해도 OS가 정상 작동하지 않도록 만든다. 수동으로 MBR를 복구해도 하드디스크(HDD) 등 저장매체의 모든 정보가 담겨 있는 마스터파일테이블(MFT)을 닫아서 PC를 쓸 수 없게 만든다.

특히 페트야는 워너크라이의 초기 확산을 저지했던 ‘킬 스위치(자폭 기능)’와 같은 해법을 찾지 못했다. 아직 예방법이 없는 셈이다. 또 사용자의 다른 파일까지 모두 암호화하는 감염 사례도 발견하는 등 변종이 나타날 가능성이 높다. 안랩은 “페트야에 감염되면 워너크라이 공격 때보다 더 큰 피해가 발생할 수 있다”며 “현재로서는 중요한 데이터를 미리 백업하고 OS와 백신 프로그램을 최신 버전으로 깔아두는 것이 최선책”이라고 강조했다.

<서울경제 김창영·지민구 기자>