2017.06.29

'이번엔 낫페티야' 세계 곳곳 새 랜섬웨어에 '몸살'

George Nott | CIO Australia
전 세계 많은 기업이 새 랜섬웨어의 공격을 받고 있다. 보안 업체 맥아피(McAfee)는 '낫페티야(NotPetya)'로 불리는 랜섬웨어가 창궐하고 있다고 경고했다.



낫페티야는 파일과 컴퓨터 마스터 부트 레코드를 암호화해 사용하지 못하게 만드는 변종 랜섬웨어다. 불과 수주전 '워너크라이(WannaCry)' 랜섬웨어 공격으로 많은 PC 사용자가 최신 윈도우 패치를 설치했기 때문에, 낫페티야는 더 빠르게 확산하는 새로운 메커니즘을 이용하고 있다.

보안 업체 시만텍(Symantec)은 페티야의 변종인 낫페티야가 자신을 워너크라이처럼 위장한다고 분석했다. 보안 취약점 MS17-010을 이용하는데, 이는 '이터널 블루(Eternal Blue)'로 더 널리 알려져 있기도 하다. 이터널 블루는 미국 국가안보국(NSA)이 처음에 만들었으며 해커 그룹 '셰도우 브로커(Shadow Brokers)'에 의해 지난 4월 외부로 유출됐다.

사이버아크 랩(CyberArk Labs)의 사이버 연구팀 수석 이사 코비 벤 나임은 "낫페티야 악성코드가 전 세계로 빠르게 확산하고 있다. 워너크라이가 사용했던 마이크로소프트 시스템의 SMB 보안 취약점을 이용해 믿기 어려울만큼 효율적으로 확산하고 있다. 이러한 방식은 강력하고 전례 없는 규모로 방대한 피해를 줄 가능성이 있다. 워너크라이 사태보다 더 심각한 사태가 올 수도 있다"고 말했다.

사이버아크 랩에 따르면 낫페티야는 관리자 권한으로 실행된다. 따라서 사용자가 피싱 링크를 클릭하면 이 랜섬웨어는 네트워크도 감염시키게 된다. 나임은 "이 공격이 실행되는 것을 막기 위해 기업은 보안 패치는 물론 엔드포인트에서 최고 권한의 계정을 보호하는 데 집중해야 한다"고 말했다.

카스퍼스키 랩은 현재 영국과 우크라이나, 네덜란드, 스페인, 미국 등 전 세계적으로 2,000곳 이상이 이 랜섬웨어 공격을 받았다고 밝혔다. 해커는 파일을 복구하려면 300달러 상당이 비트코인을 보내라고 요구하고 있다.

우크라이나의 경우 주전력기업과 중앙은행이 피해를 당했다. 우크라이나의 부총리 파블로 로젠코는 트위터를 통해 총리 사무국 컴퓨터 시스템이 마비됐다고 밝혔다. 이밖에 러시아 최대 석유 업체 로즈네프트(Rosneft), 덴마크의 운송업체 머스트(Maersk), 네덜란드 운송업체 TNT와 미국 제약업체 머크(Merck) 등도 표적이 됐다.

호주 정부는 중소기업에 후속 공격에 대비해 사이버 보안을 강화하기 위해 긴급 조치를 취할 것을 강력히 권고했다. 정부의 사이버 보안 담당자 댄 테한은 "현재 상황을 예의주시하고 있으며 주변국과 공동으로 대응하고 있다. 이번 랜섬웨어 공격 역시 워너크라이 사태와 같은 보안취약점을 이용한 공격으로 보인다. 정기적으로 데이터를 백업하고 최신 보안 패치를 설치하는 것이 중요하다"고 말했다. ciokr@idg.co.kr 



2017.06.29

'이번엔 낫페티야' 세계 곳곳 새 랜섬웨어에 '몸살'

George Nott | CIO Australia
전 세계 많은 기업이 새 랜섬웨어의 공격을 받고 있다. 보안 업체 맥아피(McAfee)는 '낫페티야(NotPetya)'로 불리는 랜섬웨어가 창궐하고 있다고 경고했다.



낫페티야는 파일과 컴퓨터 마스터 부트 레코드를 암호화해 사용하지 못하게 만드는 변종 랜섬웨어다. 불과 수주전 '워너크라이(WannaCry)' 랜섬웨어 공격으로 많은 PC 사용자가 최신 윈도우 패치를 설치했기 때문에, 낫페티야는 더 빠르게 확산하는 새로운 메커니즘을 이용하고 있다.

보안 업체 시만텍(Symantec)은 페티야의 변종인 낫페티야가 자신을 워너크라이처럼 위장한다고 분석했다. 보안 취약점 MS17-010을 이용하는데, 이는 '이터널 블루(Eternal Blue)'로 더 널리 알려져 있기도 하다. 이터널 블루는 미국 국가안보국(NSA)이 처음에 만들었으며 해커 그룹 '셰도우 브로커(Shadow Brokers)'에 의해 지난 4월 외부로 유출됐다.

사이버아크 랩(CyberArk Labs)의 사이버 연구팀 수석 이사 코비 벤 나임은 "낫페티야 악성코드가 전 세계로 빠르게 확산하고 있다. 워너크라이가 사용했던 마이크로소프트 시스템의 SMB 보안 취약점을 이용해 믿기 어려울만큼 효율적으로 확산하고 있다. 이러한 방식은 강력하고 전례 없는 규모로 방대한 피해를 줄 가능성이 있다. 워너크라이 사태보다 더 심각한 사태가 올 수도 있다"고 말했다.

사이버아크 랩에 따르면 낫페티야는 관리자 권한으로 실행된다. 따라서 사용자가 피싱 링크를 클릭하면 이 랜섬웨어는 네트워크도 감염시키게 된다. 나임은 "이 공격이 실행되는 것을 막기 위해 기업은 보안 패치는 물론 엔드포인트에서 최고 권한의 계정을 보호하는 데 집중해야 한다"고 말했다.

카스퍼스키 랩은 현재 영국과 우크라이나, 네덜란드, 스페인, 미국 등 전 세계적으로 2,000곳 이상이 이 랜섬웨어 공격을 받았다고 밝혔다. 해커는 파일을 복구하려면 300달러 상당이 비트코인을 보내라고 요구하고 있다.

우크라이나의 경우 주전력기업과 중앙은행이 피해를 당했다. 우크라이나의 부총리 파블로 로젠코는 트위터를 통해 총리 사무국 컴퓨터 시스템이 마비됐다고 밝혔다. 이밖에 러시아 최대 석유 업체 로즈네프트(Rosneft), 덴마크의 운송업체 머스트(Maersk), 네덜란드 운송업체 TNT와 미국 제약업체 머크(Merck) 등도 표적이 됐다.

호주 정부는 중소기업에 후속 공격에 대비해 사이버 보안을 강화하기 위해 긴급 조치를 취할 것을 강력히 권고했다. 정부의 사이버 보안 담당자 댄 테한은 "현재 상황을 예의주시하고 있으며 주변국과 공동으로 대응하고 있다. 이번 랜섬웨어 공격 역시 워너크라이 사태와 같은 보안취약점을 이용한 공격으로 보인다. 정기적으로 데이터를 백업하고 최신 보안 패치를 설치하는 것이 중요하다"고 말했다. ciokr@idg.co.kr 

X