2017.10.19

페트야와 낫페트야, 어떻게 다르지?

Josh Fruhlinger | CSO
외관상으로 낫페트야는 여러 가지 방법에서 페트야 랜섬웨어와 비슷하지만, 여러 가지 중요한 방식에서 이 둘은 서로 다르며, 낫페트야가 훨씬 위험한 것으로 알려졌다.


페트야 랜섬웨어 로고 

페트야(Petya)와 낫페트야(NotPetya)는 2016년과 2017년에 수천 대의 컴퓨터를 공격한, 유사한 두 악성코드다. 페트야와 낫페트야 모두 감염된 PC의 하드 드라이브 암호화를 시도하며, 그 밖에도 공통점이 많아 처음에는 낫페트야가 이 악성코드의 한 변형으로 취급되기도 했다. 그러나 낫페트야의 경우 페트야보다 훨씬 다양한 경로로 다른 컴퓨터들에까지 악성코드를 퍼트려 감염시킬 수 있다. 또한 페트야는 그저 피해자들로부터 비트코인을 뜯어내는 것이 목적인, 상당히 평범한 랜섬웨어인 반면 낫페트야는 랜섬웨어의 형태를 가장하고 있지만 사실은 러시아 정부 주도의 사이버 공격이라고 평가되고 있다.

‘페트야’란 무엇인가?
페트야는 기본적으로 랜섬웨어다. 공격 대상 컴퓨터를 감염시키고 그 안의 데이터 일부를 암호화한 후, 이 데이터를 돌려받고 싶으면 비트코인으로 몸값을 지불해야 한다고 협박하는 방식이다. 페트야라는 이름은 1995년 제임스 본드가 등장하는 영화 ‘골든아이(GoldenEye)’에 나오는 인공위성의 이름을 딴 것이다. 이 악성코드를 처음 만든 사람의 것으로 추정되는 트위터 계정에는 이 영화에서 악당 역을 맡은 배우 앨런 커밍의 사진이 프로필로 되어 있다.

페트야 악성코드
2016년 3월 퍼지기 시작한 페트야 악성코드의 최초 버전은 구직자 이력서로 가장하여 이메일에 첨부 파일 형태로 타깃 컴퓨터를 노렸다. 첨부 파일은 2개였다. 하나는 젊은 남성의 사진 파일이었고(받은 사람은 구직자의 사진이라 생각하게 되지만, 사실은 상업용 이미지였다), 다른 하나는 실행 가능한 파일로 파일명에 PDF가 들어간 것이었다. 피해자가 해당 파일을 클릭하고, 이 파일을 실행 시 윈도우 설정이 변경될 수 있다고 경고하는 윈도우 사용자 접근 제어 메시지에 동의하기를 노리는 것이다(페트야는 오로지 윈도우 컴퓨터에서만 영향을 미친다).

페트야의 작동 기전
불행히도 메일 수신자가 파일을 실행할 경우, 페트야는 컴퓨터를 재부팅한다. 그러면 시스템 충돌이 발생했을 때 보게 되는 것과 비슷한 윈도우 CHKDSK 창을 보게 된다. 사실 이 과정 뒤에는 이미 컴퓨터에 저장된 파일을 암호화하는 작업이 진행 중이다. 초기 페트야의 감염률이 그다지 높지 않았는데도 이 악성코드가 ‘랜섬웨어 진화의 다음 단계’라는 평가를 받을 수 있었던 것은 바로 페트야가 피해자의 파일을 암호화하는 방식 때문이었다.

대부분 랜섬웨어는 특정 파일을 목표로 정하여 암호화를 시도하는 반면, 페트야는 자체적인 부트 로더를 설치하고 감염된 시스템의 마스터 부트 레코드를 덮어쓴다. 그리고 하드 드라이브의 로드맵 역할을 하는 파일시스템의 일부인 마스터 파일 테이블을 암호화한다. 쉽게 말해 파일도 그대로 있고, 엄밀히 말해 암호화가 된 것도 아니지만, 파일 위치를 알려주는 파일 시스템에 컴퓨터가 접근할 수 없게 되기 때문에 사실상 파일을 잃어버린 것이나 다름이 없다. 그리고 랜섬웨어는 하드 드라이브를 풀어주는 조건으로 비트코인으로 보상금을 요청한다.

위의 설명에서 알 수 있다시피, 이런 식의 랜섬웨어가 성공하려면 사용자가 관리자 권한에 속하는 시스템 변경을 쉽게 허락할 만큼 ‘뭘 모르는’ 사람이어야 한다. 페트야가 처음 퍼지기 시작하고 몇 달 후, 두 번째 파일 암호화 프로그램인 ‘미샤(Mischa)’가 포함된 새로운 버전의 랜섬웨어가 등장했다. 미샤는 사용자가 페트야의 시스템 변경 요청을 거부할 경우 작동하기 시작한다. 그러나 미샤는 단지 개별 파일만을 암호화하는 특별할 것 없는 랜섬웨어이다. (대개 미샤 랜섬웨어는 .exe 파일까지 암호화하는데, 이로 인해 피해자가 보상금을 지불할 경로까지 막아버릴 수 있다.)


페트야/낫페트야
따라서 페트야는 처음에는 그저 또 다른 하나의 랜섬웨어일 뿐이었다. 단지 파일을 암호화하는 방식이 조금 특이했을 뿐이다. 그러나 2017년 6월에는 상황이 바뀌었다. 페트야의 새로운 버전인 악성코드가 빠르게 확산되기 시작했고, 특히 우크라이나에서 그 피해가 심각했다. 하지만 유럽이나 기타 국가들에서도 피해 사례가 보고되고 있었다. 이 새로운 악성코드는 스팸 이메일이나 소셜 엔지니어링이라는 방법 없이도 컴퓨터에서 컴퓨터로, 네트워크에서 네트워크로 빠르게 퍼져 나갔다. 페트야보다 훨씬 높고 빠른 감염률로 인해 카스퍼스키 랩은 이를 ‘페트야와 다르다’는 뜻에서 ‘낫페트야’라고 불렀고 그 이름이 그대로 굳어졌다.

낫페트야 바이러스
낫페트야 바이러스는 표면적으로는 페트야 바이러스와 유사하다. 바이러스 감염 시 마스터 파일 테이블을 암호화하고 파일을 돌려주는 대가로 비트코인 보상금을 요구하는 스크린이 뜬다. 그렇지만 낫페트야는 여러 가지 측면에서 페트야와 다르며, 또 그보다 훨씬 위험하다.

낫페트야 바이러스는 자체적으로 확산할 수 있다. 기존 페트야 바이러스가 컴퓨터를 감염시킬 수 있으려면 피해자가 실제로 스팸 메일을 열어서, 첨부 파일을 다운 받은 후 관리자 권한을 내어 줘야만 가능했다. 그러나 낫페트야는 인간 사용자의 개입 없이도 바이러스를 퍼뜨릴 수 있는 여러 가지 방법을 가지고 있다. 최초의 감염 경로는 우크라이나의 거의 모든 기업이 사용하는 회계 소프트웨어 패키지인 M.E.Doc이었던 것으로 추정된다. M.E.Doc 서버를 통해 컴퓨터를 감염시킨 낫페트야 바이러스는 다양한 기술을 이용해 다른 컴퓨터로 전파되어 나갔다. 미국 NSA가 SMB 프로토콜의 윈도우 실행의 약점을 이용하기 위해 개발한 이터널블루(EternalBlue)와 이터널로맨스 (EternalRomance)가 그것이었다. 또한 낫페트야는 미미 캣츠(Mimi Katz)라는 툴을 이용해 감염된 기기의 메모리에서 네트워크 관리자 정보를 찾아내고 PSExec과 WMIC 툴을 이용해 로컬 네트워크의 컴퓨터에 원격으로 접근하여 감염시키기도 했다.

모든 것을 암호화하는 낫페트야. 낫페트야 악성코드는 마스터 부트 레코드만을 암호화한 페트야와 달리 다른 파일들까지도 타깃으로 노리면서 하드웨어에 한층 더 강력한 충격을 주었다.

낫페트야는 랜섬웨어가 아니다. 이것이야 말로 낫페트야의 가장 놀라운, 그러면서도 가장 중요한 사실이다. 낫페트야는 겉보기에는 파일을 돌려주는 대가로 비트코인을 요구하는 등 랜섬웨어처럼 보인다. 차이점이 있다면, 페트야 바이러스의 경우 보상금을 요구하는 스크린에 피해자를 식별할 수 있는 정보를 함께 요구하고 있다. 이 코드를 사용해 어떤 피해자가 보상금을 지불했는지를 판별하기 위함이다. 그러나 낫페트야 바이러스에 감염된 컴퓨터에서는 이 코드가 무작위로 생성되기 때문에 피해자의 신원을 파악하는 데 아무런 도움이 되지 못한다. 그리고 낫페트야 악성코드는 데이터를 암호화하는 과정에서 이를 완전히, 되돌릴 수 없을 정도로 망가뜨려 놓는다는 사실이 밝혀졌다.

그렇다면 낫페트야 바이러스의 진짜 목적은 무엇일까? 페트야 바이러스에 비해 그 감염성이나 방식이 훨씬 효율적이고 교묘해졌다는 사실을 놓고 볼 때, 낫페트야 바이러스의 제작자는 상당한 자원을 갖추고 있는 국가 정보기관이나 사이버전략 기관일 가능성이 높다. 그리고 2017년 공격이 주로 우크라이나에서 일어났다는 사실로 인해 많은 이들이 러시아를 범인으로 지목하고 있다. 실제로 우크라이나는 2014년 이래 줄곧 크림반도를 둘러싸고 러시아와 분쟁을 벌여 왔다. 러시아를 범행국으로 처음 지목한 것은 우크라이나 정부였지만 이후 많은 서구 국가들이 여기에 동의하였다. 러시아 정부는 이 사건에 대한 그 어떤 개입도 부인하며 낫페트야 바이러스가 러시아 컴퓨터들도 상당수 감염시켰다는 사실을 지적했다.

페트야 마이크로소프트 패치
낫페트야나 그 변형 바이러스 감염을 피하고자 반드시 커버해야 할 취약성 중 하나가 바로 이터널블루가 공략했던 SMB 취약성이다. 이 약점은 MS17-010로 패치될 수 있다. MS17-010은 낫페트야 사태가 벌어지기 수개월 전인 2017년 3월부터 있었다. 낫페트야 사태가 발생하기 불과 몇 주 전 낫페트야와 똑같은 취약성을 노린 워너크라이 공격이 감행되었으며 그로 인해 MS17-010의 중요성이 강조됐는데도 여전히 패치되지 않은 컴퓨터를 사용하다가 낫페트야가 확산되기 좋은 환경을 만들어 준 것이다.

페트야와 윈도우 10
낫페트야가 감염시킨 컴퓨터 중 상당수가 옛날 버전의 윈도우를 구동하고 있었다. 마이크로소프트는 윈도우 10이 낫페트야 공격을 효율적으로 막아줄 수 있다고 말한다. 대부분 설치 프로그램이 SMB 취약성을 커버하기 위한 자동 업데이트를 지원하기 때문이기도 하지만, 보안 기능의 개선으로 낫페트야가 다른 기기로 확산되기 위한 경로 중 몇 가지를 차단할 수 있었기 때문이다. ciokr@idg.co.kr
 



2017.10.19

페트야와 낫페트야, 어떻게 다르지?

Josh Fruhlinger | CSO
외관상으로 낫페트야는 여러 가지 방법에서 페트야 랜섬웨어와 비슷하지만, 여러 가지 중요한 방식에서 이 둘은 서로 다르며, 낫페트야가 훨씬 위험한 것으로 알려졌다.


페트야 랜섬웨어 로고 

페트야(Petya)와 낫페트야(NotPetya)는 2016년과 2017년에 수천 대의 컴퓨터를 공격한, 유사한 두 악성코드다. 페트야와 낫페트야 모두 감염된 PC의 하드 드라이브 암호화를 시도하며, 그 밖에도 공통점이 많아 처음에는 낫페트야가 이 악성코드의 한 변형으로 취급되기도 했다. 그러나 낫페트야의 경우 페트야보다 훨씬 다양한 경로로 다른 컴퓨터들에까지 악성코드를 퍼트려 감염시킬 수 있다. 또한 페트야는 그저 피해자들로부터 비트코인을 뜯어내는 것이 목적인, 상당히 평범한 랜섬웨어인 반면 낫페트야는 랜섬웨어의 형태를 가장하고 있지만 사실은 러시아 정부 주도의 사이버 공격이라고 평가되고 있다.

‘페트야’란 무엇인가?
페트야는 기본적으로 랜섬웨어다. 공격 대상 컴퓨터를 감염시키고 그 안의 데이터 일부를 암호화한 후, 이 데이터를 돌려받고 싶으면 비트코인으로 몸값을 지불해야 한다고 협박하는 방식이다. 페트야라는 이름은 1995년 제임스 본드가 등장하는 영화 ‘골든아이(GoldenEye)’에 나오는 인공위성의 이름을 딴 것이다. 이 악성코드를 처음 만든 사람의 것으로 추정되는 트위터 계정에는 이 영화에서 악당 역을 맡은 배우 앨런 커밍의 사진이 프로필로 되어 있다.

페트야 악성코드
2016년 3월 퍼지기 시작한 페트야 악성코드의 최초 버전은 구직자 이력서로 가장하여 이메일에 첨부 파일 형태로 타깃 컴퓨터를 노렸다. 첨부 파일은 2개였다. 하나는 젊은 남성의 사진 파일이었고(받은 사람은 구직자의 사진이라 생각하게 되지만, 사실은 상업용 이미지였다), 다른 하나는 실행 가능한 파일로 파일명에 PDF가 들어간 것이었다. 피해자가 해당 파일을 클릭하고, 이 파일을 실행 시 윈도우 설정이 변경될 수 있다고 경고하는 윈도우 사용자 접근 제어 메시지에 동의하기를 노리는 것이다(페트야는 오로지 윈도우 컴퓨터에서만 영향을 미친다).

페트야의 작동 기전
불행히도 메일 수신자가 파일을 실행할 경우, 페트야는 컴퓨터를 재부팅한다. 그러면 시스템 충돌이 발생했을 때 보게 되는 것과 비슷한 윈도우 CHKDSK 창을 보게 된다. 사실 이 과정 뒤에는 이미 컴퓨터에 저장된 파일을 암호화하는 작업이 진행 중이다. 초기 페트야의 감염률이 그다지 높지 않았는데도 이 악성코드가 ‘랜섬웨어 진화의 다음 단계’라는 평가를 받을 수 있었던 것은 바로 페트야가 피해자의 파일을 암호화하는 방식 때문이었다.

대부분 랜섬웨어는 특정 파일을 목표로 정하여 암호화를 시도하는 반면, 페트야는 자체적인 부트 로더를 설치하고 감염된 시스템의 마스터 부트 레코드를 덮어쓴다. 그리고 하드 드라이브의 로드맵 역할을 하는 파일시스템의 일부인 마스터 파일 테이블을 암호화한다. 쉽게 말해 파일도 그대로 있고, 엄밀히 말해 암호화가 된 것도 아니지만, 파일 위치를 알려주는 파일 시스템에 컴퓨터가 접근할 수 없게 되기 때문에 사실상 파일을 잃어버린 것이나 다름이 없다. 그리고 랜섬웨어는 하드 드라이브를 풀어주는 조건으로 비트코인으로 보상금을 요청한다.

위의 설명에서 알 수 있다시피, 이런 식의 랜섬웨어가 성공하려면 사용자가 관리자 권한에 속하는 시스템 변경을 쉽게 허락할 만큼 ‘뭘 모르는’ 사람이어야 한다. 페트야가 처음 퍼지기 시작하고 몇 달 후, 두 번째 파일 암호화 프로그램인 ‘미샤(Mischa)’가 포함된 새로운 버전의 랜섬웨어가 등장했다. 미샤는 사용자가 페트야의 시스템 변경 요청을 거부할 경우 작동하기 시작한다. 그러나 미샤는 단지 개별 파일만을 암호화하는 특별할 것 없는 랜섬웨어이다. (대개 미샤 랜섬웨어는 .exe 파일까지 암호화하는데, 이로 인해 피해자가 보상금을 지불할 경로까지 막아버릴 수 있다.)


페트야/낫페트야
따라서 페트야는 처음에는 그저 또 다른 하나의 랜섬웨어일 뿐이었다. 단지 파일을 암호화하는 방식이 조금 특이했을 뿐이다. 그러나 2017년 6월에는 상황이 바뀌었다. 페트야의 새로운 버전인 악성코드가 빠르게 확산되기 시작했고, 특히 우크라이나에서 그 피해가 심각했다. 하지만 유럽이나 기타 국가들에서도 피해 사례가 보고되고 있었다. 이 새로운 악성코드는 스팸 이메일이나 소셜 엔지니어링이라는 방법 없이도 컴퓨터에서 컴퓨터로, 네트워크에서 네트워크로 빠르게 퍼져 나갔다. 페트야보다 훨씬 높고 빠른 감염률로 인해 카스퍼스키 랩은 이를 ‘페트야와 다르다’는 뜻에서 ‘낫페트야’라고 불렀고 그 이름이 그대로 굳어졌다.

낫페트야 바이러스
낫페트야 바이러스는 표면적으로는 페트야 바이러스와 유사하다. 바이러스 감염 시 마스터 파일 테이블을 암호화하고 파일을 돌려주는 대가로 비트코인 보상금을 요구하는 스크린이 뜬다. 그렇지만 낫페트야는 여러 가지 측면에서 페트야와 다르며, 또 그보다 훨씬 위험하다.

낫페트야 바이러스는 자체적으로 확산할 수 있다. 기존 페트야 바이러스가 컴퓨터를 감염시킬 수 있으려면 피해자가 실제로 스팸 메일을 열어서, 첨부 파일을 다운 받은 후 관리자 권한을 내어 줘야만 가능했다. 그러나 낫페트야는 인간 사용자의 개입 없이도 바이러스를 퍼뜨릴 수 있는 여러 가지 방법을 가지고 있다. 최초의 감염 경로는 우크라이나의 거의 모든 기업이 사용하는 회계 소프트웨어 패키지인 M.E.Doc이었던 것으로 추정된다. M.E.Doc 서버를 통해 컴퓨터를 감염시킨 낫페트야 바이러스는 다양한 기술을 이용해 다른 컴퓨터로 전파되어 나갔다. 미국 NSA가 SMB 프로토콜의 윈도우 실행의 약점을 이용하기 위해 개발한 이터널블루(EternalBlue)와 이터널로맨스 (EternalRomance)가 그것이었다. 또한 낫페트야는 미미 캣츠(Mimi Katz)라는 툴을 이용해 감염된 기기의 메모리에서 네트워크 관리자 정보를 찾아내고 PSExec과 WMIC 툴을 이용해 로컬 네트워크의 컴퓨터에 원격으로 접근하여 감염시키기도 했다.

모든 것을 암호화하는 낫페트야. 낫페트야 악성코드는 마스터 부트 레코드만을 암호화한 페트야와 달리 다른 파일들까지도 타깃으로 노리면서 하드웨어에 한층 더 강력한 충격을 주었다.

낫페트야는 랜섬웨어가 아니다. 이것이야 말로 낫페트야의 가장 놀라운, 그러면서도 가장 중요한 사실이다. 낫페트야는 겉보기에는 파일을 돌려주는 대가로 비트코인을 요구하는 등 랜섬웨어처럼 보인다. 차이점이 있다면, 페트야 바이러스의 경우 보상금을 요구하는 스크린에 피해자를 식별할 수 있는 정보를 함께 요구하고 있다. 이 코드를 사용해 어떤 피해자가 보상금을 지불했는지를 판별하기 위함이다. 그러나 낫페트야 바이러스에 감염된 컴퓨터에서는 이 코드가 무작위로 생성되기 때문에 피해자의 신원을 파악하는 데 아무런 도움이 되지 못한다. 그리고 낫페트야 악성코드는 데이터를 암호화하는 과정에서 이를 완전히, 되돌릴 수 없을 정도로 망가뜨려 놓는다는 사실이 밝혀졌다.

그렇다면 낫페트야 바이러스의 진짜 목적은 무엇일까? 페트야 바이러스에 비해 그 감염성이나 방식이 훨씬 효율적이고 교묘해졌다는 사실을 놓고 볼 때, 낫페트야 바이러스의 제작자는 상당한 자원을 갖추고 있는 국가 정보기관이나 사이버전략 기관일 가능성이 높다. 그리고 2017년 공격이 주로 우크라이나에서 일어났다는 사실로 인해 많은 이들이 러시아를 범인으로 지목하고 있다. 실제로 우크라이나는 2014년 이래 줄곧 크림반도를 둘러싸고 러시아와 분쟁을 벌여 왔다. 러시아를 범행국으로 처음 지목한 것은 우크라이나 정부였지만 이후 많은 서구 국가들이 여기에 동의하였다. 러시아 정부는 이 사건에 대한 그 어떤 개입도 부인하며 낫페트야 바이러스가 러시아 컴퓨터들도 상당수 감염시켰다는 사실을 지적했다.

페트야 마이크로소프트 패치
낫페트야나 그 변형 바이러스 감염을 피하고자 반드시 커버해야 할 취약성 중 하나가 바로 이터널블루가 공략했던 SMB 취약성이다. 이 약점은 MS17-010로 패치될 수 있다. MS17-010은 낫페트야 사태가 벌어지기 수개월 전인 2017년 3월부터 있었다. 낫페트야 사태가 발생하기 불과 몇 주 전 낫페트야와 똑같은 취약성을 노린 워너크라이 공격이 감행되었으며 그로 인해 MS17-010의 중요성이 강조됐는데도 여전히 패치되지 않은 컴퓨터를 사용하다가 낫페트야가 확산되기 좋은 환경을 만들어 준 것이다.

페트야와 윈도우 10
낫페트야가 감염시킨 컴퓨터 중 상당수가 옛날 버전의 윈도우를 구동하고 있었다. 마이크로소프트는 윈도우 10이 낫페트야 공격을 효율적으로 막아줄 수 있다고 말한다. 대부분 설치 프로그램이 SMB 취약성을 커버하기 위한 자동 업데이트를 지원하기 때문이기도 하지만, 보안 기능의 개선으로 낫페트야가 다른 기기로 확산되기 위한 경로 중 몇 가지를 차단할 수 있었기 때문이다. ciokr@idg.co.kr
 

X