파괴형 악성코드 해외서 등장...데이터 복원 불가능

복원이 불가능할 정도로 데이터를 삭제하는 악성코드가 발생했다. 데이터 저장 공간을 파괴해 복원이 불가능하다. 아직 실제 피해사례는 없지만 파괴력이 강해 주의가 필요하다.

2일 이스트시큐리티에 따르면 데이터를 파괴하는 '이스라바이(israbye)'가 등장했다. 이스라바이는 특정 문자열을 삽입하면 원본데이터를 파괴하고 윈도 작업 줄을 없앤다. 지난달 24일 제작됐다. 복원이 불가능할 정도로 데이터 값을 없앤다.

이스라바이(israbye) 감염화면. <출처 이스트시큐리티>
<이스라바이(israbye) 감염화면. <출처 이스트시큐리티>>

이스트시큐리티 관계자는 “데이터값을 다 지워버리고 다른 텍스트로 채워 넣는 형태”라며 “마스터부트레코드(MBR)를 먹통으로 만든 페트야와는 다른 방식으로 데이터를 파괴한다”고 말했다.

정치 목적이 다분하다. 원본파일명인 'israbye.exe'는 이스라엘 바이(bye)라는 의미다. 파괴된 파일 내부에 “이스라엘이 해체되기 전에는 너의 파일을 복구할 수 없을 것이다(You Will never Recover your Files Until Israel disepeare)”는 내용 문구가 삽입됐다. 마우스 커서에는 'END OF ISRAEL' 문구가 따라다닌다.

최근 세계적으로 특정 목적을 달성하기 위한 사이버 공격이 빈번하다. 6월 우크라이나 중심으로 퍼진 페트야(Petya) 랜섬웨어가 대표 사례다. 페트야는 일반 랜섬웨어와 달리 우크라이나 표적용으로 제작됐다는 것이 업계 분석이다.

윤광택 시만텍 CTO는 “시만텍 등은 페트야를 '디스크 와이퍼(Disk wiper)'로 불렀다”며 “페트야는 처음에는 랜섬웨어 모습을 띄었지만 나중에는 데이터 파괴 목적으로 보였다”고 전했다.

시스코는 지난달 31일 발표한 '2017 중기 사이버보안 보고서'에서 기업 백업·안전망을 파괴하는 '서비스 파괴(DeOS〃Destruction of Service)' 공격을 경고했다. 네티야(Nyetya·페트야) 등을 거론하며 서비스 파괴 공격으로 규정했다. 시스템을 복원하지 못할 정도로 데이터를 파괴하는 점이 특징이다.

국내에서는 2월 국내 모은행 보안로그 수집기로 위장한 악성코드가 나왔다. MBR 영역을 0으로 덮어 하드를 파괴한다. 최상명 하우리 CERT실장은 “국내에서는 2월 보안로그 수집기로 위장한 악성코드가 있었다”면서 “국내 타깃 대상 파괴 목적 악성코드는 거의 없다”고 설명했다.

아직 이스라바이 피해사례는 알려지지 않았다. 악성코드에 걸리면 데이터를 복원하기가 불가능하기 때문에 주의가 요구된다. 이스트시큐리티 관계자는 “아직 국내외 알려진 피해사례가 없다”면서도 “기존에 있던 데이터를 날려버리기 때문에 데이터 복원이 불가능하다”고 설명했다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com

위방향 화살표