워너크라이·페트야는 랜섬웨어 가장한 '데이터 파괴 공격'

5월 세계를 혼동에 빠트린 '워너크라이'와 6월 우크라이나 주요 시설을 감염시킨 '페트야'는 랜섬웨어를 가장한 데이터 파괴형 악성코드였다.

카스퍼스키랩코리아(대표 이창훈)는 2분기에 정교한 기술을 자랑하는 해킹 조직이 한층 발전된 악성코드를 대거 유포했다고 밝혔다. 공격자는 보안 업데이트가 없는 제로데이 취약점은 물론이고 워너크라이와 페트야 등 전에 보지 못한 형태 악성코드를 사용했다.

카스퍼스키랩은 워너크라이와 페트야는 미완성 코드 상태로 등장했다고 분석했다. 재원이 풍부한 해킹 조직이 흔치 않은 일을 벌였다. 워너크라이와 페트야 유포 조직은 국가나 민족 단체 지원을 받는 것으로 추정된다. 두 악성코드는 세계 전역 기업과 조직에 피해를 입히는 치명적인 전염병이었다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

카스퍼스키랩은 두 악성코드는 신종이며 앞으로 유사 피해가 이어질 것으로 전망했다. 워너크라이와 페트야는 공격 특성과 대상을 다르지만 금전적 효과를 노린 '랜섬웨어' 효과가 떨어지는 공통점이 있다.

워너크라이는 급속한 확산으로 세간의 주의를 끌면서 해킹 조직 비트코인 계정도 덩달아 조명 받았다. 이 때문에 현금 인출이 어렵다. 카스퍼스키랩은 이런 점 때문에 워너크라이 진짜 목적이 데이터 파괴라고 추정했다. 카스퍼스키랩은 워너크라이가 2014년 소니픽처스를 공격한 라자루스 그룹과 연관성을 찾아냈다. 악성 코드를 랜섬웨어로 위장하는 패턴은 페트야도 같다.

워크라이 랜섬웨어 스크린샷.
<워크라이 랜섬웨어 스크린샷.>

페트야 공격은 우크라이나와 러시아, 유럽 일부 조직을 대상으로 발생했다. 페트야는 랜섬웨어 모습을 했지만 데이터 파괴에 집중했다. 페트야 공격조직이 밝혀지지 않은 가운데 카스퍼스키랩은 과거 우크라이나 발전소를 마비시킨 '블랙 에너지'와는 다른 조직으로 판단했다.

4월부터 6월말 동안 표적형 공격 발전이 두드러졌다. 러시아어, 영어, 한국어, 중국어를 구사하는 해킹 조직이 활동했다. 워너크라이 역시 한국어를 구사하는 라자루스 그룹과 연계됐다. 라자루스 그룹 내 '블루노루프'라 불리는 하위 조직이 활발히 활동했다. 이들은 금전 이득을 노리고 은행, ATM 등을 공격했다. 이들은 새로운 악성코드 'Manuscrypt'를 사용했다.

해당 악성코드는 한국 외교 기관과 가상화폐, 전자결제사이트 이용자 공격에 쓰였다. 최근 발생한 금융기관 표적 공격에도 'Manuscrypt'가 쓰였다.

이창훈 카스퍼스키랩코리아 대표는 “사이버 스파이와 첩보, 범죄가 늘어나면서 보안 담당자들이 함께 뭉치고 지식을 공유해 위협에 대응할 필요성이 커졌다”고 말했다.

ⓒ게티이미지뱅크
<ⓒ게티이미지뱅크>

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

위방향 화살표