유럽 뒤흔든 '랜섬웨어 페티야' 국내 상륙

우크라이나 정부·은행·기업 전산망 광범위 사이버 공격
러 체르노빌원전도 피해

국내 기업들도 비상
한국MSD도 전산 마비…지난 '워너크라이'보다 강해
확산 저지할 '킬스위치' 없어…"MS윈도 최신 업데이트를"

랜섬웨어 ‘페티야’가 유럽과 미국을 강타한 가운데 국내에서도 일부 외국계 기업이 피해를 본 것으로 확인됐다. 28일 서울 송파구 인터넷침해대응센터 종합상황실 직원이 악성코드 유포 현황을 점검하고 있다. 연합뉴스

지난달 세계를 강타한 ‘워너크라이(WannaCry)’에 이어 이번엔 신종 랜섬웨어 ‘페티야(Petya)’가 각국을 휩쓸고 있다. 국내에서도 외국계 기업 등에서 피해 사례가 발생하면서 보안 전문가들은 “경계심을 늦추지 말아야 한다”고 당부하고 있다.

27일(현지시간) 뉴욕타임스(NYT) 등 외신에 따르면 미국과 유럽의 공공기관, 기업, 금융기관 등이 동시다발적으로 페티야의 공격을 받았다. 첫 피해는 우크라이나에서 발생했다. 체르노빌 원전 방사능감지시스템이 감염된 데 이어 일부 국영은행과 정부 서버, 수도 키예프의 지하철, 공항 컴퓨터망이 랜섬웨어 공격으로 운영에 차질을 빚고 있다.

덴마크 세계 최대 해운사 A.P.몰러-머스크, 영국 광고기업 WPP, 프랑스 제조업체 생고뱅 등도 피해를 봤다. 미국의 제약사 머크 역시 페티야의 공격을 받은 사실이 확인됐다. 글로벌 보안업체 카스퍼스키랩에 따르면 현재까지 전 세계에서 2000명이 공격을 받았다.

페티야는 지난해 초 처음 발견된 랜섬웨어다. 지난달 전 세계 150만 대 PC를 감염시킨 워너크라이와 동일한 방식으로 침투한다. 윈도 운영체제의 파일공유 시스템 취약점을 파고들어 PC를 감염시킨 뒤 300달러(약 34만원) 상당의 비트코인(전자화폐)을 요구한다.

페티야는 워너크라이보다 치명적이다. 일부 파일만 잠가놓고 돈을 요구한 워너크라이와 달리 페티야는 비트코인을 지급하지 않으면 PC를 아예 사용할 수 없게 한다.

확산을 저지하는 ‘킬스위치(kill switch)’가 없는 더욱 강력한 변종일 수 있다는 우려도 제기된다. 미국 싱크탱크 애틀랜틱 카운슬의 보 우즈 사이버기술계획 부국장은 “만약 킬스위치가 없다면 수개월에 걸쳐 공격을 가할 수 있다”고 설명했다.

해당 랜섬웨어는 국내에도 유입된 것으로 파악된다. SLR클럽 등 인터넷 커뮤니티 게시판에는 28일 “회사 전체가 랜섬웨어에 걸렸다”는 글과 함께 페티야 랜섬웨어에 감염된 것으로 보이는 PC 화면이 올라왔다.

미국 제약사 머크의 국내 지사인 한국MSD도 페티야에 감염돼 일부 컴퓨터가 마비된 것으로 확인됐다. 한국MSD 관계자는 “일부 PC가 랜섬웨어에 감염되면서 사용할 수 없게 됐다”며 “관련 직원들의 업무가 마비 상태”라고 말했다.

이 회사는 현재 모든 인터넷망을 차단하고 컴퓨터로 문서 작업만 하고 있다. 미국 본사가 피해를 보면서 인트라넷 서버를 통해 국내 지사까지 감염된 것으로 파악되고 있다.

한국인터넷진흥원(KISA)은 보안업체들과 정보를 공유하면서 상황을 주시하고 있다. KISA 관계자는 “워너크라이와 동일한 취약점을 이용했기 때문에 대비 작업을 마쳤다면 큰 문제가 없을 것으로 보인다”면서도 “확산 우려가 있기 때문에 주요 파일을 백업하고 윈도 백신을 최신 버전으로 업데이트해야 안전하다”고 말했다.

■ 랜섬웨어

랜섬웨어 사용자의 PC를 볼모로 잡고 돈을 요구한다고 해서 ‘랜섬(ransom·몸값)’이란 수식어가 붙은 악성코드. 공격자가 사용자의 컴퓨터에 잠입해 파일에 암호를 걸어 열지 못하도록 잠근 뒤 열쇠 프로그램을 전송해 주는 대가로 금품을 요구하는 사이버 범죄 수법.

유하늘 기자 skyu@hankyung.com