최근 유럽 중심으로 세계 각지에 확산된 악성코드 '페트야(Petya)'의 정체는 랜섬웨어가 아니었다. 공격 의도가 데이터를 인질로 돈벌이를 하기보단 저장장치와 컴퓨터를 망가뜨리는 것이고, 실제 악성코드의 동작 또한 데이터를 되살릴 여지를 남기지 않는 것으로 파악됐다.
페트야는 원래 지난해 4월 피싱 이메일로 유포된 랜섬웨어의 이름이었다. 당시 악성코드는 피해자의 컴퓨터를 감염시킨 뒤 정상 부팅을 할 수 없는 상태로 만든 다음 시스템의 주요 파일을 되찾게 해 주는 대가로 비트코인을 요구했다. 이 페트야는 실제로 랜섬웨어였다. [☞관련기사 바로가기]
지난 27일 미국과 유럽의 몇몇 사이버보안업체는 우크라이나와 러시아, 이밖에 몇몇 서유럽 지역 국가, 미국 등에서 과거 페트야와 비슷해 보이는 악성코드를 발견했다. 기존 페트야와 비슷한 부팅 불능 동작을 수행하고 비트코인을 요구해 페트야 랜섬웨어의 변종 쯤으로 인식됐다.
28일 사이버보안업체인 러시아의 카스퍼스키랩과 아랍에미리트연합(UAE)의 코매테크놀로지스는 이런 인식과 상반된 견해를 제시했다. 새 악성코드를 기존 페트야와 구분짓기 위해 낫페트야(NotPetya), 엑스페터(ExPetr) 등 다른 이름으로 지칭하며, 랜섬웨어가 아니라고 강조했다. 블리핑컴퓨터는 해당 소식을 다룬 뉴스에서 "낫페트야는 랜섬웨어가 아니라 사이버무기(Cyber-Weapon)"라고 표현했다. [☞원문 바로가기]
카스퍼스키랩의 안톤 이바노프, 오칸 마메도프, 두 보안연구원은 회사 기술블로그 '시큐어리스트'를 통해 "페트야 또는 엑스페터 공격에 사용된 맬웨어 암호화 루틴을 분석한 결과 우리는 공격자가 요구했던 금액을 지불받았더라도 피해자의 디스크를 복호화할 수 없을 것이라 판단했다"면서 "이 악성코드가 랜섬웨어를 가장한 '와이퍼(wiper)'로 설계됐음을 시사한다"고 설명했다. [☞원문 바로가기]
페트야에 감염당한 시스템의 디스크를 복구하려면 공격자가 해당 시스템의 '설치ID' 문자열을 알고 있어야 한다. 설치ID는 암호화된 디스크를 복호화하기 위한 핵심정보를 담아 공격자에게 전달되고, 이후 공격자는 자신의 개인키를 사용해 해당 디스크의 복호화를 실행할 수 있다.
엑스페터 악성코드는 이렇게 공격자가 피해자 시스템을 복호화할 수 있게 만들어진 진짜 랜섬웨어 페트야와 다르게 동작한다. 카스퍼스키랩의 분석 결과, 엑스페터는 피해자 디스크를 암호화한 뒤 생성하는 설치ID는 복호화 키를 얻기 위한 정보를 담지 않고 있다. 그저 임의 생성된 문자열일 뿐이다.
카스퍼스키랩 측은 "공격자가 피해자 화면에 표시된 임의 생성된 설치ID 문자열에서 어떤 복호화 정보도 얻을 수 없기때문에, 피해자는 설치ID를 사용해 암호화된 디스크의 어떤 것도 복호화할 수 없게 된다"며 "이는 몸값(ransom)을 지불하더라도 데이터를 되찾지 못한다는 점, 엑스페터 공격의 주 목적이 금전적 동기가 아닌 파괴라는 점을 뜻한다"고 설명했다.
코매테크놀로지스 창업자 맷 스위치는 카스퍼스키보다 먼저 비슷한 결론에 도달했다.
그에 따르면 지난해 유포된 오리지널 페트야는 디스크 내용을 변경하지만, 그 방식은 변경한 내용을 되돌릴 수 있는 방식이다. 반면 새로운 페트야(엑스페터)는 디스크에 가한 손상을 영구적으로 되돌릴 수 없는 방식을 쓴다. 엑스페터는 데이터를 망가뜨리는 와이퍼 성격의 악성코드로, 랜섬웨어로 분류된 기존 페트야와 아예 다르다는 설명이다.
그는 "랜섬웨어는 돈을 버는 것을 목적으로 삼고 와이퍼는 파괴와 피해를 일으키는 걸 목적으로 삼는다"며 "의도, 동기, 내러티브가 다르다"고 지적했다. 이어 "2016년 페트야처럼 랜섬웨어는 피해자가 비용을 지불하면 마스터부트레코드(MBR)를 복구하거나 파일을 복호화하는 능력을 지녔다"며 "와이퍼는 단순히 (데이터를) 파괴하려 하고 복구의 여지를 배제한다"고 덧붙였다. [☞원문 바로가기]
악성코드가 확산된 이후 공격자의 대응 방식도 랜섬웨어 공격자의 움직임과는 달랐다. 통상 랜섬웨어 공격자는 대외적인 연락 수단을 유지한다. 계속 늘어나는 피해자에게 복호화 비용 지불을 유도해 복구 가능성을 기대하게 만들 수 있어서다. 이는 피해자의 데이터 복구를 성실히 돕지 않더라도 수익을 극대화할 수 있는 방식이다.
반면 엑스페터 공격자가 연락 수단으로 제시했던 이메일 계정은 현재 폐쇄됐다. 한 보안전문가가 악성코드 확산 초기 이 사실을 발견해 외부에 알렸다. 피해자가 복구를 위해 비트코인을 결제했어도 그걸 공격자에게 알릴 방법이 없으니 비용을 지불하지 말라는 뜻이었다. 스위치 역시 같은 지적을 했다.
엑스페터, 또는 새로운 페트야는 미국 국가안보국(NSA)이 만든 사이버무기 '이터널블루' 공격코드를 품어 강한 자가전파 능력까지 갖췄다는 점에서 확산초기 미디어들의 관심을 끌었다. 이터널블루는 지난달 세계 150개국 30만대 컴퓨터를 감염시킨 '워너크라이' 랜섬웨어가 먼저 악용한 공격코드였다. 워너크라이 사태의 연장선에서 또다른 랜섬웨어 사태가 벌어질지, 여기에 주목한 미디어가 적지 않았다.
미국 지디넷 보도에 따르면 엑스페터 역시 여러 나라에 피해를 초래하긴 했다. 64개국 이상 지역에서 적어도 2천건 이상의 공격이 발생했다. 워너크라이보다 확산 규모는 적지만 시스템 부팅조차 불가능한 상태로 데이터를 복구할 수 없게 만든다는 점에서 개별 피해 사례를 더 심각하게 만드는 측면도 보였다. [☞원문 바로가기]
하지만 워너크라이에 이은 또다른 대규모 랜섬웨어 사태로 보기에 석연찮은 요소가 많은 것도 사실이었다. 악성코드를 분석한 마이크로소프트(MS)의 설명에 따르면 엑스페터의 최초 감염 및 확산 경로는 특이하게도 우크라이나 소재 세무회계 소프트웨어 메독(MEDoc)의 업데이트 기능을 통해 이뤄졌다.
이런 점에서 악성코드가 세계적 파장을 낳긴 했지만, 공격자의 최초 의도는 우크라이나를 겨냥한 것 아니냐는 견해가 제시됐다.
관련기사
- 랜섬웨어 '페트야', 다음 공격목표는 제조·화학 업종2017.06.30
- 페트야 랜섬웨어, 돈 내도 암호 못 푼다2017.06.30
- 부팅막는 페트야 랜섬웨어, 감염 막으려면2017.06.30
- 랜섬웨어 또 확산…이번엔 부팅까지 차단2017.06.30
맷 스위치는 이 악성코드가 확산돼 미디어를 통해 알려질 즈음, 최초 공격이 집중된 우크라이나에선 전력망 가동 중단부터 군 첩보 장교의 차량 폭발 등 안보위협을 고조하는 사건이 잇따랐다고 표현했다. 공격자가 워너크라이 사태 후 '랜섬웨어'에 집중된 미디어의 관심을 이용한 것 같다고 지적했다. 실제 공격 의도나 피해 양상을 덮기 위해 미디어의 관심을 다른 쪽으로 유도했을 가능성이 의심된다는 설명이다.
엑스페터 악성코드 확산 초기 피해 시스템에는 우크라이나의 체르노빌 방사선 모니터링 시스템이 포함돼 있었다. 우크라이나는 실제로 이 악성코드 최대 피해 지역이다. 러시아 보안업체 카스퍼스키랩의 나라별 피해 비중 그래프가 이를 보여줬다. 일각에선 우크라이나와 적대 관계인 러시아를 공격 지원으로 의심하기도 한다. [☞관련기사 바로가기]