본문 바로가기
IT/IT월드

위너크라이, 낫페트야 랜섬웨어 창궐은 NSA의 해킹도구 때문?

by 썬도그 2017. 6. 28.
반응형

랜섬웨어는 아주 골치 아픈 놈입니다. 이 녀석은 중요한 파일을 암호화 해버립니다. 우리가 PC에 저장한 문서나 이미지 파일 등등 중요한 데이터를 암호화 한 후에 암호를 풀려면 돈을 내놓으라고 협박을 합니다. 파일을 인질로 삼아서 돈을 요구하는 방식이 마치 유괴범과 동일합니다. 

따라서 우리는 이런 유괴범과 협상을 하지 말아야 합니다. 그러나 나야나 사태에서 보듯이 피치 못할 사정으로 돈을 보내줄 수 밖에 없는 상황도 있습니다. 문제는 이렇게 돈 맛을 느낀 해커들은 또 다른 공격 목표를 삼고 집요하게 분석하고 정밀 타격을 할 수 있습니다. 

랜섬웨어는 최근에 만들어진 해킹 방법은 아닙니다. 그러나 최근에 결제 추적과 규제가 어려운 비트코인의 등장으로 더욱 기승을 부리고 있습니다. 랜섬웨어는 이메일 첨부 파일 등으로 공격을 시도하지만 최근에는 윈도우 운영체제 결함을 이용해서 공격하는 새로운 방식을 보이고 있습니다.


<낫페트야 NotPetya에 감염된 PC>

2017년 5월 전 세계는 위너크라이라는 랜섬웨어가 전 세계에서 창궐해서 자동차 생산라인을 다운시키거나 의료기관을 마비 시키는 등의 큰 피해를 줬습니다. 이 당시 많은 사람들이 두려움에 떨었습니다. 문제는 이런 위너크라이 아류들이나 변종들이 계속 나오고 그 대처 방법이 마땅치 못할 경우가 많다는 것을 보안 전문가들은 경고했습니다.

그리고 어제부터 NotPetya(낫페트야)가 등장해서 정부와 전력 회사등을 공격하고 심각한 영향을 주고 있습니다. 
카스키스퍼의 분석에 따르면 랜섬웨어 낫페트야는 페트야의 변종입니다. 이 낫페트야는 위너크리아와 마찬가지로 시스템을 감염시키면 데이터 전체를 암호화하고 암호화 해제를 원하면 300달러 상당의 비트코인을 보내라고 요구합니다. 


이 낫페트야는 감염 속도가 엄청나게 빠르기 때문에 한 네트워크에 침투하면 전체가 순식간에 감염될 수 있습니다. 낫페트야에 감염이 되면 부팅 영역인 MBR까지 암호화하기 때문에 부팅 자체가 되지 않을 수 있습니다. 즉 걸리면 싹 밀고 다시 윈도우를 깔아야 하는 경우가 발생할 수 있습니다. 

대처 방법은 “C:/Windows/perfc” 라는 폴더를 만들면 막을 수 있다고 합니다. 

이 낫페트야는 유럽을 중심으로 빠르게 확산하고 있으며 가장 심각한 피해를 입은 국가는 우크라이나입니다. 우크라이나는 중앙 은행과 국영 통신사, 지하철, 공항, 포스 단말기, ATM 등을 넘어 체르노빌 원자력 발전소 시스템까지 감염시켜서 방사선 모니터링 시스템이 마비 되었습니다. 

이외에도 덴마크 해운 회사 Maersk와 러시아 석유 기업인 Rosnoft 영국광고 회사 WPP등이 낫페트야에 피해를 봤습니다.
그런데 보안관계자에 따르면 이 낫페트야와 위너크라이에 사용된 공격 도구는 EternalBlue를 활용되고 있다고 보안관계자들이 말하고 있습니다. 그런데 이 EternalBlue는 미국 국가안보국 NSA에서 개발한 도구입니다. 


NSA의 만능 해킹도구가 랜섬웨어 창궐에 영향을 주다

 스노든은 미국 정부가 무차별적으로 개인 정보를 수집하고 있다고 폭로했습니다. 미국 국가안보국 NSA가 프리즘이라는 프로그램을 통해서 불법적으로 많은 개인 정보와 중요 데이터를 무차별적으로 수집했습니다. 이런 불법 정보를 수집하기 위해선느 만능 해킹 도구가 필요합니다. 그리고 그 해킹 도구가 EternalBlue입니다. 

EternalBlue는 Windows SMBv1 서버가 특정 요청을 처리할 때의 보안 결함을 악용하여 보안 패치를 하지 않는 PC에 랜섬웨어를 심을 수 있습니다. 기존 랜섬웨어들은 이메일 첨부파일을 열었을 때 걸리기 때문에 주의만 하면 걸리지 않을 수 있습니다. 그러나 EternalBlue 툴을 이용하면 보안 패치를 하지 않는 PC에 랜섬웨어 악성코드를 실행할 수 있습니다. 

이후 MS사는 보안 패치를 통해서 EternalBlue를 막을 수 있지만 여전히 보안 패치를 하지 않은 PC들은 랜섬웨어에 걸릴 수 있습니다.  보안회사 아베스트는  EternalBlue 해킹 툴에 노출된 PC가 전 세계에서 최소 3,800만대가 존재한다고 발표했습니다. 

위너크라이를 만든 '쉐도우 브로커스'는 미국 국가안보국(NSA)의 새로운 해킹 툴을 6월에 판매할 계획에 있습니다. 이게 실화인지는 모르겠지만 보안관계자의 말도 그렇고 미국 NSA가 만능 해킹툴을 해커들에게 털린 후 전 세계가 그 피해를 받고 있네요. 

이러기에 권력은 감당할 수 있을 권력만 가져야 합니다. 제대로 간수도 못하는 걸 털려서 해커들의 놀이도구로 만들어 버렸네요. 

반응형