PC부팅막는 랜섬웨어 페트야(Petya), 로컬 킬스위치 예방법(perfc)

 랜섬웨어 워너크라이(Wannacry) 이슈가 우리 머리속에서 사라져가고 있었는데, 다시 한번 랜섬웨어에 대한 관심을 불러일으키는 이슈가 발생했다. 바로 워너크라이보다 더 강력한 피해를 입히는 페트야(Petya, 일부 매체에서는 '페티야'라고 부르기도한다)가 그 주인공이다. 이미 우크라이나, 러시아 등에서 다양한 피해를 발생시킨 페트야는 기본적으로 워너크라이와 동일하게 네트워크 상에서 열려있는 SMB포트를 이용해서 사용자를 공격한다. 그래서 워너크라이 피해예방을 위해서 OS 및 백신업데이트를 실시하고, SMB포트를 차단한 사용자들은 크게 걱정할 필요는 없다. 그래도 꼭 페트야 뿐만 아니라 랜섬웨어가 나를 공격할지 모른다는 생각으로 데이터 백업은 꼭 필요하다. 

 피해를 입히는 경로는 워너크라이와 동일하지만 페트야에 점령당하게 되면 더 심각한 피해를 입게된다. 워너크라이가 데이터 파일만 사용하지 못하게 만든다면, 페트야는 데이터 파손은 물론이고 시스템 자체를 사용하지 못하게 된다. 이것은 페트야가 MBR(Master Boot Record)를 감염시켜서 사용하지 못하게 하기 때문이다. MBR은 윈도우의 같은 OS의 기본정보가 저장되어 있는 공간으로 하드디스크의 가장 깊숙한 곳이라고 생각하면 된다. 그래서 이곳을 감염시키는 페트야의 공격을 받게되면 시스템 자체를 사용하지 못하게 되어서 OS 부팅자체가 되지 않는다. 참고로 마스터부트레코드를 암호화시키는 랜섬웨어로는 페트야, 미스차, 골든아이 등이 존재한다.

▲ 랜섬웨어 페트야에 감염된 모습

 위에도 언급했지만 기존에 워너크라이에 대한 예방을 해뒀다면 페트야에 대한 추가적인 예방을 할 것은 없다. 단지 기존에 워너크라이가 SMB포트를 차단해야지만 예방이 가능했다면, 페트야는 로컬 킬스위치라 불리는 피해 예방법이 한가지 더 있다. 이 방법은 시스템 설정을 건드리지 않기 때문에 SMB포트차단시 사무실내에서 네트워크 공유를 못하는 문제가 발생하지 않는다. 이 방법은 미국, 영국, 프랑스 등의 보안업체에 있는 연구원들이 발견되어서 공유되었다. 구체적인 방법은 굉장히 간단한데, 먼저 윈도우 프로그램 및 파일검색창에서 'cmd'를 입력해야 한다. 그러면 위 화면에서처럼 'c:\users\PC이름\>'이 나오고, 필자가 입력한 것과 같은 과정을 거치기만 하면 된다. 이 방법은 페트야가 윈도우 경로상에 perfc라는 이름의 파일명이 존재할 경우 감염행위를 그만두는 특성에 기인한 것인데, 언제 변종이 발생할지 모르기 때문에 궁극적으로는 SMB포트를 차단하는 것이 가장 안전하다. 변종발생에 대한 우려 때문인지 이 방법을 공유한 연구원들도 98% 예방이 가능하다고 소개했다. 참고로 아래 링크는 필자가 워너크라이 사타 당시 작성한 SMB포트차단을 통한 랜섬웨어 피해예방법이다.

☆ SMB포트 차단을 통한 랜섬웨어(워너크라이, 페트야) 피해예방법 ☆

 다행인지 불행인지 워너크라이 이후에 페트야가 이슈화 되어서 랜섬웨어의 심각성에 대한 반응도 그리 유별나지는 않은 것 같다. 워너크라이보다 훨씬 더 강력한 피해를 발생시키지만 피해예방법 자체가 똑같기 때문에, 워너크라이가 좋은 예방접종을 해준셈이다.

랜섬웨어 페트야가 세계적으로 이슈가 되고 있고, 한국도 이미 공격 대상에 있다는 이야기가 있다. 그래서 페트야가 어떤 특징을 가지고 있고, 어떻게 하면 예방이 가능한지 간략하게 살펴보았다. 혹시나 워너크라이 사태때 별다른 예방을 하지 않았다면, SMB포트차단 또는 로컬킬스위치 예방법을 통해 피해를 예방하기를 권한다. 그리고 글 서두에도 언급했지만 무엇보다도 중요한 데이터는 항상 백업해두는 습관이 필요하다.