새로운 랜섬웨어 전세계 공격, 여러 국가 영향 받아
2017년 06월 30일 14:54【글자 크게
복원 작게】【메모】【프린트】【창닫기】
인민넷 조문판: 전세계 많은 국가의 인터넷이 27 일 새로운 랜섬웨어(勒索病毒)의 공격을 당했다. 우크라이나의 피해가 엄중한데 정부부문, 국유기업이 계속하여 공격을 받았다.
서방 매체의 보도에 따르면 일부 연구인원은 지난달 "워너크라이" 랜섬웨어와 비슷하다고 했는데 새 랜섬웨어는 류출당한 미국 국가안전국의 인터넷 "해제도구"를 사용했다고 한다.
【여러 국가 영향 받아】
AP통신의 보도에 따르면 27일 나타난 랜섬웨어는 먼저 우크라이나를 공격한후 유럽, 북아메리가지역의 여러 국가로 만연됐다고 한다.
서방 매체의 보도에 따르면 영향을 받은 전세계 대기업으로는 로씨야석유공사, 단마르크 항공운수와 석유 그룹 머스크, 영국방송서비스그룹 WPP, 네덜란드 TNT국제택배회사, 미국제약회사 메르크, 미국식품그룹 몬델레즈 언터네셔널, 미국법률사무소 DLA파이퍼 등이 있다고 한다.
로씨야 인터넷안전회사 Group-IB는 우크라이나와 로씨야 경내의 이미 80개가 넘는 회사가 영향을 받았다고 했다. 랜섬웨어가 컴퓨터에 침입되면 파일을 잠궈버리고 피해자에게 300딸라에 달하는 비트코인(比特币)을 지불해야만 파일을 복원시키겠다고 한다.
로씨야 인터넷안전회사 카스퍼스키랩(卡巴斯基实验室)의 초보적인 조사결과 이 랜섬웨어는 이날에만 약 2000번의 공격을 실시했는데 90% 이상이 우크라이나와 로씨야에 있었으며 폴란드, 이딸리아, 독일, 프랑스, 영국, 미국도 피해를 당했다.
로씨야석유회사가 확인한데 따르면 이 회사의 서버는 이날 한차례의 "강력한" 공격을 당했지만 "백업시스템"이 있었기때문에 회사의 석유 생산과 채취는 중단되지 않았다고 한다.
AP통신의 보도에 따르면 이 랜섬웨어의 만연속도는 점차 완화되는 추세를 나타냈다고 한다. 부분적 원인은 가능하게 이 소프트웨어가 컴퓨터시스템을 통해 "직접 접촉"을 전파해야 하는데 우크라이나와 인터넷 관련이 비교적 적은 지역은 전파시 제한을 받기때문이라고 했다. 로이터통신의 보도에 따르면 이미 30여명의 피해자가 비트코인을 지불했다고 한다.
【피해 엄중】
우크라이나는 이번 인터넷습격에서 영향을 가장 많은 받은 국가이다.
서방 매체의 보도에 따르면 우크라이나 고위급 정부부문, 중앙은행, 국가전력회사, 수도 키예프 공항, 체르노빌 원전사고 격리구 감측시스템, 우크라이나 지하철, 우크라이나 전신회사, 비행기 제조업체 안토노프회사 및 일부 상업은행, 에너르기회사, 자동현금인출기, 주유소, 대형 슈퍼마켓이 모두 영향을 받았다고 한다.
체르노빌 원전사고 격리구의 방사감측시스템은 접속을 끊어버렸다. 격리구 관리국의 사업일군은 기계를 들고 인공으로 방사정황을 감측했는데 "몇십년전에 이렇게 감측했다"고 말했다.
우크라이나 중앙은행도 한 성명에서 인터넷 습격의 영향으로 "일부 우크라이나은행의 업무와 고객서비스가 곤난에 직면했다"고 말했다.
【어떠한 바이러스인가】
지난달 12일, "워너크라이"라는 랜섬웨어가 전세계 약 150개 국가에서 20만차례가 넘는 공격을 실시하여 정부부문, 대중교통, 의료, 우정, 통신 등 령역에 영향줬다. 피해자는 기한내에 가치 300딸라에 달하는 비트코인을 지불하면 파일을 해제해주겠다고 했으며 안그러면 몸값을 올리겠다고 했다. "워너크라이" 랜섬웨어는 짧은 시간이 지난후 잠잠해졌다.
현재 새로운 랜섬웨어의 원천, 전파경로, 배후동기는 아직 명확하지 않는다.
마이크로 소프트웨어회사는 이 바이러스 소프트웨어는 하나의 취약점을 리용한것이라고 하면서 이 취약점이 지난해 3월 한 안전업그레이드중에서 보정패치를 거쳤다고 했다.
Group-IB회사와 일부 인터넷 안전 전문가는 새 랜섬웨어는 작년에 나타난 "페트야(Petya)"라는 랜섬웨어의 변체인것 같다고 했다. 하지만 카스퍼스키랩은 "종래로 본적이 없는" 신형 랜섬웨어라고 했다.
【NSA 조공(助攻)?】
일부 전문가는 "워너크라이" 바이러스와 비슷하다는것을 발견했는데 새 랜섬웨어도 미국 국가안전국(NSA)가 연구개발한 "해제도구"를 사용했다고 말했다. 올해 4월, 미국 국가안전국에서 비밀류출사건이 발생했는데 이들이 연구개발한 해킹도구가 "The shadow broker"라는 신비한 조직에 의해 인터넷에서 공개됐다.
미국 기업안전회사 Proofpoint 안전전문가 레인 카론베르는 일부 공개된 취약점은 서랏 보완패치를 사용한다 해도 이번 공격을 받을수 있다고 했다.
카론베르는 보통의 인터넷 랜섬웨어 습격과 다르게 이번 습격은 피해자의 개인정보파일을 공격대상을 삼았을뿐만아니라 컴퓨터의 MBR도 고쳐버려 대응하기 아주 힘들다고 했다.
【여러측 추적】
마이크로 소프트웨어회사 대변인은 이번 인터넷습격을 조사하고있으며 타당한 보호조치를 취해 사용자를 보호할것이라고 하면서 마이크로 소프트회사의 백신프로그람은 이 랜섬웨어를 발견하여 삭제할수 있다고 했다.
미국 백악관 국가안전위원회는 한 성명에서 미국 정부기구는 현재 이 사건을 조사하고있으며 미국은 "관련 인원의 책임을 추궁할 의지가 있다"고 했다. 미국 국토안전부도 이 인터넷습격을 감시하면서 기타 국가와 협조하고 있으며 피해자에게 몸값을 지불하지 말아야 한다고 하면서 몸값을 지불한다 해도 파일이 회복되는것을 보장하지 못하기때문이라고 했다.
국제형사기구는 현재 인터넷습격정황을 밀접히 감시하고있으며 관련 성원국과 련락을 유지하고있다고 말했다. 프랑스 국가정보계통안전국도 현재 이 인터넷습격을 분석하고있다고 했다.
