회사소개

제품

안내

고객지원

Company

Product

Information

Support

Thông tin về công ty

Sản phẩm

Thông tin

Hỗ trợ chung

공지사항

제목 작성일
드디어, 엔피코어가 가트너 리서치에 언급되었습니다! (7페이지 참조)

드디어, 엔피코어가 가트너 리서치에 언급되었습니다!

(7페이지 참조)

New
2017.11.20

WannaCry와 유사한 Petya 랜섬웨어가 또다시 유럽을 비롯한 전세계를 강타!

작성자
admin
작성일
2017-06-28 11:52
조회
367

윈도 운영체제 취약점 이용해 전파…"최신 버전 업데이트해야"


28hack1-master768.jpg
▲ Petya 랜섬웨어의 공격을 받은 업체들 (좌측부터 러시아의 거대 에너지 회사인 Rosneft, 미국의 거대 제약 회사인 Merck, 덴마크의 해운 대기업인 Maersk)


우크라이나에서 미국에 이르는 컴퓨터 시스템은 화요일 국제적인 사이버공격을 받았다. 전세계의 수만대 컴퓨터를 손상시킨 최근의 워너크라이 랜섬웨어 공격과 유사하다.
우크라이나의 수도 키에프에서는 ATM이 작동을 멈췄다. 약 80마일 떨어진 구 체르노빌 원자력 발전소에서는 컴퓨터가 고장나 근무자들이 방사선을 수동으로 모니터해야 했다. 덴마크의 해운 대기업인 Maersk에서부터 미국의 거대 제약회사 인 Merck에 이르기까지 전세계 기업의 기술 관리자들이 대응에 나섰다. 심지어 초콜릿으로 유명한 제과 대기업 Cadbury의 호주 공장도 공격 받았다.

이 사이버공격의 배후가 누군지 확실하지 않으며 피해규모를 측정하기가 17일 화요일까지도 여전히 어려웠다. 우크라이나 정부와 업무 컴퓨터 시스템에 대한 공격으로 시작되었고 우크라이나 정부가 소련에서 해체된 후 1996년 최초의 헌법을 채택한 기념 공휴일 전날에 공격을 의도한 것으로 보인다. 공격은 거기서 퍼져 전세계에 부수적인 피해를 입혔다.

지난 4월 국가안보국(National Security Agency)에서 쉐도우 브로커(Shadow Brokers)라는 그룹에 의해 도난당한 수십가지 해킹 툴을 사용한 일련의 공격 중 최신의 가장 정교한 공격이었다.
지난 5월의 WannaCry 공격처럼 최신 글로벌 해킹은 컴퓨터를 장악해 사용자로부터 디지털 랜섬(파일복구 대가, =비트코인)을 요구했다. Symantec의 연구원에 따르면, 새로운 공격은 WannaCry 사건에 사용된 이터널블루(Eternal Blue)라는 NSA 해킹툴 외에도 확산을 촉진하는 두가지 방법을 사용했다.
Petya Ransomware는 MBR(Master Boot Record) 영역을 암호화하여 몇 분안에 시스템 강제 재부팅되어 PC 사용 자체가 불가능하다는 특성을 가진다.
카스퍼스키랩에 따르면 기존 Petya는 주문형 랜섬웨어를 제공하면 여러 유통자가 이를 확산하고 수익을 나눠 갖는 구조로 운영됐다. Petya 개발자는 랜섬웨어 내부에 특정 보호 매커니즘을 입력해 무단 사용을 막았다. 하지만 올해 초 보호 매커니즘을 깨고 페트야 랜섬웨어를 사용하는 방법이 발견됐다.


미국 국가안보국(National Security Agency)은 WannaCry나 다른 공격에서 이터널블루가 사용된 것을 인정하지 않았다. 그러나 사이버보안 전문가들은 나머지 국가들의 Petya Ransomware 공격 방어를 도울 것을 NSA에 요구하고있다.
IDT의 global CIO인 Golan Ben-Oni는 "NSA는 애플 및 MS 같은 보안 및 OS 플랫폼 공급사와 긴밀히 협력하여 리더십을 발휘하여 그들이 촉발한 위기에 대처해야 한다. Newark에 위치한 대기업은 4월에 이터널블루를 사용한 별도의 공격을 받았다. Ben-Oni 씨는 연방 당국자들에게 더 심각한 공격이 있을 것이라고 경고했다.

Eternal Blue가 사용한 Windows 소프트웨어의 취약점은 3월 Microsoft에 의해 패치됐지만 WannaCry 사건에서처럼, 전세계 수십만 그룹이 패치를 설치하지 못했다. Radware의 보안 부사장 Carl Herberger는 "패치를 배포했다고 해서 곧바로 모두 적용되지는 않는다. 조직이 관료적일수록 더 많은 소프트웨어가 업데이트 되지 않을 것"이라고 말했다.

핀란드의 사이버보안 회사 F-Secure 연구원에 따르면, Ransomware를 화요일에 확산시키기 위해 최소 두 가지 방법을 사용했기 때문에 (피해자 신분증 도용을 포함하여) Microsoft 패치를 사용하는 사람들조차도 추후 공격에 취약하고 잠재적 공격 대상이 될 수 있다.
MS 대변인은 회사의 최신 백신 소프트웨어가 이번 공격을 막지 못한 것을 이번 사고 확대의 원인으로 지목했다.

우크라이나 정부는 여러 부처, 지방 은행 및 지하철 시스템 뿐 아니라, 러시아의 거대 에너지 회사인 Rosneft, 프랑스 건축 자재 회사 Saint-Gobain, 영국의 광고 대행사인 WPP를 포함한 다수의 유럽 회사들도 공격 받았다고 말했다.
러시아 기업들도 공격 받았지만 우크라이나 공직자들은 러시아를 비난했다. RBC 뉴스 웹사이트에 따르면, 러시아의 50대 대출기관 중 하나인 Home Credit bank가 마비되어 모든 사무실이 폐쇄됐으며, 약 8만명을 고용하는 철강/제조/광업 회사 Evraz 또한 공격 받았다고 보도했다.

미국에서는 다국적 로펌 DLA Piper도 타격을 입었다고 보도됐다. 펜실베이니아 의료진인 Heritage Valley Health Systems과 펜실베이니아주 Beaver와 Sewickley의 병원, 그리고 주 전역의 위성에 있는 컴퓨터들이 공격 당한 후, 펜실베이니아의 병원들은 수술을 취소해야 했다.
Ransomware는 또한 국제 기업의 호주 지사를 공격했다. DLA Piper의 호주 지사는 고객에게 "심각한 세계적 사이버 사고”을 겪고 있으며 사전 예방 조치로 이메일을 사용하지 않도록 경고했다. 현지 언론 보도에 따르면 화요일 저녁 Tasmania의 Hobart에서 Mondelez International이 소유한 Cadbury 초콜릿 공장의 컴퓨터에 비트코인으로 300달러를 요구하는 Ransomware 메시지가 나타났다.

Qantas Airways의 예약 시스템은 화요일에 한동안 멈췄지만, 관련없는 하드웨어 문제가 장애의 원인이라고 밝혔다.
호주 정부는 업체들에게 보안 업데이트를 설치하고 감염된 컴퓨터를 네트워크에서 격리하도록 촉구했다.
NSA 대변인은 미국 국토안보부에 대한 공격에 의문을 제기했다. 국토안보부 대변인 Scott McConnell은 "국토안보부는 여러 글로벌 기업에 영향을 미치는 사이버 공격에 대한 보고서를 모니터링하고 국제 및 국내 사이버 협력사와 상의하고 있다"고 성명을 발표했다.

컴퓨터 전문가들은 이번 Ransomware가 작년에 발생한 Petya라 불렸던 바이러스와 매우 유사하다고 말했다. Petya는 러시아어로 "Little Peter"라는 뜻으로, Sergei Prokofiev의 1936년 교향곡 "Peter and the Wolf"의 늑대를 잡은 소년에서 따온 이름으로 추측된다.

이번 Ransomware가 Petya의 변종이었다는 보고는 공격자릉 추적하기 어렵다는 것을 뜻한다. Petya는 소위 dark web을 통해 판매됐으며, dark web 창업자는 "Ransomware as a Service"(인터넷을 통해 소프트웨어를 제공하는 실리콘밸리 용어)를 구현했다.
즉 누구나 버튼 클릭만으로 Ransomware를 배포해 다른 사람의 시스템을 암호화하고 복원의 대가로 돈을 요구할 수 있다. 희생자가 그 돈을 지불하면, 스스로를 Janus Cybercrime Solutions으로 부르는 Petya Ransomware 유포자들은 몫을 나눠가진다. 이러한 분배방식은 이번 공격의 책임자 색출이 어려울 수 있음을 의미한다.

공격을 중단시킨 kill switch를 만들어 WannaCry Ransomware의 확산을 막아준 보안연구원 Matthieu Suiche가 “이 공격은 WannaCry의 개선된, 치명적인 버전이다. 지난 일주일 동안 WannaCry는 80,000개의 기관을 추가로 공격하려 했지만 kill switch로 인해 공격 코드 실행이 차단됐다. Petya는 kill switch가 없다.” 라고 말했다.
Petya를 유포한 해커들은 피해자의 파일 복원 대가로 사이버화폐인 Bitcoin (300달러의 금액)을 요구했다. 온라인 기록에 따르면 화요일 오후까지 30명의 희생자가 그 금액을 지불했음을 알 수 있었지만 파일이 복구됐는지 여부는 명확하지 않았다. 독일 이메일 서비스 업체 Posteo가 해커의 이메일 계정을 폐쇄해서 다른 희생자가 운이 나빴던 것일 수 있다.


페티야 랜섬웨어 감염 화면
▲ 페티야 랜섬웨어 감염 화면


28hack2-master675.png
▲ 26일 전세계 시스템을 공격한 랜섬웨어로 보이는 스크린샷. 우크라이나 정부는 공식 페이스북 페이지에 이 사진을 올렸다.


우크라이나에서는 우체국, ATM, 공항에서 사람들이 빈 컴퓨터 화면이나 폐쇄 표지만을 대면해야 했다. 키예프의 중앙 우체국에서는 고객들이 소포와 편지를 들고 "기술적인 이유로 휴관"이라는 표지판을 보며 모여 있었다.
컴퓨터 네트워킹 회사 Cisco Talos의 보안팀 연구원에 따르면, 해커들은 정부기관과 은행을 포함한 다양한 산업에서 의무적으로 사용되는 우크라이나 회계 소프트웨어를 공격했다. 이로써 다른 국가에서도 사용된 소프트웨어가 업데이트 되면, Ransomware를 공개할 수 있게 됐다.
한 키예프 거주자 Tetiana Vasylieva는 4대의 ATM에서 돈을 인출하지 못한 후 친척에게 돈을 빌려야했다. 오스트리아 은행 Raiffeisen의 우크라이나 지점에 속한 키예프의 한 ATM에서 화면 메시지에 기계가 작동하지 않는다고 표시됐다.

인프라 사업부 장관 Velodymyr Omelyan은 “우크라이나의 인프라 사업부, 우체국, 국영 철도사, 그리고 우크라이나 최대 통신사 Ukrtelecom이 공격 받았다.”고 페이스북에 포스트를 올렸다.
키예프의 지하철 시스템 관리자는 “카드 지불이 작동하지 않는다.”고 말했다. 언론사 Interfax-Ukraine에 따르면 전력 회사 Kievenergo는 자사의 모든 컴퓨터를 꺼야했지만 곧 정상화됐다. 도매 식료품을 운영하는 독일 회사 Metro Group은 우크라이나에서 공격 받았다고 전했다.
체르노빌 공장에서 방사능 수치에 대한 데이터를 수집하는 컴퓨터가 공격받아, 모든 원자로가 폐쇄됐지만 방사성 폐기물의 막대한 양이 남아있는 현장의 산업 시스템과 연결되지 않았다. 담당자는 방사선 모니터링이 수동으로 진행되고 있다고 말했다.

사이버 공격과의 전쟁이 치열 해짐에 따라 전세계의 사이버 보안 시장은 올해 약 1,200 억 달러(10년 전의 30배 이상)에 달하는 것으로 추산된다.

[출처 : 뉴욕타임즈  NICOLE PERLROTH, MARK SCOTT, SHEERA FRENKEL | 2017년 06월 27일]

Petya Ransomware 감염을 막는 보다 확실한 방어책은 행위기반으로 신종/변종 랜섬웨어에 대응하는 좀비제로를 설치하는 것입니다.
시그니처 없이 신종/변종 랜섬웨어에 대응하여 제3의 Petya Ransomware를 방어할 수 있습니다.
기존의 안티바이러스로는 변종 악성코드인 Petya Ransomware를 막을 수 없습니다.

자세한 사항은 1544-5317로 제품 문의하시거나 www.npcore.com 사이트를 참조해주세요.

엔드포인트의 랜섬웨어 대응 솔루션 : 좀비제로 EDR for Ransomware 바로가기