소만사는 러시아 해커가 우크라이나 정부, 금융 사이트 등에 배포한 악성코드 '허메틱와이퍼(HermeticWiper)' 분석 보고서를 발간했다고 3일 밝혔다.
러시아의 우크라이나 침공에 앞서 사이버 공격이 선제적으로 발생했다. 러시아 해커로 추정되는 세력은 우크라이나의 금융, 군수, 정부 사이트에 대규모 디도스 공격과 시설파괴형 악성코드를 배포했다. 시설파괴형 악성코드 허메틱와이퍼가 주요 산업시설에 침투해 내부 데이터를 삭제, 파괴했다.
소만사는 허메틱와이퍼를 모니터링, 분석했다. 보고서를 통해 허메틱와이퍼 공격특성을 공유하고 동일공격을 예방 및 차단할 수 있도록 상세내용을 서술했다. 허메틱와이퍼는 시스템 파괴에 중점을 둔 악성코드로 복구가 불가능하도록 MBR(master boot record), MFT(mater file table)를 암호화, 변조해 내부 데이터를 삭제, 파괴하는 것이 특징이다.
허메틱와이퍼에 대응, 예방할 수 있는 방안은 크게 2가지로 분석됐다.
첫번째는 BIOS 메뉴 보안설정에서 MBR(Master Boot Record) Security를 활성화시키면 된다. 이를 통해 MBR에 변경사항이 감지될 경우에도 복원 가능하다. 두번째는 안티바이러스 및 EDR을 비롯한 보안솔루션을 도입하는 것이다. 소만사 Privacy-i EDR의 안티바이러스 엔진은 '허메틱와이퍼(HermeticWiper)'를 탐지, 차단하여 확산을 막고 피해를 예방한다.
보고서는 기업 유지관리 고객대상으로 배포 중이며, 추후 소만사 공식 블로그에 보고서를 공개할 예정이다.
최호기자 snoop@etnews.com
