‘워너크라이’ 랜섬웨어 배후세력은 북한?…보안업계, ‘온도차’
‘워너크라이(WannaCry)’ 랜섬웨어 공격은 북한 소행일까?
단숨에 전세계 150여개국 수십만대의 컴퓨터를 감염시켜 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 공격 배후세력으로 북한이 지목됐다.
구글, 카스퍼스키랩, 시만텍 등 글로벌 업체들과 국내 보안 전문가들은 기존에 북한이 사이버공격에 사용한 것으로 분석된 악성코드와 공격 방식이 유사하거나 연관성이 있다는 점을 들어 북한 배후 가능성을 잇달아 제기하고 있다.
하지만 대부분 ‘워너크라이’ 공격 주체나 배후세력을 추적할 실마리에 해당하는 연관성이 발견됐다는 것을 전제로 달면서 추가 조사가 필요하다고 언급하고 있다.
파이어아이를 비롯해 국내 보안업계 일각에서는 유사성이 충분치 않고 객관적 근거도 부족하다는 이유로 현 시점에서 공격 주체나 배후세력을 단정 짓는 것은 시기상조라고 선을 그었다.
북한 소행이라는 여러 정황과 증거가 충분하다는 국내 사이버위협 전문가도 있는 반면에, 과거 사례와 비교해 지금까지 나온 객관적 근거가 크게 부족하다는 견해까지 다양하다.
보안업계·전문가들 사이에서 ‘워너크라이’ 배후세력은 북한이라는 분석에 ‘온도차’가 나타나는 상황이다.
‘워너크라이’ 공격 주체로는 미국 국가안보국(NSA)을 해킹했다고 주장했던 ‘섀도브로커스(Shadow Brokers)’가 지목된 바 있다. 공격이 시작된 지난 12일에는 국제 해킹조직으로 추정되는 ‘스팸테크’가 트위터에 ‘워너크라이’를 자신들이 만들었다고 주장하는 글을 올렸다.
북한 추정 해킹그룹 ‘나자로’ 악성코드 등 공격 방식과 유사
북한 배후 또는 소행설은 구글의 보안 연구원인 닐 메타(Neel Mehta)가 지난 15일 트위터에 ‘워너크라이’ 초기 악성코드 샘플 관련 글을 남긴 후 대거 확산됐다.
카스퍼스키랩 연구분석팀(GReAT)은 곧바로 블로그에 2015년 표적공격을 벌이는 라자루스(Lazarus) 그룹이 이용한 악성코드 샘플과 구글 연구원이 주목한 ‘워너크라이’ 악성코드 샘플을 분석 비교한 결과, 분명한 코드 유사성이 존재하는 것으로 확인했다고 공식 밝혔다.
다만 카스퍼스키랩은 “물론 이 유사성은 은폐 작업일 가능성이 있다”라며 “라자루스 그룹의 코드는 12일부터 시작된 공격에 이용된 코드에서는 제거돼 있어 ‘워너크라이’ 공격 주도자 추적을 막기 위한 시도일 수 있다”는 점을 전제했다.
카스퍼스키랩은 “비록 이 유사성만으로는 ‘워너크라이’ 랜섬웨어와 라자루스 그룹과의 관계에 강력한 증거를 제공하지는 못하지만 현재 미스테리 상태인 ‘워너크라이’의 배후에 대한 실마리를 제공해 줄 가능성은 있다”고 덧붙였다.
시만텍 역시 공식 블로그에 ‘워너크라이’ 랜섬웨어 공격이 라자루스 그룹과의 연관성을 나타낼 두 가지 접점을 발견했다며 업데이트된 내용을 게재했다.
SMB(Server Message Block)를 통해 확산되는 기능이 포함되지 않았던 이전 버전의 ‘워너크라이’에 라자루스 그룹이 독점 사용하는 툴이 존재한다는 것과, 라자루스 그룹 공격 툴과 ‘워너크라이’ 간 공유 코드가 있다고 분석했다. 이 공유코드는 SSL 형태로, 75개 특정 암호(cipher) 시퀀스를 사용한다.
시만텍은 “라자루스 그룹과의 연계를 명확히 나타내는 것은 아니지만 추가조사가 필요한 충분한 연결성을 보여준다”고 지적했다.
‘라자루스(혹은 나자로)’는 사이버 표적공격을 벌이는 북한 해킹그룹으로 추정되고 있다. 시만텍은 지난 2009년 7.7 디도스(DDoS) 공격부터 2011년 3.4 디도스, 2013년 3.20 사이버테러, 2014년 소니픽처스 해킹과 지난해 세계 주요 은행 대상 공격 모두 ‘라자루스(나자로)’ 그룹 소행으로 분석한 바 있다. 3.20과 6.25 사이버공격을 벌인 ‘다크서울(Dark Seoul)’ 공격집단이 바로 ‘라자루스’ 그룹이다.
북한 관련 사이버공격을 지속적으로 분석해온 국내 사이버전 연구그룹 관계자들도 해외에서 동시다발 피해가 확산되던 시점부터 ‘워너크라이’가 북한이 사용하는 악성파일이나 공격 방식에서 여러 공통점이 있다는 점을 제기했다.
심지어 미국 국가안보국(NSA)을 해킹했다고 주장한 해킹조직 ‘섀도브로커스’가 북한과 연관돼 있다는 의견도 내놨다.
‘스팸테크’ 역시 ‘섀도브로커스’ 멤버들이 만들었다는 분석을 내놓기도 했다.
보안 전문가들은 ‘섀도브로커스’가 ‘라자루스’ 그룹 소행으로 알려진 소니픽처스 해킹, 방글라데시중앙은행 등 은행 대상 스위프트(SWIFT) 공격을 벌인 해킹조직으로 보고 있다. 소니픽처스 공격 당시 자신들의 소행이라고 주장한 ‘가디언즈오브피스(GOP)’ 역시 ‘섀도브로커스’, 또는 북한의 공격 방식에서 다양한 유사성이 있다고 설명하고 있다.
‘섀도브로커스’는 ‘워너크라이’ 공격에 사용된 윈도 SMB 취약점을 악용한 NSA의 사이버공격 무기로 알려진 ‘이터널블루(Eternal Blue)’를 공개했다.
미국 정부는 이를 부인했으나 마이크로소프트는 이번 공격에 NSA가 사용해온 공격 도구가 유출돼 사용자들이 광범위한 피해를 입고 있다고 비판했다.
브래드 스미스 마이크로소프트 최고법률책임자(CLO)는 “정부가 컴퓨터 취약점 정보와 사이버 해킹 기술들을 틀어쥔 채 공개하지 않는 것은 큰 문제”라며 “이번 사태는 미군이 토마호크 미사일을 도난당한 것과 같다”고 언급했다.
강도 높은 제재로 경제사정이 더욱 어려워진 북한이 외화벌이 수단으로 파일을 암호화한 뒤 돈을 요구하는 ‘랜섬웨어’ 공격을 벌이고 있다는 것은 이미 분석을 통해 알려져 있다.
다만 그동안 ‘랜섬웨어’를 가장 많이 제작해 공격을 벌이는 사이버범죄집단이 기반을 두고 있는 국가로는 러시아가 지목돼 왔다.
북한은 또한 정치·사회적 목적, 사이버전 능력 과시 일환으로 그동안 큰 파장을 불러오는 사이버공격을 잇달아 감행하고 있는 것으로 관측되고 있는 상태다. 만일 이번 공격이 북한 소행이라면 이번에 북한은 전세계에 막대한 피해를 입힌 기록적인 사이버공격에 성공한 셈이다. ‘워너크라이’가 확산되기 시작한 때 북한은 탄도미사일을 또 한 번 발사했다.
“유사점 충분치 않다”, “물증 부족”, “시기상조” 등 신중론도
글로벌 보안업체 가운데 파이어아이는 ‘워너크라이’ 공격 배후에 북한이 있다는 주장이 나오자 “유사점이 충분하지 않다”는 반응을 내놨다.
파이어아이 분석팀 매니저인 존 밀러(John Miler)는 “북한과의 연관성에 대해 조사를 진행했으나 ‘워너크라이’와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 사이에 유사점이 충분하지 않다. 때문에 현시점에서는 북한의 소행으로 단정 짓기는 어렵다”고 밝혔다. 파이어아이는 지속적으로 가능한 모든 시나리오를 면밀히 조사할 예정이다.
국내 업체인 이스트시큐리티도 “악성코드에 일부 유사성과 기술적 접점이 발견되긴 했지만 아직은 공격 주체나 배후를 단언하기 어려운 상황”이라며 “추가 분석이 필요하다”고 말했다.
국내 보안업체 관계자는 “심증은 있어도 북한 배후를 단정지을만한 물증이 부족한 상태”라고 설명했다.
다른 국내 보안 전문가도 “사이버공격 주체를 몇 가지 유사점이나 연관성만으로는 단정할 수는 없다”라며 “보다 다양한 북한 관련 객관적인 근거들이 나와야 한다”라는 의견을 내놨다.
한편, 전세계에 걸쳐 광범위한 ‘워너크라이’ 공격이 시작된 이후 국내에서는 대규모 피해 확산이나 큰 혼란이 발생하지 않았다.
한국인터넷진흥원에 16일 오후 5시 기준으로 랜섬웨어 피해 접수된 현황은 15건이며, 이 가운데 신고된 건수는 12건이다. 전날 오후 3시까지 접수된 감염 의심건수 13건, 신고 건수는 8건에서 크게 늘어나지는 않았다. 랜섬웨어 관련 상담 건수도 13일 111건, 14일 517건에 이어 15일 2863건으로 증가했으나 16일(오후 5시 기준)에는 1125건으로 감소했다.
해외에서도 15일을 넘기면서 ‘워너크라이’ 사태가 진정국면에 접어들자 공격 배후와 피해 확산 책임문제 등으로 이슈가 옮겨지는 모양새다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
