시만텍 “‘워너크라이’ 공격, 나자로그룹과 연관성 높다”…북한 배후설 뒷받침

사이버보안업체 시만텍이 전세계를 강타해 큰 피해를 입힌 ‘워너크라이’ 랜섬웨어 공격 배후가 북한일 가능성이 높다는 분석을 내놨다.

시만텍은 22일(현지시간) 블로그를 통해 워너크라이 랜섬웨어 공격은 사이버공격집단인 ‘나자로(Lazarus)’ 그룹과 높은 연관성을 발견했다고 밝혔다.

나자로는 2014년 미국 소니픽처스 해킹과 지난해 방글라데시중앙은행에서 8100만달러를 훔치는데 성공한 사이버표적공격집단으로 지목되고 있다. 국내외 보안업계 등에서는 나자로가 북한과 연계된 해킹그룹으로 보고 있다.

symantec_wannacry_lazarus시만텍은 워너크라이 공격에 사용된 툴과 인프라가 소니 픽처스 해킹과 방글라데시 중앙은행 해킹에서 사용한 기술과 상당히 유사하다고 판단, 동일그룹의 소행으로 확신했다. 이를 바탕으로 워너크라이 공격의 배후가 나자로 그룹일 가능성이 높다고 분석했다.

시만텍이 워너크라이를 최초로 발견한 것은 2017년 2월 10일이다. 당시 감염된 조직에서는 1차 감염 2분 만에 100대가 넘는 컴퓨터가 감염됐다.

시만텍 분석에 따르면, 당시 공격에서 발견된 5개의 악성코드 가운데 3개가 나자로 그룹과 연관이 있는 악성코드인 것으로 나타났다. 두 가지는 소니픽처스 공격에 사용된 데스토버(Backdoor.Destover) 변종이다. 다른 하나는 과거에 나자로 그룹이 대한민국을 겨냥한 공격을 감행했을 때 사용했던 볼그머 트로이목마(Trojan.Volgmer)인 것으로 확인했다.

이후 3월 말 새로운 버전의 워너크라이가 발견된 2차 공격에서 워너크라이와 나자로 그룹 배후에 있는 공격자들 간에 연관성이 있음을 더욱 입증해주는 정보들도 확인했다.

1차, 2차 공격의 워너크라이 랜섬웨어에서 나자로 그룹이 전통적으로 사용해온 악성코드가 발견된 반면, 5월 12일 3차 공격에서는 마이크로소프트(MS) 윈도 운영체제의 SMB(Sever Message Block) 취약점(CVE-2017-0144, CVE-2017-0145)을 이용한 ‘이터널블루(EternalBlue)’ 익스플로잇을 통합해 한층 진화한 버전의 워너크라이가 배포됐다.

새로운 버전의 워너크라이는 랜섬웨어와 웜이 결합돼 네트워크와 인터넷을 통해 패치가 되지 않은 컴퓨터를 중심으로 빠르게 확산됐다. 최근 몇 년간 발견된 악성코드 가운데 손꼽히는 파괴력을 지닌 강력한 악성코드로 등극했다.

확산에 사용된 툴의 유사점 외에도 워너크라이 공격과 나자로 사이에는 여러가지 관련성이 존재한다.

워너크라이는 과거 나자로와 연관성이 있었던 콘토피 백도어(Backdoor.Contopee)와 악성코드를 공유한다. 또 나자로와 관련된 악성코드인 페이크퓨드(Infostealer.Fakepude)와 유사한 코드 난독화를 사용하며, 3~4월 워너크라이 확산에 사용된 알판크 트로이목마(Trojan.Alphanc) 역시 나자로 그룹과 연관성이 있다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “분석 결과, 사용된 코드와 인프라, 기술 등 여러 요소가 과거 소니픽처스나 방글라데시 은행을 공격한 라자루스 그룹이 사용한 것과 기술적 연관성이 상당히 높은 것으로 확인돼, 워너크라이 랜섬웨어의 배후에 라자루스 그룹이 있는 것으로 보고 있다”며, “다만 워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아니라, 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다”고 설명했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다