“사이버공격 배후를 찾는 것은 매우 어렵고 불가능에 가까운 일이다.”

전세계를 강타한 ‘워너크라이’ 랜섬웨어 공격 배후에 대한 관심이 높아진 가운데, 이스라엘에 본사를 둔 글로벌 보안업체인 체크포인트의 전문가가 사이버공격 배후를 지목하는 것은 불가능에 가깝다는 견해를 밝혔다.

토니 자비스 체크포인트 최고전략전문가는 24일 ‘미래 사이버보안 전략’을 소개하기 위해 방한해 가진 기자간담회에서 이같이 말하면서 “공격 배후를 지목하는데 들어가는 시간과 노력, 자원을 낭비하는 일”이라고 말했다.

checkpoint_tony-jarvis공격 배후를 찾는 것보다는 “공격이 어떻게 발생했고 왜 성공을 거뒀으며 이후 발생할 경우 피해를 막을 방법을 분석해 대책을 수립하는 것이 더 중요하다”는 것이 그의 의견이다.

‘자원 낭비’라고 판단한 이유로 그는 “100% 확실한 증거 제시가 불가능하기 때문”이라며 “특정 세력이 배후에 있다는 것과 배후에 있는 것으로 보인다는 것에는 차이가 있다”고 지적했다.

자비스 전문가는 공격 배후를 찾아내기 위한 방법 가운데 ‘코드’와 ‘인프라’를 확인하는 것을 예로 들면서 “공격 코드를 작성할 때 커맨드가 들어가는데, 특정 국가 언어가 사용된다. 하지만 공격자들이 탐지를 피하기 위해 고의적으로 다른 국가에서 사용하는 언어를 사용할 수 있다”고 설명했다.

이어 “공격그룹이 다른 사용자의 서버나 웹사이트 주소 등의 인프라를 사용해 공격하기도 한다. 바로 적법한 사용자가 악용되는 경우”라며 “주로 대학들이 많이 이용되는데 대학의 인프라가 공격에 이용됐다고 해서 대학을 배후로 지목할 수는 없는 일”이라고 덧붙였다.

또한 자비스 전문가는 “‘워너크라이’ 공격은 특정 한 공격자나 한 단체만 개입돼 있는 것은 아니다”라며 최소한 세 단체가 개입돼 발생한 공격으로 규정했다.

세 단체와 관련해 그는 “익스플로잇을 만든 미국 국가안보국(NSA), 이 익스플로잇 툴을 탈취하고 서드파티(제3자)에게 코드를 제공한 그룹, 이 서드파티가 코드를 이용해 공격 캠페인을 진행했다”고 언급하며 “코드를 만든 기관이 있고 이를 탈취해 유포하고 공격에 사용한 그룹들이 있다”고 말했다.

‘워너크라이’는 마이크로소프트 윈도 운영체제의 SMB(Server Message Block) 취약점을 이용해 며칠만에 전세계 150여개국 30만대 넘는 컴퓨터를 감염시켜 그 안에 있는 파일을 암호화해 사용하지 못하게 만든 랜섬웨어다.


[AD] 금융권을 위한 멀티 클라우드 애플리케이션 서비스 전략

해킹그룹인 ‘섀도브로커(ShadowBroker)’는 미국 국가안보국(NSA)을 해킹해 ‘이터널블루(EternalBlue)’로 알려진 공격도구를 탈취해 공개했다.

자비스 전문가는 공격배후를 지목하는 것이 어려운 일이기 때문에 신중을 기해야 한다는 점도 시사했다. 그는 “최근 공격형 보안 개념이 생겨나고 있다. 사이버공격을 받았으면 배후를 지목한 뒤 역공한다는 개념”이라며 “만일 배후를 잘못 지목하면 잘못된 곳을 대상으로 공격하게 된다. 이는 불법이며 윤리적으로도 문제가 있는 일”이라고 지적했다.

아울러 “공격 배후는 정부 요청에 의해 지목하기도 하지만 이로 인해 발생하는 기회비용은 없는지 고려해야 한다”고 강조했다. 이에 앞서 “사이버공격 배후를 특정 국가로 지목하게 되면 정치적 이슈로 비화되기도 한다”면서 러시아가 배후로 지목된 미국 대통령선거 때 민주당 해킹 이슈를 거론하기도 했다.

현재 ‘워너크라이’ 공격의 유력한 배후로는 북한이 지목된 상태다.

시만텍은 22일(현지시간) ‘워너크라이’ 공격을 분석한 결과 최근 북한과 연관된 공격그룹으로 추정되고 있는 ‘나자로(Lazarus)’그룹과 높은 연관성을 발견했다는 분석을 내놨다.

나자로는 2014년 소니픽처스 해킹과 지난해 방글라데시중앙은행에서 8100만달러의 돈을 빼낸 것으로 지목된 사이버공격집단이다.

앞서 카스퍼스키랩 등 보안업체를 포함해 구글 보안연구원, 오랫동안 북한의 사이버공격 등을 분석해온 국내 보안전문가들도 ‘워너크라이’ 공격이 나자로그룹과의 연관성이 있다는 분석을 내놨다.

다만 아직까지는 보안전문가들 사이에서도 북한 배후설을 특정할만큼 결정적이며 객관적인 근거가 부족하다는 의견도 존재한다.

중앙일보는 미국 국가정보국(DNI) 댄 코츠 국장이 23일(현지시간) 열린 군사위원회 청문회에서 “확인할만한 증거가 없다”, “북한이 이런 일을 할 능력을 보유하고 있다는 점은 확실히 알지만, 여전히 진원지를 사정하고 있는 중”이라고 발언했다고 보도하기도 했다.

자비스 전문가는 워너크라이 대응과 관련해 “체크포인트는 위협 벡터를 면밀히 주시해 사용자에게 타격을 입힌 캠페인을 살펴보고 어떤 방식으로 공격했는지 계속 분석하고 있다. 코드 내 킬스위치를 찾아 웹사이트에 두 차례 등록했고 복호화 툴을 개발해 제공하고 있다. 다양한 공격 징후와 유사공격도 연구하고 있다”고 밝혔다.

그는 “체크포인트도 공격 배후 관련 보고서를 사법기관에 넘긴 적도 있긴 하지만 보안업계가 함께 협력해야 한다고 본다”고 말했다.

자비스 전문가는 아시아태평양, 중동 및 아프리카 지역에서 체크포인트를 대표하는 인물이다. 최고 전략가로 C레벨 임원들에게 보안 인사이트를 제공하는 역할을 주로 담당하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network