"북한 해킹단체 '래저러스'가 과거 사용한 암호화 방식과 일치"
구글·글로벌 보안업체 주장
윈도 파일공유 취약점 공격도 북한이 자주 사용하는 해킹 수법
북한, 해킹으로 외화벌이 가능성
[ 안정락 기자 ]
세계 150여 개국을 강타한 ‘워너크라이(WannaCry) 랜섬웨어’ 공격의 배후에 북한이 있다는 주장이 국내외 보안 전문가들 사이에서 나오고 있다. 이들은 이번 사이버 공격에 사용된 악성코드 유형이 과거 북한 정권 소행으로 추정되는 각종 해킹 사례와 비슷하다고 지적했다. 랜섬웨어는 피해 컴퓨터의 중요 파일을 암호화한 뒤 이를 풀어주는 대가로 금전을 요구하는 악성 프로그램이다. 워너크라이 랜섬웨어는 지난 12일부터 유럽을 중심으로 퍼지면서 한국을 포함한 세계 150여 개국 20만 대 이상의 컴퓨터를 감염시켰다.
◆“북한 해커집단 악성코드와 비슷”
16일 글로벌 보안업계에 따르면 이번 워너크라이 랜섬웨어 공격에 사용된 악성코드 초기 버전(2017년 2월)은 기존 북한 해커들이 사용해온 악성코드와 비슷한 것으로 분석됐다. 구글의 보안 전문가인 닐 메타와 글로벌 보안업체 카스퍼스키랩 등은 워너크라이 랜섬웨어 악성코드가 북한 해커단체로 추정되는 ‘래저러스(Lazarus)’가 과거 개발한 코드와 거의 일치한다고 주장했다.
2009년부터 활동한 것으로 알려진 래저러스는 2014년 미국 소니픽처스엔터테인먼트 해킹 사건, 지난해 2월 국제금융거래망(SWIFT)을 이용한 방글라데시 중앙은행 해킹 사건 등의 주범으로 지목됐다.
카스퍼스키랩은 “래저러스는 소니픽처스와 방글라데시 중앙은행을 해킹할 때 고유 악성코드인 백도어(우회 프로그램)를 사용했는데 여기에 사용된 암호화 방식이 워너크라이 랜섬웨어 초기 버전과 비슷하다”며 “이번 공격에는 이 코드가 제거돼 있는데 추적을 막기 위한 시도일 가능성이 있다”고 설명했다. 미국 뉴욕타임스(NYT)는 워너크라이에서 발견된 코드는 사실상의 ‘사이버 지문’으로 볼 수 있다고 보도했다.
이번 공격에 활용된 윈도 운영체제(OS)의 파일공유(SMB) 취약점이 북한 해커들이 자주 이용하는 침투 방식이라는 점도 북한 배후설을 뒷받침하고 있다. 국내 보안업체 하우리의 최상명 실장은 “북한 해커들은 다른 악성코드에서 발견된 적이 없는 고유의 암호화 방식을 쓴다”며 “워너크라이에서 비슷한 현상이 발견된 것은 북한 소행 가능성이 크다는 의미”라고 말했다. 하우리에 따르면 북한은 2009년 7월 한국 정부기관과 은행 등을 마비시킨 디도스(DDoS:분산서비스거부) 공격과 2011년 농협 전산망 마비 사태 등 대규모 공격을 벌일 때도 비슷한 윈도 취약점을 파고들었다.
◆북한, 해킹으로 2년간 1억달러 탈취
북한이 외화벌이 수단으로 랜섬웨어를 퍼뜨린다는 분석도 나온다. 시만텍에 따르면 북한은 국제금융거래망을 해킹한 뒤 해외 계좌로 송금받는 방법으로 2015~2016년 최소 9400만달러(약 1050억원)를 탈취한 것으로 추정됐다. 가장 피해가 컸던 방글라데시 중앙은행 해킹 때는 6600만달러가 북한 해커집단에 넘어간 것으로 알려졌다.
임종인 고려대 정보보호대학원 교수는 “북한이 외화벌이를 위해 랜섬웨어를 이용했을 가능성이 크다”며 “새 정부 출범에 맞춰 자신들의 대내외적 의지를 보여주려는 정치적 목적도 있을 것”이라고 분석했다.
일부 보안 전문가는 신중한 입장을 보이고 있다. 이번 공격 배후로 북한 해킹집단이 의심받도록 비슷한 코드를 일부러 심었을 가능성도 있다는 지적이다. 김진욱 이스트소프트 팀장은 “사람마다 독특한 억양이나 말투가 있듯 코드에도 패턴이 있어 제작자를 추정할 수는 있지만 특정 집단 소행이라고 단정할 만한 직접적 증거를 찾기는 쉽지 않다”고 설명했다.
◆초기 대처로 국내 피해 크지 않아
국내 랜섬웨어 피해는 아직 크지 않다. 지난 주말 초기 대처를 발 빠르게 했기 때문에 피해를 줄일 수 있었다고 국내 보안업계는 진단했다. 랜섬웨어가 확산된 지난 주말 대다수 기업과 관공서 컴퓨터가 꺼져 있어 1차 감염을 막을 수 있었고, 정부와 기업들이 랜섬웨어 예방 수칙을 발표하는 등 신속하게 대처했다는 설명이다.
하지만 사이버 테러에 대한 경계는 갈수록 높아지고 있다. 이날 국방부는 정보작전방호태세인 ‘인포콘’을 한 단계 높였다. 국방부 관계자는 “합동참모본부의 인포콘을 ‘준비태세’ 단계인 4에서 ‘향상된 준비태세’ 단계인 3으로 격상했다”고 밝혔다. 인포콘 단계가 높아질수록 군의 사이버침해대응팀(CERT) 요원이 증강 배치된다.
안정락 기자 jran@hankyung.com
기업의 환율관리 필수 아이템! 실시간 환율/금융서비스 한경Money
[ 무료 카카오톡 주식방 ] 신청자수 28만명 돌파 < 업계 최대 카톡방 > -> 카톡방 입장하기
관련뉴스