“北연계 해킹단 래저러스 관여”
보안전문가들 ‘증거’ 잇단 제기
“유사 코드론 단정 못해” 신중론도
국내 기업 12곳도 해킹피해 신고
지난 12일부터 세계 150여개국 컴퓨터 30만대를 감염시킨 랜섬웨어(ransomware) 공격의 배후가 북한이라는 주장이 잇따르고 있다. 유명 보안 전문가들이 북한과 연계된 것으로 추정되어 온 해킹 범죄단 ‘래저러스(Lazarus)’가 사상 최대규모였던 이번 온라인 해킹공격에 깊이 관여했다는 증거들이 발견됐다고 밝힌 것이다. 국제사회 제재로 핵ㆍ미사일 개발 자금줄이 막힌 북한이 사이버공격을 통해 새로운 자금원을 찾고 있다는 분석이 나오고 있는 가운데 실제 김정은 정권이 전 세계적 규모의 해킹에 적극적으로 개입하고 있다는 사실이 밝혀질지 주목된다.
구글 보안 연구자 닐 메타는 15일(현지시간) 사회관계망서비스(SNS) 트위터를 통해 랜섬웨어 제작 소프트웨어인 ‘워너크라이(WannaCry)’의 과거 버전에서 북한 정부의 지원을 받는 해킹 집단 래저러스가 사용한 백도어 트로이 목마 프로그램 ‘콘토피’와 유사한 코드가 발견됐다고 공개했다.
래저러스는 2014년 미국 영화제작사 소니픽처스 해킹 사건과 2016년 방글라데시 중앙은행 해킹 사건 등 굵직한 사이버범죄를 일으킨 그룹이다. 해킹으로 주로 금전적인 이득을 노리고 있으며 디지털화폐 비트코인으로 거래를 해 왔다는 점도 이번 랜섬웨어 공격과의 연결점으로 지목된다.
시만텍과 카스퍼스키 등 여러 보안기업과 프랑스 출신 유명 화이트해커 매튜 수이치도 워너크라이와 콘토피에 유사 코드가 삽입돼 있음을 재확인했다. 러시아 보안업체인 카스퍼스키 연구소의 커트 바움가트너 연구원은 로이터통신에 “현재까지 워너크라이의 출처를 밝히는 데에는 가장 확실한 단서”라며 래저러스가 랜섬웨어의 출처일 가능성을 긍정했다. 다만 두 기업 모두 아직까지 이를 결정적인 근거로 볼 수는 없다는 단서를 덧붙였다.
북한의 개입을 단정할 수 없다는 신중론도 적지 않다. 공유된 코드는 어디서든 재생산될 수 있기 때문에 코드만으로 배후를 지목할 수 없다는 견해다. 미국 보안기업 파이어아이의 존 밀러 연구원은 “현재 발견된 코드가 같은 해킹팀으로부터 나왔다고 확언할 만큼 고유한 특성이 있는 코드는 아니다”고 말했다. 심지어 랜섬웨어의 공격대상이 된 윈도의 개발사 마이크로소프트(MS)는 미국 국가안보국(NSA)이 축적한 보안 허점 정보가 유출된 것을 랜섬웨어 대란의 주원인으로 지목했다. 워너크라이는 2016년 8월 해킹팀 섀도 브로커스(Shadow Brokers)가 NSA로부터 유출한 정보를 바탕으로 제작된 프로그램이다.
한국인터넷진흥원(KISA), 미래창조과학부 등 한국의 관계 당국도 북한 소행의 가능성을 열어놓고 랜섬웨어 확산 경위를 파악 중이다. 보안업계 관계자는 “프로그램 코드, 공격 방식 등이 북한발 해킹으로 추정되는 과거 사례들과 유사하지만 확정하기는 이르다”고 말했다. 이날 오후 5시 기준 피해 신고를 한 국내 기업은 12곳이다. 한국 군 당국은 아직까지 보고된 피해가 없지만 정보작전방호태세인 ‘인포콘’을 4단계에서 3단계로 격상했다고 밝혔다.
전세계적으로도 랜섬웨어로 인한 피해는 일단락된 상태다. 탐 보서트 미국 백악관 국토안보보좌관은 랜섬웨어 공격자들이 약 7만달러(7,820만원) 수익을 올린 것으로 파악하고 있으며 미국 연방정부기관이 피해를 입은 사실은 없다고 밝혔다. 체코 보안기업 아바스트에 따르면 랜섬웨어에 가장 큰 타격을 입은 4개국은 러시아ㆍ대만ㆍ우크라이나ㆍ인도이며 15일에는 중국 교통경찰과 학교도 큰 피해를 입은 것으로 확인됐다.
인현우 기자 inhyw@hankookilbo.com
이서희 기자 shlee@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0