"워너크라이 공격, 북한 배후로 둔 해커집단 소행"

라자루스(Lazarus) 그룹이 최근 세계를 휩쓴 '워너크라이' 랜섬웨어 공격을 주도했을 것이라는 분석 결과가 나왔다. 라자루스그룹은 미국 연방수사국(FBI)이 북한을 배후로 두고 있다고 여기는 해커집단이다.

미국 사이버보안업체 시만텍은 23일 "면밀한 조사 결과, 워너크라이 공격 툴과 인프라가 소니픽처스 해킹, 방글라데시 중앙은행에서 발생한 8천100만달러 규모 절도 사건에서 라자루스그룹이 사용한 기술과 상당히 유사해, 동일 그룹 소행으로 확신한다"고 설명했다.

시만텍은 지난 몇 달 간 워너크라이 랜섬웨어 공격을 분석해 라자루스그룹과 연관성을 확인했다.

워너크라이가 최초 발견된 2017년 2월 10일일 당시 1차 공격 피해를 입은 조직은 2분만에 100대 이상 컴퓨터를 감염당했다. 이 공격에서 발견된 악성코드 5개 중 3개가 라자루스그룹과 연관이 있는 악성코드였다. 소니픽처스 공격에 쓰인 백도어 데스토버(Backdoor.Destover) 변종 2개와, 과거 한국을 겨냥한 공격에서 쓴 트로이목마 볼그머(Trojan.Volgmer) 1개였다.

시만텍은 이후 3월말 진행된 2차 공격을 통해, 이들간 연관성이 있음을 입증해 주는 정보를 더 발견했다.

2017년 5월 12일 시작돼 세계 각지 150개국 수십만대 컴퓨터를 감염시킨 사례가 3차 공격이었다. 공격자는 이번엔 '이터널블루(EternalBlue)' 이마이크로소프트(MS) 윈도 운영체제의 SMB취약점을 이용했다. 랜섬웨어와 웜을 결합해, 패치가 안 된 컴퓨터를 네트워크를 통해 감염시키며 빠르게 확산됐고 최근 몇 년간 발견된 악성코드 가운데 손꼽히는 파괴력을 갖게 만들었다.

시만텍은 확산에 사용된 툴의 유사점 외에도 워너크라이 공격과 라자루스 사이에는 여러 관련성이 존재한다고 첨언했다.

회사측에 따르면 워너크라이는 과거 라자루스와 연관됐던 백도어 콘토피(Backdoor.Contopee) 악성코드를 공유하는 것으로 확인됐다. 라자루스 관련 악성코드 페이크퓨드(Infostealer.Fakepude)와 유사한 코드 난독화를 사용했다. 3~4월 워너크라이 확산에 사용된 트로이목마 알판크(Trojan.Alphanc) 역시 라자루스그룹과 연관성이 있다.

윤광택 시만텍코리아 CTO는 "워너크라이 랜섬웨어를 분석한 결과, 사용된 코드와 인프라, 기술 등 여러 가지 요소가 과거 소니픽처스나 방글라데시 은행을 공격한 라자루스 그룹이 사용한 것과 기술적 연관성이 상당히 높은 것으로 확인돼 워너크라이 랜섬웨어의 배후에 라자루스 그룹이 있는 것으로 보고 있다"고 말했다.

그는 "다만, 워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아니라, 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다"고 덧붙였다.

앞서 지난 2014년 12월 미국 FBI는 미국 소니픽처스 해킹 사건이 북한 소행이라는 입장을 발표했다. 해킹 공격 소프트웨어 유형, 실제 사용된 툴, 사용된 인터넷주소 등이 과거 북한이 썼다고 알려진 정보와 접점이 커 북한 소행이라 결론내리기 충분하다고 봤다. 해킹은 2014년 11월 발생했다. 김정은 암살 사건을 다룬 영화 '인터뷰' 개봉에 반대하는 해커들이 소니 시스템을 해킹해 기밀 정보를 유출한 사건이었다.