글로벌 랜섬웨어 공격 배후는 북한?

‘워너크라이’ 랜섬웨어에 감염된 피시 화면. 모든 자료를 암호화시켰으니 이를 풀려면 비트코인을 지불해야 하며, 사흘이 지나면 ‘몸값’이 배로 뛸 것이라는 경고가 붙어있다.

<가디언> 등 외신 북한 연계 추정 해커집단과 유사 코드 발견에 주목
“‘자폭장치’ 내재, 국가 연계 해커에게 주로 발견”

‘워너크라이’ 랜섬웨어에 감염된 피시 화면. 모든 자료를 암호화시켰으니 이를 풀려면 비트코인을 지불해야 하며, 사흘이 지나면 ‘몸값’이 배로 뛸 것이라는 경고가 붙어있다.

지난 12일부터 세계 150개국 30만대의 컴퓨터를 감염시킨 것으로 추산되는 글로벌 랜섬웨어 공격의 배후에 북한이 있다는 추측이 나오고 있다.

16일 <가디언> 등 외신을 보면, 시만텍과 카스퍼스키 랩 등 세계적 보안업체들은 이번 공격에 사용된 랜섬웨어의 초기 버전 분석에서 북한과 연계된 것으로 추정되는 해커 그룹 ‘라자루스(Lazarus)’가 사용한 코드와 비슷한 코드를 발견했다. 코드의 유사성을 가장 먼저 발견한 것은 구글의 닐 메타 연구원이다. 정보통신(IT) 전문매체 <아르스 테크니카>는 “(메타의 발견은) 라자루스의 백도어(사용자 인증을 거치지 않고 시스템에 접근이 가능한 보안상의 구멍) ‘캔토피’의 2015년초 버전과 워너크라이(WannaCry)의 2월 샘플에서 같은 코드가 발견됐다는 것을 말한다”고 설명했다. 랜섬웨어는 사용자의 컴퓨터에 침입해 데이터를 암호화한 뒤 이를 풀어주는 대가를 요구하는 악성프로그램이다. 이번 공격에 사용된 랜섬웨어는 마이크로소프트 운영체제의 네트워크 공유 기능에 있는 보안 취약점을 이용하는 ‘워너크라이’의 변종으로 알려졌다.

적어도 2011년 이후부터 사이버 범죄 활동을 시작한 것으로 추정되는 라자루스는 지난해 2월 방글라데시 중앙은행을 공격해 8100만달러(904억원)를 뜯어냈고, 2014년엔 미국 소니픽처스를 해킹한 것으로 의심을 받고 있다. 일부 보안업체들은 라자루스의 배후에 북한이 있다고 추정하고 있다.

하지만 보안업체들은 이번 공격을 북한의 소행이라고 단정하기는 이르다고 보고 있다. 유사한 코드를 이용해 라자루스로 ‘위장’했을 가능성도 있기 때문이다. 다만 <뉴욕 타임스>는 “발견된 코드는 널리 사용되는 코드가 아니며, 북한과 연계된 해커들의 공격에서만 발견됐다”고 보도했다.

이번 공격에 사용된 랜섬웨어에 ‘자폭장치’(킬스위치)가 내재돼 있었다는 점도 ‘북한 배후설’을 강화하고 있다. <아르스 테크니카>는 “이런 ‘킬스위치’는 돈벌이를 목적으로 개발된 악성프로그램에서 매우 드물다. 반대로 국가가 지원하는 해커들이 만든 악성프로그램에서는 훨씬 일반적으로 사용된다”며 “북한과의 연계는 이 특이한 행동의 일부를 설명할 수 있다”고 짚었다. 13일 한 영국 청년이 이 자폭장치를 우연히 발견한 덕에 랜섬웨어의 더 급격한 확산을 막을 수 있었다.

한편 톰 보서트 미국 백악관 국토안보보좌관은 15일 “랜섬웨어 공격자들에게 지금까지 7만달러(7800만원)가 안 되는 돈이 지급된 것으로 파악되며, (피해자들이 돈을 줬지만) 자료가 복구된 사례는 발견되지 않았다”고 밝혔다.

김효진 기자 july@hani.co.kr