미국 국가안보국 해킹 도구가 전 세계를 공격한다

27일 네덜란드에서 사이버 해킹 랜섬웨어에 감염된 컴퓨터. EPA 연합뉴스

우크라이나에서 호주까지 전 세계적 사이버 공격 재발
NSA 유출 해킹 도구로 만든 램섬웨어가 원인
금품 노린 집단 아닌 국가 차원 행위 의혹도

27일 네덜란드에서 사이버 해킹 랜섬웨어에 감염된 컴퓨터. EPA 연합뉴스

미국의 감청 및 사이버 스파이 기관인 국가안보국(NSA)에서 유출된 해킹 도구을 이용한 사이버 공격이 갈수록 진화하고 있다. 27일 우크라이나부터 미국까지의 세계 각국 기업의 컴퓨터를 마비시킨 사이버 공격은 지난 5월 워너크라이 랜섬웨어 사태처럼 국가안보국에서 유출된 해킹 도구를 이용해 더욱 진화한 것으로 분석됐다.

이번 공격은 우크라이나가 1996년 소련으로부터 분리되는 헌법을 채택한 기념일 전날에 우크라이나 정부와 기업 컴퓨터를 대상으로 시작된 뒤 전 세계로 퍼져나갔다. 우크라이사 수도 키예프의 현금인출기가 작동을 멈추고, 150km 떨어진 체르노빌 원전에서도 컴퓨터가 다운돼 운영요원들이 수동으로 방사선량을 측정해야만 했다. 우크라이나 정부는 정부 부처와 지역 은행, 수도권 전철 시스템이 이 사이버 공격을 받았다고 밝혔다. 덴마크의 글로벌 해운회사 머스크부서 러시아 최대 국영 석유회사 로스네프트, 프랑스 건자재 회사 셍고벵, 영국 광고회사 더블유피피(WPP) 등 유럽의 다수 대기업들도 영향을 받았다.

공격은 미국으로까지 건너가 다국적 법률회사 디엘에이(DLA) 파이퍼, 거대 제약회사 머크, 펜실베이니아의 대형 병원 및 의료보험 회사들의 컴퓨터도 작동을 멈췄다. 오스트레일리아에서도 국적 항공회사 콴타스항공의 예약시스템이 한동안 작동을 멈췄다

이날 사이버 공격은 지난 4월 ’쉐도우 브로커’라는 단체가 미국 국가안보국에서 절취해 온라인에 유포한 해킹 도구 ’이터널 블루’를 이용한 일련의 해킹 사태 중 가장 정교한 것으로 평가됐다. 5월 워너크라이 공격 때처럼, 이날 공격도 컴퓨터를 해킹해 다운시키고 이를 해결하려면 금품을 요구했다.

국가안보국 쪽은 자신들의 해킹 도구가 워너크라이나 이날 공격 등에 이용됐다고 인정하지 않고 있다. 하지만, 컴퓨터 보안 전문가들은 국가안보국이 이를 인정하고 사이버 공격 사태를 해결하는데 협력해야 한다고 촉구하고 있다고 <뉴욕타임스>가 28일 보도했다. 국가안보국이 애플이나 마이크로소프트 등 컴퓨터 운영체계 판매회사들과 긴밀히 협력해 대처해야 한다는 것이다. 국가안보국은 대변인 성명을 통해 “국토안보부가 다수의 세계적 회사들에 영향을 준 사이버 공격 보고를 관찰하고 있고 우리의 국내외 사이버 협력자들과 협력하고 있다”고만 밝혔다.

전문가들은 이번 사이버 공격에 사용된 랜섬웨어가 지난 4월에 출현한 페티야라는 바이러스와 유사하다고 지적한다. 페티야는 러시아어로 ’꼬마 피터’라는 뜻이다. 늑대를 잡은 소년을 묘사한 러시아 작곡가 세르게이 프로코피에프의 교향곡 ’피터와 늑대’를 상징하는 말이다.

국가안보국에서 유출된 이터널 블루의 코드를 바탕으로 만들어진 페티야의 변종 랜섬웨어는 일반 검색엔진이 아니라 불법 거래에 이용되는 ’다크 웹’에서 거래된다. 페티야 랜섬웨어는 한번의 클릭만으로도 다른 컴퓨터 사용자의 파일을 암호화할 수 있다. 이 때문에 암호 해독 키 제공을 대가로 금품을 요구할 수 있다.

최근의 사이버 공격은 금품을 요구하는 해커들의 소행이 아니라 국가 기관이 관련돼 있다는 분석도 나온다. 이런 형태의 공격으로 금전적 이익을 취하기가 쉽지가 않은데다 배후의 개인이나 집단도 분명치 않기 때문이다.

일련의 사이버 공격에서 가장 많이 배후로 거론되는 러시아 해커들은 전통적으로 러시아 정보기관과 긴밀한 연관을 맺고 있다. 지난해 미국 대선에 개입한 러시아에 보복하기 위해 미국 정보기관들도 러시아의 사회기반시설을 마비시킬 수 있는 바이러스를 이미 심어놓았다고 <워싱턴포스트>가 보도하기도 했다. 영국 정보기관인 정보통신본부의 국가사이버보안센터(NCSC)와 미국 국가안보국은 워너크라이 공격의 배후로 북한을 지목하고 있다.

워너크라이 공격에 쓰인 악성 코드를 언어학적으로 분석한 결과 남부 중국어를 사용하는 사람들이 작성했다고 미국 사이버보안업체 플래시포인트는 분석했다. 최근 사태의 해커들이 중국 남부나 홍콩, 대만, 싱가포르 출신일 가능성이 있다는 것이다.

정의길 선임기자 Egil@hani.co.kr