전세계 강타한 '랜섬웨어 공격', 北소행 굳어져

미국의 사이버보안업체인 시만텍이 북한이 사상 최대규모의 전 세계적 해킹 사건인 워너크라이(WannaCry) 랜섬웨어 공격의 배후일 가능성이 매우 크다는 분석을 내놨다.

시만텍은 22일(현지시간) 블로그를 통해 이번 랜섬웨어 공격은 '래저러스(Lazarus)' 해킹그룹과의 강력한 연계성을 보여준다고 밝혔다.

래저러스는 2014년 미국 소니픽처스, 지난해 2월 방글라데시 중앙은행 등을 해킹한 해킹그룹으로 지목받고 있으며, 특히 사이버보안 전문가들은 북한과 연계된 것으로 보고 있다.

앞서 시만텍은 워너크라이와 래저러스 해킹 수법에 유사점이 있긴 하지만 "연계성이 아주 약하다"고 신중한 입장을 내놓은 바 있지만 이번엔 북한 배후 가능성에 무게를 실은 것이다.

시만텍은 이날 "워너크라이 랜섬웨어 공격에 대한 초기 분석 결과, 이번 공격에 사용된 해킹 툴과 기술, 인프라는 과거 래저러스의 해킹에서 보였던 것과 '실질적인 공통점'이 있다"면서 "래저러스가 워너크라이 확산의 배후일 가능성이 매우 크다"고 설명했다.

시만텍은 랜섬웨어 공격에 사용된 악성 코드는 과거 북한이 해킹에 사용했던 인터넷 주소가 있는 서버를 포함해 같은 명령·지휘 인프라를 사용했다고 밝혔다.

시만텍은 또 이번 공격은 한 국가에 의해 이뤄진 것으로 보이지만, 돈벌이가 주요 목적인 것으로 보인다고 덧붙였다.

미국 뉴욕타임스(NYT)도 시만텍 전문가들이 지난주에 처음으로 래저러스를 지목한 바 있지만 이번에 밝혀낸 것은 "결론에 가깝다"고 보도했다.

시만텍의 에릭 치엔은 "기술적인 증거가 이번 사건은 래저러스의 소행이라는 것을 가리키고 있다"고 말했다.

치엔과 동료 전문가들은 지난 2월의 첫 워너크라이 랜섬웨어 피해를 분석한 결과, 첫 컴퓨터가 감염된 이후 2분 내에 100대 이상의 다른 컴퓨터로 감염이 퍼진 것을 확인했다.

그러나 해커들은 과거 래저러스에 의한 공격으로까지 이어지는 디지털 단서를 남겼다.

NYT는 가장 결정적인 증거는 래저러스가 2014년 소니 픽처스 해킹 당시 사용했던 것과 같은 지휘·명령 서버가 사용된 점이라고 지적했다.

또 래저러스가 2013년 한국 금융기관 및 언론사에 대한 해킹 당시 사용했던 것과 같은 해킹 툴이 이번 랜섬웨어 공격에서도 사용됐다고 전했다.

과거 래저러스가 사용했던 데이터 삭제 툴과 암호화 기법, 흔적을 은폐하기 위한 기술 등도 래저러스의 소행이라는 디지털 단서가 됐다.

'델 시큐어 워크스(Dell SecureWorks)'에 따르면 22일 현재 20만 명 이상의 랜섬웨어 피해자 가운데 223명이 10만9천270달러에 해당하는 비트코인(가상화폐)을 지불했다고 NYT는 전했다. 랜섬웨어는 중요 파일을 암호화한 뒤 이를 푸는 대가로 금전을 요구한다.

(연합뉴스)