랜섬웨어 공격 북한 배후설, 사실일까

유사코드 발견…"범죄자 위장술일 수도"

컴퓨팅입력 :2017/05/16 14:29    수정: 2017/05/17 11:02

정말로 '워너크라이' 랜섬웨어의 배후에 북한이 있는 걸까?

한국을 비롯 전세계 수십만대 컴퓨터를 감염시킨 랜섬웨어 '워너크라이' 공격 배후에 북한이 있다는 가설이 제기돼 관심이 쏠리고 있다. 이 가설이 사실일 경우 북한이 전 세계 PC를 상대로 엄청난 '사이버 폭탄'을 투하한 게 된다.

지디넷코리아는 여러 정황들과 전문가 인터뷰를 토대로 워너크라이 북한 배후설에 대한 팩트체크를 해 봤다.

■ 북한 배후설 왜 나왔나

러시아 카스퍼스키랩은 15일(현지시간) 워너크라이 랜섬웨어와 해커조직인 라자루스그룹(Lazarus Group)의 악성코드에 공통점이 있다는 분석 결과를 발표했다. 미국 보안업체 시만텍도 외신들과 인터뷰에서 비슷한 주장을 제기했다.

이들은 콘토피(Contopee)라 불리는 백도어프로그램의 코드 일부를, 지난 2월 등장한 워너크라이 초기 버전에서도 발견했다. 콘토피는 지난 2015년 라자루스그룹의 공격 활동에 사용된 툴이다. 업계는 라자루스그룹의 배후가 북한 정부라고 잠정 결론내리고 있다.

미국과 러시아 사이버보안 전문가들은 이를 근거로 라자루스그룹 또는 북한과 '워너크라이' 공격자간 최소한의 연관성이 있다고 보고, 추가 조사가 필요하다는 입장이다.

이 같은 보고서가 공개되자 주요 외신들이 일제히 워너크라이 북한 배후설을 제기하면서 논란을 키웠다.

■ 유사코드가 '배후설' 증거될 수 있을까

어쩌다 비슷하게 작성된 코드 아닐까. 외신을 통해 보도된 시만텍의 설명에 따르면, 라자루스그룹과 워너크라이 랜섬웨어간 공유된 코드는 웹용 암호화통신인 시큐어소켓레이어(SSL)를 구현한 것이다.

여러 워너크라이 변종의 SSL구현체에, 콘토피와 브람불(Brambul)을 포함한 라자루스그룹의 공격툴에서만 발견되는 특정한 75개 암호문의 배열(sequence of 75 ciphers)이 발견됐다. 우연한 일치라 보기는 어려운 흔적이다.

이 내용을 종합하면 북한 정부가 워너크라이 공격의 배후일 수 있다는 가설을 이끌어낼 수도 있지만, 이와 상반된 다른 가능성도 열려 있다.

영국 일간지 가디언은 "코드를 공유했다는 사실이 항상 동일한 해커조직의 소행임을 의미하지는 않는다"며 "라자루스그룹이 2015년 사용한 백도어 코드를 '위장 표식(false flag)' 삼아 범죄자 파악을 어렵게 만들 목적으로, 완전히 다른 해커조직이 사용했을 수도 있다"고 지적했다.

워너크라이(WannaCry) 악성코드 감염 컴퓨터의 비트코인 결제 안내 페이지. 한국어를 지원한다.

실제로 콘토피 코드를 공유하는 워너크라이 랜섬웨어는 지난 2월 처음 등장한 '초기 버전(early version)'뿐이다. 워너크라이 초기버전은 현재 말썽인 워너크라이와 달리, 윈도 서버메시지블록(SMB) 보안취약점을 악용해 스스로 전파되는 기능을 갖지 않았다. 여타 랜섬웨어처럼 피싱 이메일을 통해 유포됐다. 현재 유행 중인 워너크라이 악성코드에는 콘토피 백도어 코드가 포함돼 있지 않다.

워너크라이와 라자루스그룹간의 연관성을 보여 주는 단서가 하나 더 있다. 시만텍은 역시 워너크라이 초기버전에 감염된 시스템에서, 라자루스그룹만이 사용했던 톨의 존재를 확인했다. 앞서 언급했듯 워너크라이 초기버전은 SMB 보안취약점을 통한 확산 기능을 갖지 않았다. 이 때 '라자루스그룹만이 사용한 툴'이 워너크라이 초기버전의 유포 수단으로 사용될 수 있었다. 다만 실제로 그렇게 쓰였는지는 확인되지 않았다.

■ "아직 결론내리긴 시기상조?"

같은 단서를 바라보는 사이버보안 전문업체의 관점도 단정적이진 않다. 러시아 카스퍼스키랩은 과거 북한 소재 IP주소에서 시작된 라자루스그룹의 공격 활동을 찾아냈을만큼 관련 정보에 정통하다.

이 회사는 "이 유사성만으로 워너크라이 랜섬웨어와 라자루스그룹과의 관계에 대한 강력한 증거를 제공해 주지는 못한다"면서 "미스터리인 워너크라이의 배후에 대한 실마리를 제공할 가능성은 있다"고 설명했다.

관련기사

한국 보안업체 측에서도 당장 북한과의 직접적이 연관성을 발견했다고 보긴 이르다는 입장이다. 워너크라이 분석보고서를 배포 중인 NSHC 측은 "외신을 통해 그런 정황이 파악됐다는 소식을 접하긴 했지만, 연관성 유무를 직접 판단하긴 시기상조"라고 답했다.

백신업체 이스트시큐리티 측은 "악성코드에 기술적인 접점이 발견되긴 했지만 그것만으로 공격 주체나 배후를 파악했다고 할 수는 없다"고 답했다.