랜섬웨어 '워너크라이' 사태처럼 세계 각지에서 광범위한 사이버공격 피해가 발생하면, 그 방법과 발생 원인 못지 않게 '누가' 일을 저질렀느냐에 사람들의 이목이 쏠리기 마련이다. 최근 사이버보안업체 시만텍은 라자루스(Lazarus)그룹을 워너크라이 공격 장본인으로 지목했다.
여러 기술적 증거도 제시했다. 라자루스그룹 배후는 북한이라는 게 미국 연방수사국(FBI) 판단인데, 시만텍은 이를 부정하지 않았다.
북한이 워너크라이 공격 배후일 것이라는 분석은 보안 전문가 뿐아니라 일반인들에게도 상당한 흥미를 불러일으킨다.
하지만 이렇게 사이버공격이 벌어졌을 때 그 배후가 누군지 밝혀내는 일은 그리 중요하지 않다는 견해도 있다. 진지하게 사이버보안위협에 대응해야 하는 당사자에게 별 소용이 없다는 이유에서다. 또다른 사이버보안업체 '체크포인트소프트웨어테크놀로지스' 소속 전문가의 견해다.
체크포인트소프트웨어테크놀로지스 사이버보안 전문가 토니 자비스가 이런 견해를 밝힌 주인공이다. 그는 체크포인트 한국지사의 사업전략을 알리기 위해 24일 발표자로 참석한 서울 삼성동 코엑스인터컨티넨탈 호텔에서 진행된 간담회 질의응답을 통해 그 입장을 구체화했다. 그는 회사의 아시아태평양 및 중동아프리카 지역 최고위협방어전략가(Chief Strategist Threat Prevention)라는 직함을 달고 있다.
자비스는 우선 해킹 위협의 배후를 파악하고 규명해 '사실'이라고 입증하는 덴 근본적인 제약이 따른다고 지적했다.
"배후 지목을 위해 다양한 증후를 살피게 된다. 대단히 어렵고 어떤 경우 불가능하기도 하다. 악성코드 제작자는 코드 작성 단계에 그 내용을 나중에 참조하려고 주석을 삽입한다. 주석에 쓴 언어가 그걸 쓰는 특정국가를 배후라는 암시일 수 있지만, 제작자가 그렇게 위장하려고 자신이 안 쓰는 언어를 넣기도 한다. 악성코드를 누가 퍼뜨렸는지, 어느 인프라를 썼는지로 지목할 수도 있다. 이 경우에도 제3자가 악용한 네트워크나 서버를 거쳤을 수 있다. 인프라 제어권을 빼앗기는 대학 사례가 흔하다. 그렇다고 그 학교가 배후라고 지목할 순 없다."
이어 그는 공격 배후를 지목하는 것 자체가 보안 관점에서 '실익'이 크지 않다고 설명했다.
"워너크라이 사건에 어떤 한 사람이나 단체만 관여한 것도 아니다. 미국 국가안보국(NSA)이 익스플로잇(보안취약점 악용기술)을 만들었다. 다른 그룹이 그걸 훔쳤다. 그 코드가 제3자에게 건네졌다. 이 제3자가 이번 랜섬웨어 유포, 감염, 금전요구 등 공격을 감행했다. 사이버공격에 여러 조직이 개입하는 일은 흔하다. …(중략)… 공격 배후를 지목하는 일이 어떤 역할을 하긴 한다. 그런데 그걸 위해 시간, 돈, 자원을 모두 쏟아붓는 건 자원낭비다. 공격이 어떻게 발생했고, 왜 성공했고, 보안성을 앞으로 향상시킬 수 있느냐를 파악하는 게 더 중요하다. "
■ "배후 지목 땐 역공 시도 부작용도"
해킹 위협의 배후를 특정해 지목하는 일은 다른 '부작용'도 있다고 그는 덧붙였다.
"배후 지목에는 다른 위험성이 있는데 '공격형 보안'이라는 개념 때문이다. 공격을 당한 쪽에서 '내가 공격받았으니, 공격한 쪽에 보복해야 한다'는 생각이다. 즉 배후를 지목하고나서 그 상대에 역공을 시도할 수 있다. 하지만 이건 불법이고, 윤리적으로도 부적절하다. 물론 어떤 경우엔 정부의 요청에 의해 배후가 지목되기도 한다. 하지만 (무조건적인 이익을 기대하는 게 아닌) 기회비용을 고려해야 하는 문제다."
자비스는 '워너크라이 공격 주체는 라자루스그룹이라 확신'한다는, 경쟁사 시만텍의 발표 내용에 대해서도 신중한 입장을 취했다.
"여러 단서를 통해 배후를 지목해야 할 수도 있다. 지난해 미국 대선 때도 러시아 배후설이 제기됐다. 설을 제기할 수는 있지만 100% 확실한 증거를 제시하는 건 불가능하다. 특정 조직 더러 '어떤 공격의 배후로 보인다'고 말하는 것과, '확신한다'고 말하는 건 전혀 다른 얘기다. 시만텍의 발표 내용은 타당할 수 있지만, 그에 동의한다, 안 한다 말하긴 어렵다."
체크포인트소프트웨어테크놀로지스라는 회사 차원에서도 무조건 배후 지목을 안 하는 건 아니지만, 최소한으로 한다는 뉘앙스다.
"체크포인트는 위협 주체를 주시하지만, 어떤 인프라에 어떤식으로 공격이 벌어졌느냐, 이렇게 유저 대상 활동 양상에 주목한다. 한정된 자원 때문에 모든 것을 배후 지목 차원에서 바라보지 않는다. 지목한 사례가 있긴 했다. 네트워크상의 정보와 코드 흔적을 바탕으로 보고서를 작성해 사법기관에 넘겼다. 이런 활동에는 보안 업계가 협력해야 한다고 생각한다."
관련기사
- "워너크라이 공격, 북한 배후로 둔 해커집단 소행"2017.05.24
- 워너크라이 사태, 윈도XP 탓 아니었다2017.05.24
- "아직 안 끝났다"…보안업체, 워너크라이 대응SW 배포2017.05.24
- 윈도7 지원하는 워너크라이 해독툴 등장2017.05.24
그의 회사 차원에서는 최근 워너크라이 랜섬웨어를 비롯한 주요 악성코드 유포 사태에 어떻게 대응했을까.
"코드를 분석해 왔고 많은 진전을 이뤘다. 악성코드가 어떻게 웹사이트에 연결되고 멈추는가가 많이 연구됐다. 그런 킬스위치를 발견했다. 첫번째, 두번째 킬스위치가 등록됐지만 계속 변종이 만들어지는 게 문제였다. 그런 악성코드 일부를 발견했고 복호화툴도 개발했다. 무료로 내려받을 수 있는 툴을 제공한다. 워너크라이와 유사한 공격이나 익스플로잇을 파악하고, 변화하는 위협에 실시간 대응하려 노력 중이다."