‘워너크라이’ 랜섬웨어 북한 소행?…업계 “추정일 뿐 단정 아냐”

송고 2017.05.30 13:43 | 수정 2017.05.30 13:44
김언한 기자 (unhankim@ebn.co.kr)

카스퍼스키랩·체크포인트 등 “공격자 위장 가능성 배제 못 해”

플래시포인트, 남중국 해커 배후 주장

최근 전 세계에 랜섬웨어 공포를 확산시킨 '워너크라이'의 배후를 놓고 보안업계가 다양한 의견을 내놓고 있어 주장의 근거에 이목이 집중되고 있다.

30일 업계에 따르면 워너크라이 랜섬웨어를 북한 소행으로 추정하는 기업은 구글, 시만텍, 카스퍼스키랩 등이다.

이 가운데 북한 소행을 가장 유력시하고 있는 기업은 시만텍이다. 워너크라이에 사용된 코드와 인프라를 분석한 결과, 소니픽처스 및 방글라데시 은행을 공격한 '라자루스(Lazarus)' 그룹의 소행일 가능성이 크다고 분석했다. 라자루스는 북한 정부와 연계된 것으로 알려진 사이버범죄조직이다.

다수의 보안기업들은 추정하는 강도에 차이는 있지만 북한 소행일 것이라는 데 무게를 두고 있다. 하지만 추정에서 사실로 결론짓기까지는 한 발짝 물러나 양자의 연관성을 강조하는 입장이다. 사용된 코드를 통해 공격의 배후를 정확하게 단정하는 것이 그만큼 어렵다는 방증이다.

토니 자비스 체크포인트 최고전략전문가는 "랜섬웨어 등 코드에 담긴 코멘트에는 특정 국가를 암시하는 언어들이 포함돼있지만 공격자가 추적을 피하기 위해 고의로 사용하는 경우도 많다"며 "악성코드 내 문자열을 통한 위장 뿐 아니라 서버, 웹사이트 주소등록자 등 고의로 타인의 인프라를 사용하는 경우도 있을 수 있다"고 말했다.

라자루스 그룹의 표적국가.ⓒ카스퍼스키랩

악성코드에는 코드를 작성한 개발자의 흔적을 남기는 문자열과 디버그 경로를 포함한 경우가 많다. 하지만 가짜 단서를 남겨 추적에 혼란을 주는 것도 가능하다. '클라우드 아틀라스(Cloud Atlas)'란 해킹 조직이 힌두어·아랍어·영어를 경우에 따라 문자열에 포함시켰던 사례가 있다. 하지만 이 조직은 동유럽 국가와 연관된 것으로 추정된다.

상황이 이렇다보니 신중론도 나온다. 워너크라이를 북한 소행으로 속단하기는 이르다는 주장이다.

카스퍼스키랩은 워너크라이와 라자루스 그룹의 악성코드에 유사성은 분명하지만 추적에 혼선을 주기 위한 위장일 가능성도 배제하지 않겠다는 입장이다.

파이어아이는 아직까지 북한과의 연관성이 불충분하다며 결론짓기에는 이르다는 판단이다. 존 밀러 파이어아이 분석팀 매니저는 "조사 결과, 워너크라이와 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분치 않았다"며 "현시점에서는 북한의 소행으로 단정짓기는 어렵다"고 설명했다.

최근에는 워너크라이의 배후에 중국 본토 남부나 홍콩, 대만, 싱가포르 출신의 해커가 있다는 새로운 주장도 나왔다.

미국의 보안기업 플래시포인트는 남부 말씨가 섞인 중국어를 모국어로 하는 사람들이 워너크라이 악성코드를 작성했다는 결론을 내렸다.

해커들이 중국어 텍스트를 먼저 작성한 뒤 영어로 옮겼다고 설명했다. 이어 영어 문구들을 구글 번역기를 돌려 다른 언어들로 번역했다는 분석이다. 플래시포인트는 또 워너크라이 악성코드가 28개 언어로 나타났다고 밝혔다.

토니 자비스 체크포인트 최고전략전문가는 "특정 세력이 배후에 있다는 것과 배후에 있는 것으로 추정된다는 것에는 차이가 있다"며 "배후를 찾는 일보다는 공격이 어떻게 발생했고 앞으로 어떻게 대응할 수 있는지에 대해 해결책을 찾는 일어 더 중요하다"고 당부했다.

USD$	1376.0	▼4
EUR€	1472.5	▲2.5
JPY¥	888.8	▼2.5
CNY¥	189.5	▼0.8

‘워너크라이’ 랜섬웨어 북한 소행?…업계 “추정일 뿐 단정 아냐”

관련기사

전체 댓글 0

매매기준율