북한이 최근 전 세계를 강타한 사상 최대규모의 해킹 사건인 ‘워너크라이 랜섬웨어’ 공격의 배후라는 분석이 나왔다.
글로벌 사이버 보안업체 시만텍은 워너크라이 랜섬웨어를 분석한 결과, 사이버 공격집단인 라자루스(Lazarus) 그룹과의 높은 연관성을 발견했다고 23일 밝혔다. 사이버보안 전문가들은 라자루스가 북한과 연계된 것으로 보고 있다.
시만텍은 워너크라이 랜섬웨어 공격에 사용된 툴과 인프라가 소니픽처스 해킹과 방글라데시 중앙은행에서 8,100만(약 910억원) 달러의 절도를 감행한 라자루스 그룹이 사용한 기술과 유사한 것을 이번 이번 공격이 라자루스에 의해 자행됐다는 근거로 제시했다.
시만텍이 워너크라이 랜섬웨어를 최초로 발견한 것은 지난 2월이다. 당시 감염된 조직에서는 1차 감염 2분 만에 100대 이상의 컴퓨터가 추가로 감염됐다. 시만텍의 분석에 따르면 당시 공격에서 발견된 5개의 악성코드 가운데 3개가 라자루스 그룹과 연관이 있는 악성코드다. 두 가지는 소니픽처스 공격에 사용된 ‘데스토버’의 변종이며 다른 하나는 과거에 라자루스 그룹이 대한민국을 겨냥한 공격을 감행했을 때 사용했던 ‘트로이목마’인 것으로 확인됐다. 시만텍 관계자는 “3월 말 새로운 버전의 워너크라이 랜섬웨어가 발견된 2차 공격에서 워너크라이랜섬웨어와 라자루스 그룹 배후에 있는 공격자들 간에 연관성이 있음을 입증해주는 정보들이 추가로 확인됐다”고 설명했다.
워너크라이 랜섬웨어 확산에 사용된 툴의 유사점 외에 워너크라이 랜섬웨어가 과거 라자루스와 연관성이 있었던 ‘콘토피 백도어’와 악성코드를 공유하는 것도 이 같은 분석을 뒷받침한다. 또 워너크라이는 라자루스와 관련된 악성코드인 ‘페이크퓨드’와 유사한 코드 난독화를 사용하는 것으로 알려졌다.
윤광택 시만텍코리아 CTO는 “워너크라이 랜섬웨어에 사용된 코드와 인프라, 기술 등 여러 가지 요소가 과거 소니픽처스나 방글라데시 은행을 공격한 라자루스 그룹이 사용한 것과 기술적 연관성이 상당히 높아 워너크라이 랜섬웨어의 배후에 라자루스 그룹이 있을 개연성이 높은 상황”며 “다만 워너크라이 랜섬웨어 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아니라 순수하게 금전적 목적을 위해 감행된 것으로 분석된다”고 설명했다.
/양사록기자 sarok@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
