랜섬웨어 공격 '북한 배후설'…"北해킹단 사이버지문 발견"(종합)
전문가들, 소니·방글라은행 등 해킹한 '래저러스' 지목
구글·러 업체 등 중대단서로 주목…"속단하기 너무 이르다" 경계도
(서울=연합뉴스) 장재은 김보경 기자 = 최근 지구촌을 강타한 사상 최대규모의 온라인 해킹공격 배후에 북한이 있다는 주장이 전문가들에게서 나오고 있다.
이들 보안 전문가는 북한과 연계된 것으로 추정되는 해킹 범죄단 '래저러스'(Lazarus)를 이번 워너크라이(WannaCry) 랜섬웨어 공격의 배후로 보고 있다.
15일(현지시간) AFP통신과 미국 정보기술(IT) 전문매체인 '아스 테크니카'(ars technica) 등에 따르면 구글 연구원 닐 메타는 이번 사태를 일으킨 악성코드 워너크라이와 북한 정권의 소행으로 추정되는 해킹에 유사성이 있다고 지적했다.
그는 래저러스의 백도어 프로그램(보안장벽을 우회하는 장치) '캔토피'의 2015년 초기 버전 코드가 워너크라이의 2월 샘플에서 발견됐다고 설명했다.
러시아의 사이버보안업체 카스퍼스키는 메타의 발견을 중요한 단서로 규정하며 북한이 이번 공격의 배후일 가능성에 주목했다.
카스퍼스키 연구원들은 "지금으로서는 워너크라이의 더 오래된 버전을 연구할 필요가 있다"고 말했다.
이들은 "이런 작업이 이번 사태를 둘러싼 몇몇 의문점들을 풀 열쇠가 될 것"이라며 "닐 메타가 발견한 것은 워너크라이의 원래 출처와 관련해 지금까지 나온 것 중에 가장 의미 있는 단서"라고 설명했다.
래저러스는 2009년부터 사이버 범죄가 포착됐으며 북한이 지원하는 해킹집단이라는 의심을 받고 있다.
이 집단은 2013년 한국 금융기관·언론사, 2014년 미국 소니픽처스, 지난해 2월 방글라데시 중앙은행을 비롯한 동남아 3개국 은행 등을 겨냥한 해킹사건을 일으킨 혐의를 받고 있다.
한국과 미국 정부는 2013년과 2014년 해킹의 배후로 북한을 지목했지만 북한은 이를 강력히 부인하고 있다.
버락 오바마 당시 미국 행정부는 북한이 소니픽처스 해킹의 배후에 있다는 점을 확신한다며 2015년 1월 대북제재 행정명령을 발동한 바 있다.
카스퍼스키 연구원들은 "래저러스의 작업 범위가 충격적"이라며 "이 집단은 2011년부터 매우 활발해 악성코드 공장을 운영해왔다"고 지적했다.
이스라엘에 본부를 둔 '인테저 랩스'도 이번 랜섬웨어 사태가 북한과 관계가 있다는 주장에 동의했다.
이 업체의 최고경영자인 이타이 데베트는 트위터를 통해 "인테저 랩스는 워너크라이의 책임 소재가 북한에 있다고 확인했다"며 "래저러스의 기능뿐만 아니라 다른 정보도 더 나올 것"이라고 말했다.
미국 뉴욕타임스(NYT)는 워너크라이에서 발견된 코드 중에 오로지 북한과 연계된 해커들만 사용하는 것들이 있다며 이번 단서가 있다고 보도했다.
보안 전문가들에게는 사실상의 '사이버 지문'으로 통한다는 말이다.
그러나 이번 랜섬웨어 공격의 배후를 북한으로 섣불리 지목해선 안 된다는 신중론도 나오고 있다.
워너크라이 개발자가 이번 공격의 주모자로 래저러스가 의심을 받도록 캔토피에서 발견된 코드를 고의로 워너크라이에 심었을 가능성이 있기 때문이다.
AP통신에 따르면 미국 사이버보안업체 시만텍은 워너크라이와 래저러스 해킹수법 사이에 유사점을 발견하긴 했지만 "이는 아주 약한 연계성만 보여주고 있다"고 설명했다. 그러면서 "더 강한 연결고리를 찾기 위해 계속 조사할 방침"이라고 밝혔다.
NYT도 같은 이유에서 이번에 발견된 단서들만으로 배후를 특정할 수는 없다고 신중론을 곁들였다.
이 매체는 "해커들이 자주 서로 공격 수단을 빌려 새로 장착하거나 정부 기관들도 과학 수사관들을 피하려고 코드를 위장하는 술책을 쓰는 것으로 알려져 있다"고 설명했다.
이번 사건의 북한 배후설과는 별개로 지구촌에는 이미 북한이 러시아, 중국과 더불어 막강한 사이버 공격력을 보유하고 있다는 우려가 끊임없이 제기돼왔다.
미국의 정보기관을 총괄하는 국가정보국(DNI)은 최근 의회에 보고한 2017년 세계위협평가에서 북한의 사이버 공격을 주요 위협으로 집중 조명했다.
DNI는 "북한 정권이 2014년 소니픽처스 엔터테인먼트를 비롯해 미국 상업체를 상대로 예전에 사이버 공격을 실행했다"며 "북한은 여전히 정치적 목적을 달성하려고 정상활동에 차질을 빚게 하거나 파괴적인 사이버 공격을 치를 능력이 있다"고 지적했다.
jangje@yna.co.kr vivid@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>