"랜섬웨어 러시아 짓" 서방 정보기관도 배후로 지목
우크라 초점 기획공격설…"크림병합 후 붕괴전략 가능성"
(서울=연합뉴스) 이광빈 기자 = 러시아가 최근 우크라이나를 주요 표적으로 전 세계로 확산된 랜섬웨어 공격의 배후라는 주장이 더욱 힘을 얻고 있다.
민간 보안 전문가들이 우크라이나를 노린 러시아 해커들의 계획적인 공격 가능성에 주목한 가운데, 서방 정보기관에서도 이 같은 해석에 무게를 실어주고 있다.
영국 도·감청 전문 정보기관인 정부통신본부(GCHQ)의 국가사이버보안센터(NCSC) 측은 이번 공격이 금전을 노린 게 아니라 특정 국가의 혼란에 초점이 맞춰져 있다는 해석을 내렸다고 있다고 영국 파이낸셜타임스가 30일(현지시간) 보도했다.
특히 익명을 요구한 NCSC 고위 관계자는 현재 러시아를 배후 세력으로 혐의를 두고 있다고 말했다.
러시아가 우크라이나에 속한 크림반도를 병합한 이후에도 우크라이나 내전에 개입하면서 우크라이나 붕괴 전략을 사용하는 가운데 해킹 공격을 가했다는 것이다.
민간 보안 전문가들과 일부 서방 정보기관 측은 'TTPS'라고 명명한 이번 공격의 '전략(tactics)'과 '기술(techniques)', '과정(procedures)'이 러시아 측의 해킹 방법과 맥을 같이 한다며 의심의 눈길을 보내고 있다.
우선 이번 공격이 우크라이나에서 시작된 데다, 피해 기관의 4분의 3이 우크라이나에 몰려있기 때문이다.
유럽과 미국, 심지어 러시아로도 확산됐지만 우크라이나 기관들이 감염되면서 연관된 해외 기관들이 감염된 것으로 보안 전문가들은 분석했다.
이번 공격은 우크라이나에서 많이 사용하는 회계 프로그램 '매독(MeDoc)'의 자동 업데이트 취약점을 이용해 이뤄졌다고 추정된다. 이런 공격 방식은 러시아 정보기관과 연결된 해킹 그룹이 과거 선호하기도 했다.
더구나 이번 랜섬웨어는 파일 단위로 암호화하는 대부분의 랜섬웨어와 달리 윈도의 마스터부트레코드(MBR)를 암호화해 부팅 단계부터 장애를 일으켜 시스템 자체를 '먹통'으로 만들어 복구를 어렵게 한다.
또한, 공개된 비트코인 지갑 주소나 이메일 주소가 하나뿐이라 전문가들은 애초에 변종 렌섬웨어 제작자가 돈을 벌어들이거나 받더라도 암호화를 풀어줄 의도가 없을 것이라고 분석했다.
비트코인이 입금되면 이를 수거해 사라지는 일반적인 랜섬웨어 공격자들의 방식과 다른 셈이다.
글로벌 보안업체 파이어아이의 CEO인 존 워터스는 파이낸셜타임스에 공격 해커에 대해 "납치범으로 가장한 살인자"라고 표현하면서 "우리는 이번 공격이 러시아에서 시작됐다고 합리적인 확신을 갖고 있다"고 말했다.
이번 공격에는 미국 국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구인 '이터널 블루(Eternal Blue)'가 사용된 것으로 추정되는데, 이이 도구를 NSA에서 해킹한 '섀도 브로커스(Shadow Brokers)'로 배후로 러시아는 주장이 나온 바 있다.
lkbin@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>