랜섬웨어 공격 '북한 배후설'…"사이버지문" vs "속단 이르다"(종합2보)
전문가들 논쟁…소니·방글라은행 등 해킹한 '래저러스' 지목
北연계 해킹단 특색 포착됐으나 다른 세력이 차용·위장했을 수도
(서울=연합뉴스) 장재은 김보경 기자 = 최근 지구촌을 강타한 사상 최대규모의 온라인 해킹공격 배후에 북한이 있을 수 있다는 전문가 분석이 쏟아졌다.
이들 보안 전문가는 북한과 연계된 것으로 추정되는 해킹 범죄단 '래저러스'(Lazarus)를 이번 워너크라이(WannaCry) 랜섬웨어 공격의 배후로 보고 있다.
15일(현지시간) AFP통신과 미국 정보기술(IT) 전문매체인 '아스 테크니카'(ars technica) 등에 따르면 구글 연구원 닐 메타는 이번 사태를 일으킨 악성코드 워너크라이와 북한 정권의 소행으로 추정되는 해킹에 유사성이 있다고 지적했다.
그는 래저러스의 백도어 프로그램(보안장벽을 우회하는 장치) '캔토피'의 2015년 초기 버전 코드가 워너크라이의 2월 샘플에서 발견됐다고 설명했다.
러시아의 사이버보안업체 카스퍼스키는 메타의 발견을 중요한 단서로 규정하며 북한이 이번 공격의 배후일 가능성에 주목했다.
카스퍼스키 연구원들은 "닐 메타가 발견한 것은 워너크라이의 원래 출처와 관련해 지금까지 나온 것 중에 가장 의미 있는 단서"라고 설명했다.
그러면서 래저러스와 이번 사태를 연관지을 수 있는 증거가 있다면서도 결론을 내리려면 더 많은 연구가 뒤따라야 할 것이라고 밝혔다.
래저러스는 2009년부터 사이버 범죄가 포착됐으며 북한이 지원하는 해킹집단이라는 의심을 받고 있다.
이 집단은 2013년 한국 금융기관·언론사, 2014년 미국 소니픽처스, 지난해 2월 방글라데시 중앙은행을 비롯한 동남아 3개국 은행 등을 겨냥한 해킹사건을 일으킨 혐의를 받고 있다.
한국과 미국 정부는 2013년과 2014년 해킹의 배후로 북한을 지목했지만 북한은 이를 강력히 부인하고 있다.
버락 오바마 당시 미국 행정부는 북한이 소니픽처스 해킹의 배후에 있다는 점을 확신한다며 2015년 1월 대북제재 행정명령을 발동한 바 있다.
카스퍼스키 연구원들은 "래저러스의 작업 범위가 충격적"이라며 "이 집단은 2011년부터 왕성히 활동하며 악성코드 공장을 운영해왔다"고 지적했다.
이스라엘에 본부를 둔 '인테저 랩스'도 이번 랜섬웨어 사태가 북한과 관계가 있다는 주장에 동의했다.
이 업체의 최고경영자인 이타이 데베트는 트위터를 통해 "인테저 랩스는 워너크라이의 책임 소재가 북한에 있다고 확인했다"며 "래저러스의 기능뿐만 아니라 (북한 배후설을 뒷받침할) 다른 정보도 더 나올 것"이라고 말했다.
미국 뉴욕타임스(NYT)는 워너크라이에서 발견된 코드 중에 오로지 북한과 연계된 해커들만 사용하는 것이 있었다고 보도했다.
보안 전문가들에게는 이러한 단서가 사실상 북한을 지목하는 '사이버 지문'으로 통한다는 말이다.
영국 서리 대학의 보안 전문가 앨런 우드워드 교수는 워너크라이에 새겨진 정황 증거를 제시했다.
우드워드 교수는 워너크라이 초기 코드에 나타난 시간대가 세계협정시(UTC)보다 9시간 빨랐고 영어 문장은 컴퓨터로 번역한 흔적이 있었다고 지적했다.
다만 중국어 부분은 원어민 수준이었다고 설명했다.
북한은 시간대가 UTC+9였으나 2015년 8월 15일 광복 70주년을 맞아 30분을 앞당겨 새 표준시 UTC+8½을 사용하고 있다.
여러 정황에도 불구하고 이번 랜섬웨어 공격의 배후를 북한으로 섣불리 지목해선 안 된다는 신중론도 만만치 않다.
워너크라이 개발자가 이번 공격의 주모자로 래저러스가 의심을 받도록 캔토피에서 발견된 코드를 고의로 워너크라이에 심었을 가능성이 있기 때문이다.
미국 사이버보안업체 시만텍은 워너크라이와 래저러스 해킹수법 사이에 유사점을 발견하긴 했지만 "연계성이 아주 약하다"고 AP통신에 밝혔다.
우드워드 교수도 자신이 제시한 단서가 아주 미약한 정황일 뿐이라며 훨씬 더 많은 조사가 이뤄져야 한다고 강조했다.
NYT도 이번에 발견된 단서들만으로 배후를 특정할 수는 없다고 신중론을 곁들였다.
이 매체는 "해커들이 다른 해커의 공격 수단을 서로 빌려 쓰거나 정부 기관들도 과학 수사를 피하려고 코드 위장술을 쓰는 것으로 알려져 있다"고 설명했다.
이번 사건의 북한 배후설과는 별개로 국제사회에서 북한은 이미 러시아, 중국과 더불어 사이버 공격을 일삼고 있다는 비판을 꾸준히 받아왔다.
미국의 정보기관을 총괄하는 국가정보국(DNI)은 최근 의회에 보고한 2017년 세계위협평가에서 북한의 사이버 공격을 주요 위협으로 집중 조명했다.
DNI는 "북한 정권이 2014년 소니픽처스 엔터테인먼트를 비롯해 미국 상업체를 상대로 예전에 사이버 공격을 실행했다"며 "북한은 여전히 정치적 목적을 달성하려고 정상활동에 차질을 빚게 하거나 파괴적인 사이버 공격을 치를 능력이 있다"고 지적했다.
jangje@yna.co.kr vivid@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스