랜섬웨어 공격 배후 추측 무성…우크라 노린 러' 해커 의심(종합)
우크라 회계 소프트웨어로 최초 전파…"계획적 사이버전 가능성"
뉴욕타임스 "배후 추적 사실상 불가능"…추가 공격 우려
(서울=연합뉴스) 박인영 고현실 기자 = 27일(현지시간) 우크라이나를 시작으로 유럽과 미국에서 발생한 랜섬웨어 공격의 배후 세력에 대한 추측이 무성한 가운데 러시아 해커들이 배후 세력으로 유력하게 거론된다.
28일 뉴욕타임스 등 외신과 국내외 보안업계에 따르면 보안 전문가들은 우크라이나를 노린 러시아 해커들의 계획적 공격 가능성에 무게를 두고 있다.
국내 보안업체 하우리의 최상명 실장도 "러시아가 우크라이나를 대상으로 계획적 사이버전을 벌인 것으로 보인다"고 말했다.
그는 "랜섬웨어가 (우크라이나의) 로컬 네트워크로만 전파되도록 설계됐지만, 감염된 PC 중 공인 IP(인터넷주소)가 할당돼 있고, 서브넷 마스크(하위 네트워크 주소)가 잘못 설정됐을 경우 다른 나라로도 전파된 것으로 추정된다"고 말했다.
러시아 해커들이 애초 우크라이나를 대상으로 공격을 감행했지만, 외부 네트워크로 퍼지면서 자국은 물론 미국까지 피해가 발생했다는 설명이다.
주요 근거 중 하나는 최초 감염 경로다.
이번 공격은 우크라이나에서 많이 사용하는 회계 프로그램 '메독(MeDoc)'의 자동 업데이트 취약점을 이용해 최초로 발생한 것으로 추정된다.
글로벌 보안업체 파이어아이는 "메독 업데이트 시간과 랜섬웨어 공격이 최초로 보고된 시간이 일치한다"고 밝혔다.
우크라이나 공공기관에 워드문서가 첨부된 이메일을 보내 사용자 PC에 침투했다는 분석도 나왔지만 파이어아이는 "이번 공격이 해당 문서의 취약점과 관련이 있다는 흔적을 발견할 수 없었다"고 전했다.
우크라이나는 과거 수차례 러시아 해커들의 공격을 받은 전례가 있다. 러시아 해킹단체는 지난해 우크라이나 수도 키예프 전력망에 침투해 도시 곳곳에 대규모 정전을 야기했다.
반면 랜섬웨어의 출처를 알기 어려워 배후 세력을 단정하기 힘들다는 분석도 나온다.
이번 공격에 활용된 랜섬웨어는 일반 검색 엔진으로는 찾을 수 없어 주로 불법적인 정보 거래에 악용되는 '다크웹'(dark web)에서 거래된 것으로 알려졌다. 공격자들은 다크웹에서 전문 제작자로부터 랜섬웨어를 산 뒤 전파시켰을 것으로 추정된다.
뉴욕타임스는 "이런 전파 방식을 고려하면 공격의 배후 세력을 추적하는 것은 어렵거나 아니면 사실상 불가능하다"고 전망했다.
공격 동기 역시 불투명한 상황이다.
전문가들은 이번 공격이 금전적 이익을 목적으로 감행됐다면 공격자가 피해자와 협상할 수 있는 이메일 주소를 왜 더 안전하게 보호하지 않았는지, 피해자로부터 대가를 받을 방법을 더 다양화하지 않았는지 의아해하고 있다.
이번 공격에는 '페티야'(Petya) 혹은 '페트야'로 불리는 랜섬웨어의 변종이 활용된 것으로 추정된다.
전문가들은 페트야 랜섬웨어도 지난 달 전세계를 휩쓴 워너크라이 랜섬웨어와 마찬가지로 '이터널 블루'(Eternal Blue) 코드를 사용한 것으로 보고 있다.
이터널 블루는 미국 국가안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구로, 지난 4월 해커 조직 '섀도 브로커스'(Shadow Brokers)가 NSA에서 훔쳐 온라인상에 풀었다.
이런 가운데 일각에서는 이번 공격에 사용된 랜섬웨어가 페티야의 변종이 아닌 전혀 새로운 형태의 랜섬웨어라는 주장도 나온다.
러시아 보안업체 카스퍼스키 랩은 이번 랜섬웨어가 페티야와 유사한 특징을 보이기는 하지만 그동안 한 번도 확인되지 않은 새로운 종류의 랜섬웨어라고 주장했다.
보안업계는 추가 공격 가능성을 우려하고 있다.
윤광택 시만텍코리아 CTO(최고기술책임자)는 "앞으로 '페트야' 랜섬웨어를 모방한 유사 사이버 범죄가 등장할 것으로 예상된다"며 "국내 기업들도 피해를 입지 않도록 소프트웨어를 업데이트하고, 최신 보안패치를 적용해야 한다"고 당부했다.
mong0716@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
뉴스