대규모 랜섬웨어 공격 북한 배후설?…"코드·IP 등 모두 분석해야"

[이데일리 이유미 기자] 전세계 150여개국을 강타한 ‘워너크라이’ 랜섬웨어가 북한 소행일 가능성이 제기되고 있다. 하지만 북한 소행이라고 단정지기에는 아직 이르다는 의견도 있다.

15일(현지시간) 러시아 사이버보안업체 카스퍼스키랩와 미국 보안업체 시만텍 등은 워너크라이 랜섬웨어가 북한 해커 그룹 라자루스그룹(Lazarus Group)이 만든 악성코드와 유사하다며 북한을 워너크라이 배후로 지목했다.

국내 보안 전문가도 북한의 소행 가능성을 배제할 수 없다는 의견을 제시했다.

최상명 하우리 CERT 실장은 “이번 워너크라이 랜섬웨어에 사용된 악성코드는 과거 소니픽처스나 스위프트(SWIFT) 국제금융 대상 악성코드 등 기존 북한이 사용하던 악성코드의 백도어 버전의 연산 로직이 유사하다”면서 “랜섬웨어 공격이 윈도OS의 서버메시지블록(SMB) 취약점을 사용한 전세계 서버 장악 방식인데 이는 기존 7·7디도스, 3·4디도스, 농협 전상망 마비 등 주로 SMB 취약점을 이용해 웜 형태로 전세계 PC를 장악한 방식과 비슷하다”고 설명했다.

또 이번에 워너크라이 랜섬웨어를 만들었다고 주장하는 해커단체 ‘스팸테크(SpamTech)’는 쉐도우 브로커스 멤버들이 만든 단체이며, 쉐도우 브로커스는 소니픽쳐스 사이버 공격을 자신들이 했다고 주장하고 있다. 당시 소니픽쳐스 사이버 공격은 북한 소행으로 추정됐다.

최 실장은 “아직 북한이라는 확증이 나오지 않아서 단정짓기는 어렵지만 북한의 소행이라는 가능성을 뒷받침할 요소는 다소 있다”고 강조했다.

해커단체 ‘SpamTech’ 트위터.

하지만 단순히 랜섬웨어 악성 프로그램이 유사하다고 해서 북한의 소행이라고 단정지을 수는 없으며 조사가 좀더 필요하다는 의견도 제기됐다. 프로그램 유사성은 얼마든지 위조나 변조가 가능하기 때문이다.

프로그램 코드 패턴이란 프로그래머마다 코딩을 하는 방법이 다르기 때문에 사람의 말투처럼 프로그래머마다 코드 패턴의 특징이 존재한다. 과거 사이버공격의 배후로 북한이 지목받았을 때도 이러한 코드 패턴과 IP 등 다양한 요소들을 분석한 결과였다.

이 코드 패턴은 다른 해커 단체가 한 것처럼 보이기 위해 위조나 포장했을 가능성도 있다.

국내 보안전문업체 이스트시큐리티 관계자는 “워너크라이가 과거 북한 소행의 악성코드가 일부 유사성이 있다는 정황은 있으나 악성코드 패턴은 위조나 포장을 할 수 있기 때문에 북한이 발원지라고 단정하기는 아직 어렵다”고 말했다.

한국인터넷진흥원(KISA)에서도 이번 사이버공격을 북한의 소행으로 보기는 시기상조라고 말한다. 신대규 KISA 침해사고분석단장은 “과거 7·7디도스를 북한 소행으로 봤던 이유는 단순히 코드패턴만 본 것은 아니고 명령 제어서버가 어디에 있는지 등도 파악을 해서 결론을 내렸던 것이다”라면서 “코드 분석도 일반적으로 사용된 패턴이 유사한건지 북한의 특징을 모방한 것인지는 좀더 분석을 해봐야 알 수 있다”고 설명했다.

이번 ‘워너크라이’ 랜섬웨어 공격의 배후에 북한이 있다는 주장에 대해 파이어아이 분석 팀 매니저 존 밀러(John Miler)는 “북한과의 연관성에 대해 조사를 진행했으나, 워너크라이와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분하지 않기 때문에, 현시점에서는 북한의 소행으로 단정짓기는 어렵다”고 했다.

워너크라이 랜섬웨어 감염 화면.