15일 미래창조과학부가 국가 사이버위기 경보 단계를 ‘관심’에서 ‘주의’로 상향 조정한 가운데 서울 중대로 한국인터넷진흥원 인터넷침해 대응센터 종합상황실에서 직원들이 랜섬웨어와 관련해 상황을 주시하고 있다./이호재기자.전 세계를 강타한 워너크라이(Wannacry) 랜섬웨어의 배후에 북한이 있다는 주장이 제기되고 있다. 일각에서는 악성 코드를 유사하게 짜는 것은 마치 ‘성대모사’ 같이 위변조가 가능하다는 점에서 속단은 이르다는 견해도 나온다.
15일(현지시간) 글로벌 보안업체 카스퍼스키는 15일(현지시간) “랜섬웨어 ‘워너크라이(WannaCry)’ 코드가 북한과 관련돼 있다는 새로운 증거를 발견했다”고 밝혔다.
워너크라이 사태에 북한이 관련됐을 가능성은 구글 소속 연구원으로부터 처음 제기됐다. 구글의 정보보안 전문가 닐 메타가 워너크라이 랜섬웨어와 그간 북한이 배후로 알려졌던 해킹 사례 간 유사점을 보여주는 컴퓨터 코드를 온라인에 게재했고, 러시아 사이버보안 기업 카스퍼스키는 이를 토대로 북한 배후설을 제기했다.
카스퍼스키는 워너크라이 초기 버전에서 발견된 코드가 지난 2014년 소니픽처스 해킹, 방글라데시 중앙은행 해킹 사건의 배후로 추정됐던 해커조직 ‘라자루스’(Lazarus)가 사용한 코드와 일치한다는 점을 시사한다고 지적했다. 북한과 연계된 해킹단체로 알려진 라자루스는 2009~2013년 발생한 한국 정부 기관과 언론, 방송사 등에 대한 해킹 사건때에도 배후로 지목됐다.
카스퍼스키는 “워너크라이의 초기 버전에 대해 추가 연구가 필요하다”며 “이번 사태를 둘러싼 미스터리에 열쇠를 쥐고 있을 수 있다. 닐 메타의 발견은 워너크라이 근원지에 대해 지금까지 나온 가장 중요한 단서”라고 밝혔다. 이스라엘 소재 온라인 보안업체 ‘인터저 랩’도 워너크라이 랜섬웨어 사태에 북한이 관련돼있을 가능성에 동의했다.
국내 보안업계도 북한이 배후에 있을 가능성에 대해서는 동의하고 있다. 소니픽처스, SWIFT 국제금융 등을 대상으로 북한이 과거 사용했던 악성코드 백도어 버전의 암·복호화 로직 등 코드가 이번 워너크라이와 유사하고, 과거에도 북한은 SMB 취약점을 이용해왔다는 이유다. 최근 북한의 미사일 발사 시기와 겹친다는 점에서 사이버·미사일 능력을 과시하려던 의도라는 분석도 나온다.
글로벌 보안업체 시만텍은 보고서를 통해 “이번 랜섬웨어에서 북한의 소행으로 추정되는 과거의 악성코드와 유사한 비슷한 코드를 발견 했다”며 “다만 공유 코드의 의미를 명확히 밝히기는 어렵다. 더 명확한 연결고리를 찾기 위해 조사 중”이라고 말했다.
이에 대해 국내 한 보안업계 관계자는 “코드를 유사하게 짜는 것은 그리 어려운 일이 아니다”라면서 “누군가의 목소리를 위조·변조하듯 코드도 위변조가 가능하기 때문에 이번 사태가 북한의 소행이라고 단정짓기는 어렵다”고 말했다.
