[디지털데일리 이종현기자] “‘워너크라이(WannaCry)’ 랜섬웨어는 규칙에 따라 행동하지 않으며 자국의 이익을 위해 다른 나라에 피해를 입히겠다는 고립된 북한 정권의 능력과 의지를 나타냈습니다.”(맨디언트 유럽·중동·아프리카 위협 인텔리전스 책임자 옌스 몬래드(Jens Monrad))

12일 글로벌 보안기업 맨디언트는 2017년 5월 12일 워너크라이 사태 5주년을 맞아 사건 이후 북한의 해킹 능력이 어떻게 발전해왔는지에 대한 성명을 내놨다.

맨디언트 유럽·중동·아프리카(EMEA)지역 위협 인텔리전스 책임자 옌스 몬래드는 “워너크라이는 가장 광범위하고 파괴적인 랜섬웨어 공격 중 하나다. 국가 지원을 받는 사이버공격의 중요한 분기점이었다”며 “북한은 워너크라이 이후 5년이 지난 지금에도 공격을 지속하고 있다”고 꼬집었다.

워너크라이의 배후로 알려진 것은 북한 정찰총국 산하 해킹그룹 라자루스(Lazarus)다. 맨디언트에 따르면 라자루스가 북한 사이버공격자를 지칭하는 포괄적 용어로 자주 사용되나, 실제로는 서로 다른 목적을 달성하기 위해 국가 차원에서 개별 그룹으로 운영하는 공격 클러스터로 구성돼 있다.

북한의 사이버 스파이 활동의 경우 정권의 즉각적인 우려와 우선순위를 반영하는 것으로 추정되는데 현재는 ▲암호화폐 갈취를 통한 금전적 자원 획득 ▲언론, 미디어 및 정부기관 ▲외교 관계 및 핵 정보 갈취에 초점을 맞추고 있는 것으로 보인다는 것이 맨디언트의 분석이다.

다만 공격 그룹 간에 인프라, 멀웨어 및 TTPs(전술, 기법 및 절차)가 겹치고, 사이버 공격 간에 공유된 자원이 있는 만큼 조직적인 협업이 이뤄지고 있는 것으로 추정된다. 맨디언트는 평가를 바탕으로 스파이 활동, 파괴 작전, 금융범죄 등 북한의 사이버 작전의 대부분이 북한 정찰총국에 의해 주로 수행되고 있음을 확인했다고 전했다.

옌스 몬래드는 “워너크라이 랜섬웨어 공격 이후 5년이 지났지만 북한 공격 그룹들은 여전히 전 세계에 계속해서 심각한 위협을 가하고 있다. 이를 사전에 방어하는 데 도움이 될 수 있는 목표 패턴을 식별하기 위해서는 그들의 구조와 능력에 대한 정보를 계속 수집해야 한다”고 경고했다.

한편 2021년 미국 법무부는 북한 소속 해커 3명을 기소, 사진을 공개했다. 소니픽처스 공격 및 방글라데시 은행 해킹, 워너크라이 공격 등을 기소 배경으로 꼽았는데 ▲박진혁 ▲전창혁 ▲김일 등 3명이 대상이다. 박진혁이 몸담고 있는 것으로 알려진 유령기업 ‘조선 엑스포’의 경우 유럽연합(EU)의 제재 대상에도 올랐다.