[디지털데일리 최민지기자] 전세계를 덮친 워너크라이 랜섬웨어 공격 배후에 북한이 있다는 주장이 나왔다.

16일 포브스 등 주요 외신은 보안전문가들이 워너크라이 랜섬웨어의 배후로 북한을 지목하고 있다고 보도했다. 구글 보안 연구원인 닐 메타가 워너크라이 랜섬웨어와 북한을 배후로 꼽았던 해킹 사례 간 악성코드 유사성을 보여주는 게시물을 게재했기 때문이다.

2014년 소니픽처스 해킹, 방글라데시 중앙은행 해킹 사건 등 스위프트(SWIFT) 국제 금융 대상 공격은 라자루스(Lazarus) 해커집단의 소행으로 알려져 있다. 라자루스 배후에는 북한이 있는 것으로 알려져 있다.

여기서 사용한 악성코드의 백도어 버전에서 암·복호화 로직 등 코드가 이번 워너크라이 랜섬웨어 코드와 유사하다는 것이다.

이러한 의견이 제기되자 러시아 보안업체인 카스퍼스키랩은 “워너크라이 초기 버전에 대한 연구가 필요하다”며 “닐 메타의 발견은 지금까지 나온 것 중 가장 중요한 단서”라고 말했다.

카스퍼스키랩은 이번 랜섬웨어에서 발견된 코드가 라자루스의 코드와 유사한다는 데 동의하고 있다. 시만텍도 워너크라이 랜섬웨어와 라자루스 해킹툴 간 유사성을 발견했지만, 이번 랜섬웨어에 적용된 라자루스 툴을 정확히 확인하지는 못했다. 시만텍은 주요 사이버그룹과 연관성이 있는지 조사 중이다.

앞서, 시만텍은 은행 간 국제전자결제에 이용되는 스위프트(SWIFT) 공격의 배후 세력으로 북한을 지목하며, 10억달러를 목표로 공격을 실시해 9400만달러를 탈취했다고 언급한 바 있다.

일부 보안전문가들은 스팸테크와 쉐도우브로커스, 가이언스오브피스(GOP)가 모두 같은 조직이며 배후에 북한이 있다고 주장하고 있다. GOP는 소니픽처스 사건 때 자신들의 소행이라고 주장했는데, 쉐도우브로커스는 GOP와 유사한 방법으로 활동하는 조직이다. 워너크라이 랜섬웨어를 만들었다고 주장하는 스팸테크는 쉐오두브로커스에서 활동했던 멤버들이 나와서 꾸린 조직이다.

최상명 하우리 CERT 실장은 “스팸테크, 쉐도우브로커스, GOP 세 조직이 이름만 다른 동일한 조직이라는 의견도 나오고 있다”며 “GOP는 북한의 소행으로 나와 있다”고 말했다.

GOP는 김정은 북한 국방위원장 암살을 다룬 영화 제작사 소니픽처스를 해킹했으며 미국 국가안보국(NSA)은 북한 공격으로 발표했다. 당시 북한정부는 해당 영화를 개봉하는 국가에는 무차별적 보복을 가할 것이라 협박한 바 있다.

최 실장은 “지난해 8월부터 북한은 랜섬웨어를 제작하고 있고 테스트하고 있다고 밝혔으며, 최근 국내에서도 랜섬웨어를 유포하며 인터파크 사건 등에서 비트코인을 요구했다”며 “기존 7.7 디도스, 3.4 디도스, 농협 전산망 마비 등 봇넷 구축 때 주로 SMB 취약점을 이용해 웜 형태로 전세계 PC들을 장악해 명령제어(C&C)서버로 활용했다”고 설명했다.

이어 “랜섬웨어 사태로 전세계가 시끄러운 시점에 미사일을 발사하며 사이버 공격 능력 및 미사일 실력을 과시한 것으로 해석 가능하다”며 “북한 소행으로 추정되는 상황이며, 정확한 결과는 더 지켜봐야 할 것”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr