침해사고/위협동향

시만텍, “워너크라이 랜섬웨어, 북한 배후 라자루스와 연관성” 주장

최민지

[디지털데일리 최민지기자] 전세계를 강타한 워너크라이(WannaCry) 랜섬웨어 공격의 배후에 북한이 있다는 의혹이 또다시 제기됐다.

22일(현지시간) 글로벌 보안기업 시만텍은 공식 블로그를 통해 워너크라이 랜섬웨어가 라자루스(Lazarus) 해킹그룹과 강력한 연광성이 있다고 밝혔다. 라자루스는 2014년 미국 소니픽처스, 지난해 방글라데시 중앙은행 등을 해킹한 사이버범죄 조직으로 북한이 배후에 있는 곳으로 알려져 있다.

앞서, 카스퍼스키랩은 워너크라이 랜섬웨어가 라자루스 그룹에서 이용한 악성코드와 유사성이 있다는 의견을 내놓은 바 있다. 이때까지만 해도 카스퍼스키랩, 시만텍 모두 북한 배후에 대해 신중한 입장을 취했다.

그러나 이번에 시만텍은 라자루스 그룹의 소행으로 확신하며 북한배후설에 무게를 실었다. 과거 시만텍은 방글라데시 은행 공격이 북한과 관련돼 있다는 증거를 발견했다며, 이 공격에 사용된 악성코드 ‘Trojan.Banswift’를 분석한 결과 라자루스(Lazarus) 그룹이 사용한 툴과 동일한 코드를 이용하고 있다고 한 바 있다. 미국 FBI 또한 라자루스 배후에 북한 정부가 있다고 언급했었다.

시만텍 연구진은 회사 공식 블로그를 통해 “워너크라이 랜섬웨어 공격에 사용된 도구와 인프라는 8100만달러를 훔친 방글라데시 중앙은행 사건과 소니픽처스 공격을 수행한 라자루스 그룹과 강력한 연관성을 보이고 있다”고 말했다.

시만텍은 지난 몇 개월간의 워너크라이 랜섬웨어의 공격을 분석해 라자루스 그룹과 연관성을 확인했다고 설명했다.

워너크라이 랜섬웨어 초기 버전의 경우, 라자루스가 공격에 사용한 도구, 기술, 인프라의 상당 부분이 유사하다는 것이다.

지난 2월 워너크라이의 첫 번째 공격이 발생했다. 당시 피해자 네트워크에서 라자루스와 연관된 3개의 멀웨어가 발견됐다. 트로이목마 볼그머(Trojan.Volgmer), 변종 백도어 데스토버(Backdoor.Destover), 디스크 와이핑 툴이다. 이는 소니픽처스 공격 때 사용한 도구와 연관돼 있는 것으로 알려져 있다. 디스크 와이핑 툴은 데이터를 복구할 수 없도록 하는 파괴적인 악성코드다.

시만텍이 워너크라이를 처음 발견한 것은 지난 2월10일이다. 당시 감염된 조직에서는 1차 감염 2분 만에 100대 이상의 컴퓨터로 확산됐다. 시만텍 분석에 따르면, 당시 공격에서 발견된 5개의 악성코드 가운데 앞서 언급한 3개가 라자루스 그룹과 연관이 있는 악성코드인 것으로 나타났다.

두 가지는 소니픽처스 공격에 사용된 데스토버(Backdoor.Destover)의 변종이며, 다른 하나는 과거에 라자루스 그룹이 대한민국을 겨냥한 공격을 감행했을 때 사용했던 볼그머 트로이목마(Trojan.Volgmer)인 것으로 확인됐다.

이후 3월 말 새로운 버전의 워너크라이가 발견된 2차 공격에서 워너크라이와 라자루스 그룹 배후에 있는 공격자들 간에 연관성이 있음을 입증해주는 정보들이 모아졌다.

1·2차 공격의 워너크라이 랜섬웨어에서 라자루스 그룹이 전통적으로 사용해온 악성코드가 발견된 반면, 5월12일 3차 공격에서는 MS 윈도 운영체제의 SMB 취약점(CVE-2017-0144 및 CVE-2017-0145)을 이용한 ‘EternalBlue’ 익스플로잇을 통합해 한층 진화한 버전의 워너크라이가 배포됐다.

새로운 버전의 워너크라이는 랜섬웨어와 웜이 결합돼 네트워크와 인터넷을 통해 패치가 되지 않은 컴퓨터를 중심으로 빠르게 확산됐으며, 최근 몇 년간 발견된 악성코드 가운데 손꼽히는 강력한 악성코드로 파괴력을 갖게 됐다.

워너크라이 확산에 사용된 툴의 유사점 외에도, 워너크라이 공격과 라자루스 사이에는 여러 관련성이 존재하고 있다. 워너크라이는 과거 라자루스와 연관성이 있었던 콘토피 백도어(Backdoor.Contopee)와 악성코드를 공유하는 것으로 확인됐다.

3월과 4월 워너크라이 확산에 이용된 ‘Trojan.Alphanc’은 ‘백도어.듀저(Backdoor.Duuzer)’가 수정된 형태다. 이 또한 라자루스와 연결돼 있다는 주장이다. ‘Trojan.Bravonc’은 백도어.듀저 및 백도어.데스토버와 동일한 IP 주소를 사용해 라자루스와 연결돼 있다. 또, 워너크라이는 라자루스와 관련된 악성코드인 페이크퓨드(Infostealer.Fakepude)와 유사한 코드 난독화를 사용하고 있다.

국내 보안전문가들도 지난 4월부터 워너크라이로 불리는 워너크립토 랜섬웨어와 지난 2015년 2월 한국에 보고된 북한 악성파일을 비교하며 북한을 배후로 지목한 바 있다.

윤광택 시만텍코리아 CTO는 “워너크라이 랜섬웨어를 분석한 결과, 사용된 코드와 인프라, 기술 등 여러 가지 요소가 과거 소니픽처스나 방글라데시 은행을 공격한 라자루스 그룹이 사용한 것과 기술적 연관성이 상당히 높은 것으로 확인돼 워너크라이 랜섬웨어의 배후에 라자루스 그룹이 있는 것으로 보고 있다”고 말했다.

이어 “다만, 워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아니라, 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널