"랜섬웨어 북한 소행 증거 5가지 있다"

과거 북한 소행으로 알려진
악성코드와 '워너크라이' 유사
이번 해킹그룹의 행동패턴도
과거 북한관련 해킹그룹과 비슷

[아시아경제 김동표 기자]랜섬웨어의 지구촌 습격 배후에 북한이 있다는 주장이 제기됐다.

글로벌 보안업체 카스퍼스키는 15일(현지시간) "랜섬웨어 '워너크라이(WannaCry)' 코드가 북한과 관련돼 있다는 새로운 증거를 발견했다"고 밝혔다. 구글 연구원 닐 메타는 "이번 사태를 일으킨 악성코드는 그동안 북한이 일으켰다고 알려지는 광범위한 해킹들과 유사성이 있다"고 지적했다.

전세계를 강타한 랜섬웨어 '워너크라이(WannaCry)'의 배후에 북한이 있다는 주장이 제기됐다.

국내 정보보안업체 하우리의 최상명 실장은 "이번 워너크라이 랜섬웨어의 배후에 북한이 있을 가능성이 있는 것은 사실"이라며 관련된 증황증거 5가지를 공개했다.

먼저 최 실장은 "기존의 북한 백도어 악성코드와 유사하다"고 말했다. 글로벌 보안업체들의 주장과 일치한다. 최 실장은 "소니픽처스, SWIFT 국제금융 등을 대상으로 북한이 과거 사용했던 악성코드 백도어 버전의 암·복호화 로직 등 코드가 이번 워너크라이와 유사하다"고 밝혔다.

워너크라이 랜섬웨어를 만들었다고 주장하는 스팸테크(SpamTect)는 쉐도우브로커스(ShadowBrokers)의 멤버로 구성돼 있다는 점도 의혹을 뒷받침한다. 가디언즈오브피스(GOP)라는 그룹은 과거 소니픽쳐스 사건 때 랜섬웨어로 하드를 파괴한 적이 있다. 그런데 쉐도우브로커스는 GOP와 매우 유사한 방법으로 활동하는 해킹그룹이다. 즉 스팸테크와 쉐도우브로커스, 가디언즈오브피스가 동일한 단체에 가깝다는 주장이다.

북한 역시 랜섬웨어를 제작하고 피해자에게 비트코인 요구하고 있다. 지난해 8월부터 북한은 "랜섬웨어를 제작하고 있고 테스트 중이다"고 밝혀왔다. 최근 국내에서도 랜섬웨어 유포 중이고, 인터파크 사건 등에서 비트코인 요구했다.

최 실장은 "통신프로토콜인 SMB의 취약점을 노려 전세계 서버 장악을 시도한 점도 북한 소행설을 뒷받침한다"고 말했다. 과거 '7.7 디도스', '3.4 디도스', '농협 전산망 마비' 등 봇넷 구축시 주로 SMB 취약점을 이용하여 웜 형태로 전세계 PC들을 장악하여 C&C로 활용해왔다는 것이다.

마지막으로 "북한의 미사일 발사 시기와 글로벌 랜섬웨어 사태가 예사롭지 않다"고 최 실장은 말했다. "랜섬웨어 사태로 전세계가 시끄러운 시점에 미사일을 발사하며 자신들의 전세계 대상으로한 사이버 공격 능력 및 미사일 실력을 과시한 것"이라는 지적이다.

또 다른 글로벌 보안업체 시만텍 역시 보고서를 통해 "이번 랜섬웨어에서 북한의 소행으로 추정되는 과거의 악성코드와 유사한 비슷한 코드를 발견 했다. 다만 공유 코드의 의미를 명확히 밝히기는 어렵다. 더 명확한 연결고리를 찾기 위해 조사 중이다"고 말했다.

다만 코드의 유사성만으로 북한의 소행으로 단정짓기는 어렵다는 주장도 제기된다.

김진욱 이스트소프트 팀장은 "코드를 유사하게 짜는 것은 사실 그리 어려운 일이 아니다. 사람이 누군가의 목소리를 위조·변조하듯이 코드도 위변조가 가능하다. 이번 랜섬웨어가 북한 소행의 가능성이 있는 것은 사실이지만, 조금 더 지켜봐야 한다"고 말했다.

한편 16일(8시 기준) 국내기업 랜섬웨어 감염 신고건수는 10건으로, 밤사이 1건 느는데 그쳤다. 13일부터 16일 8시까지 118상담센터에 접수된 랜섬웨어 관련 문의는 총 3543건으로 집계됐다.

한국인터넷진흥원은(KISA)에 따르면 랜섬웨어 관련 상담 건수는 13일 111건, 14일 517건, 15일 2863건, 16일 52건이다.

김동표 기자 letmein@asiae.co.kr