전 세계를 위협하고 있는 랜섬웨어 ‘워너크라이’의 배후에 북한이 있다는 주장이 힘을 얻고 있다. 그러나 ‘북한’이라고 특정할 수 없다는 주장도 제기됐다. 파이어아이가 16일 발표한 보고서에서는 “북한 해킹 그룹이 사용하는 멀웨어와 유사점이 충분하지 않다”고 지적했다.

존 밀러(John Miler) 파이어아이 분석팀 매니저는 “북한과의 연관성에 대해 조사를 진행했으나, 워너크라이와 배후로 지목된 북한 해킹 그룹이 사용하는 멀웨어 간의 유사점이 충분하지 않기 때문에, 현시점에서는 북한의 소행으로 단정짓기는 어렵다. 하지만 파이어아이는 지속적으로 가능한 모든 시나리오를 면밀히 조사할 예정이다”라고 밝혔다.

“다크서울-라자러스-워너크라이 유사점 있어”

워너크라이가 북한의 소행이라는 분석은 우리나라 뿐만 아니라 글로벌 보안 기업들에서도 주장하는 사실이다. 카스퍼스키랩은 지난 2월 발견된 워너크라이 초기 버전이 2년 전 발견된 해커조직 라자러스그룹의 백도어 코드 샘플과 유사점이 있다는 사실을 밝혔다.

라자러스 그룹은 지난해 방글라데시 중앙은행 SWIFT 해킹 사고를 일으킨 것으로 알려지고 있으며, 이들이 사용한 악성코드에서 소니픽처스 해킹사고를 일으킨 다크서울의 흔적이 있는 것으로 알려진다.

미국 CIA는 이 사고를 분석한 결과를 발표하면서 “북한이 배후에 있다”고 공식 발표했다. 다크서울은 3·20 전산망 마비사고를 비롯해 국내에서 발생한 여러 사이버 보안 사고를 일으킨 공격그룹으로 지목된다.

다시 정리하면, 북한이 배후에 있을 것으로 추정되는 다크서울 공격그룹이 사용하는 공격 도구와 라자러스 공격그룹이 사용하는 도구에 유사점이 있으며, 워너크라이와도 유사점이 있다는 것이다. 세 공격그룹이 공통된 유사점을 갖고 있는지는 알려지지 않았다.

“북한 공격 방식과 유사하다”

공격에 사용된 도구에 유사한 점이 있다고 해서 특정 집단이 공격 배후에 있다고 단정할 수 없다. 파이어아이 보고서가 이를 뒷받침하는데, 같은 공격집단에 의해 발생한 사고라고 단정 지을 만큼 충분한 유사점이 발견되지 않았으며, 일부 유사한 코드가 발견됐다고 해서 같은 공격집단에 의한 것이라고 분석할 수는 없다는 것이다.

국내 보안 전문가들은 워너크라이 랜섬웨어가 ▲북한이 자주 사용하는 독특한 코드다 ▲워너크라이 랜섬웨어 제작자라고 주장하는 스팸테크는 소니픽처스 공격과 유사한 방법으로 활동하고 있다 ▲지난해 북한이 랜섬웨어를 제작·테스트하고 있다고 밝혀 외화벌이를 위해 랜섬웨어 공격을 할 가능성을 시사한 바 있다 ▲7·7 디도스, 3·4 디도스 등이 SMB 취약점을 이용해 봇넷을 구축해 공격한 것이다 ▲랜섬웨어와 북한 미사실 발사 시기가 일치하는 점을 미뤄봤을 때, 자신의 사이버 공격과 미사일 실력을 과시했다 등의 사실을 들어 북한 배후설을 강조하고 있다.

‘북한의 공격도구’…얼마나 신뢰할 수 있나

이 같은 사실은 북한의 사이버전을 오랫동안 분석하고 추적한 국내 보안 전문가들의 분석 결과인 만큼, 어느 정도 신뢰할 수 있는 결과라는 것이 업계의 전체적인 의견이다. 몇 몇 글로벌 보안 기업들도 북한 배후설을 흘리면서 이러한 주장에 힘을 실어주고 있는 것이 사실이다.

북한 배후설의 출발은 ‘북한이 자주 사용하는 공격 방식’이다. 이 가정이 절대적으로 신뢰할 수 있는지 의심해 볼 필요는 있다. 미국 CIA가 ‘소니픽처스 공격은 북한’이라고 단정한 것 때문에 이와 유사한 공격의 배후에는 북한이 있다는 주장에 힘이 실리고 있지만, 북한이 아니라 다른 공격조직의 소행일 가능성이 없는 것은 아니다.

북한이 사용한 유니크한 코드가 있으며, 공격 방식이 유사하다는 점은 북한의 소행이라는 절대적인 근거로 사용된다. 이와 같은 사실은 북한이 저지른 범죄라는 것을 알리는 증거도 될 수 있지만, 다른 공격 조직이 북한이 사용한 공격 방식을 따라한 모방범죄일 가능성도 열려있다.

심재홍 한국인터넷진흥원 침해사고분석단 종합분석팀장은 “지문이 범죄 수사 시 결정적인 증거로 채택되는 것처럼 사이버 공격에서도 해커의 고유한 특징(악성코드, 침투 기법 등)이 드러나는 경우도 있다. 공격에 대한 분석 중 공격지 IP 등이 명확하게 드러나는 경우 해커 조직 또는 그 배후를 특정 지을 수 있다”며 “하지만 모방범죄일 경우 보안 전문가들도 그 배후를 특정 짓는 데 어려움이 있다. 다만 한 가지 단서만으로 해커 조직을 특정 짓기 보다는 여러 가지 분석 정보를 종합하여 그 배후를 가리기 위해 노력하고 있다”고 말했다.

다른 국가·돈벌이 위한 범죄조직 가능성은

사이버 공격 후 미사일 발사를 했던 정황을 보면 북한일 가능성이 높다는 가정을 빼고, 러시아나 중국이 배후에 있다는 가정을 넣는다면 어떨까.

미국 FBI는 지난해 대선 당시 트럼프 캠프와 러시아가 내통했다는 의혹을 갖고 수사를 진행하고 있으며, 얼마 전 트럼프 대통령이 이 수사를 책임지고 있는 제임스 코미 FBI 국장을 해임하는 등 미국 정부와 의회, 러시아의 갈등이 심화되고 있는 상황이다. 중국은 사드 배치로 인한 한국·미국과 갈등을 벌이고 있으며, 국내 기업들은 중국 해킹그룹에 의한 사이버 공격을 당하고 있는 상황이다.

랜섬웨어가 사이버 범죄 시장의 ‘신흥’ 돈벌이 시장으로 떠오른 만큼, 국적과 상관없이 돈을 벌고 싶어 하는 공격자 집단일 가능성도 배제할 수 없다. 라자러스, 다크서울 등 조직된 범죄자 집단일 수 있고, 이들의 일부일 수도 있으며, 이들보다 더 큰 조직 혹은 하부조직 일 수도 있다.

특정 국가 혹은 정부 조직이 정치자금을 마련하기 위해 공격을 벌일 가능성도 배제할 수 없으며, 그 배후에 북한이 있을 수도 있다. 그러나 아직 정확하게 북한이 벌인 일이라고 단정할 수 있는 증거가 나온 것은 아니다.

권석철 큐브피아 대표는 “사이버 공격은 모방범죄가 얼마든지 가능하다. 공격 배후에 북한이 있을 수도 있고, 다른 나라 정부가 있을 수도 있고, 여러 국가 출신으로 이뤄진 집단일 수도 있다. 중요한 것은 공격이 발생하고 있고, 진화하고 있으며, 매우 중요한 시스템이 위험에 직면해 있다는 사실”이라며 “특정 정치 집단을 공격 배후로 지목하고 정치적으로 이용하려는 것은 사이버 보안에 대한 신뢰를 낮추는 요인이 된다. 공격의 배후에 누가 있는지 보다, 공격 피해를 입지 않도록 하는 것이 급선무”라고 지적했다.