페트야는 SMB 취약점을 이용했으며, 웜 형태를 띄고 있고, 킬스위치가 없다는 점에서 워너크라이보다 진화된 공격이라는 설명이 가능하다. 워너크라이와 마찬가지로 비트코인을 요구하지 않으며 데이터를 파괴하는데 목적이 있으며, 우크라이나 정부를 정교하게 노렸다는 점에서 사이버전의 성격이 강하다.
IBM 엑스포스 보안연구소는 페트야가 워너크라이보다 더 위험하다고 경고하며, 랜섬웨어 변종 샘플 3자리를 발견했다고 밝혔다. 워너크라이는 MS 윈도우 보안 패치를 적용하면 피해를 막을 수 있지만, 페트야는 윈도우 관리 도구 명령어(WMIC)나 MS의 원격 제어 툴인 PsExes를 통해 연결 네트워크에서 패치가 적용된 시스템을 감염시킬 수 있다. 또한 해킹 프로그램이 포함될 수 있다. 마스터부트레코드(MBR)와 마스터파일테이블(MFT)까지 암호화하며 ‘미샤’라는 랜섬웨어와 함께 배포돼 MS 오피스 등의 개별 파일을 암호화한다.
워너크라이는 킬 스위치를 넣었다는 점, 수익을 목적으로 하지 않았다는 점에서 공격 목표가 불확실했지만, 페트야는 공격 목표가 분명하며, 같은 공격 방식으로 어떤 국가, 어떤 조직이든 피해를 입힐 수 있다는 사실을 입증했다.
공격 목적·목표 정확하게 파악해야
사이버 보안에 있어 ‘소 잃고 외양간 고치기’는 어리석은 행동이 아니다. 소를 잃고도 외양간을 고치지 않는 것이 어리석은 일이다. 공격이 발생했을 때, 무엇을 잃었고, 어떻게 공격을 당했으며, 향후 어떤 공격이 추가로 있을지 정확하게 확인해야 대응할 수 있다. 특히 공격을 일으킨 주범을 파악해야 하는데, 주범을 알면 다음 공격 방식을 예측할 수 있으며, 동종업계의 유사한 피해를 막을 수 있기 때문이다.
문종현 이스트시큐리티 시큐리티대응센터장은 “공격이 발생했을 때 공격자의 목적과 목표, 의도를 잘 살펴봐야 한다. 공격을 통해 누가 어떤 이득을 보게 되는지 파악하면 공격집단을 추정할 수 있다. 우리나라 군과 방산업체, 주요 정부시설을 해킹해 기밀을 빼내가서 이익을 보는 집단이 누구인지, 공격이 발생할 당시 국제 정세는 어떠한지 살펴보면 누가 무슨 목적으로 공격했는지 알 수 있다”고 말했다.
목적과 의도가 분명히 드러난 사고는 소니픽처스 해킹사고이다. 소니픽처스는 북한 김정일 위원장의 암살 사고를 다룬 ‘디 인터뷰’ 개봉을 앞두고 북한을 지속적으로 자극해왔다. 소니픽처스를 해킹한 집단은 소니픽처스가 가진 미개봉작을 인터넷에 유포하는 한편, 소니픽처스 임원들의 사적인 대화까지 공개한 바 있다. 미국 FBI는 이 사고를 조사한 후 북한 소행이라는 결론을 내렸다. 이후 이와 유사한 패턴의 공격의 배후에 북한이 있다는 주장에 힘이 실리게 됐다.
국내 보안사고는 모두 북한 소행?
국내에서 발생하는 대형 보안사고는 대부분 북한이 배후에 있는 것으로 결론지어진다. 2011년 농협 전산망 마비사고부터 시작해 3·4 7·7 디도스 사고, 3·20 전산망 마비 사고, 한수원 해킹, 이니텍 코스서명 탈취, 인터파크 해킹, 군 내부망 해킹, 방산업체 해킹 등 수많은 사고가 북한에 의해 저질러진 것이다.
북한 소행이라는 증거는 ▲이전에 북한이 사용한 악성코드와 동일한 악성코드가 사용됐다 ▲북한이 자주 사용하는 IP가 발견됐다 ▲정치·사회적으로 북한이 얻을 이익이 크다 등이 지목된다.
그동안 IT 사고를 북한 소행으로 떠넘기면서 기업에 면죄부를 주고 수사당국의 책임을 회피하는 한편, 공안정국으로 몰아가고 민간에 대한 광범위한 사이버 사찰까지 가능한 테러방지법을 만들기 위한 것이라는 비판을 받아왔다.
그러나 소니해킹 이후 일부 공격은 북한이 일으킨 것이라는 추정이 정설처럼 굳어졌다. 미국 FBI가 수사한 결과이니 믿을 수 있다는 점과, 국내 보안 전문가들이 수년간 추적해 얻은 결론인 만큼 신뢰할 수 있다는 의견이 힘을 얻고 있다.
시만텍은 워너크라이가 ‘라자루스’ 그룹의 소행이라고 발표하면서 북한 소행을 확신한다고 밝혔다. 라자루스는 소니픽처스를 해킹한 범인으로 지목되고 있으며, FBI는 그들이 북한이라고 발표했다.
처음 워너크라이 배후로 지목된 러시아에서도 이 사고의 배후에 북한이 있다고 밝혔다. 카스퍼스키랩은 구글 보안연구원이 워너크라이 랜섬웨어와 라자루스의 연관성에 대한 의견을 트위터에 올렸는데, 그 트윗은 북한 해커 프로파일로 분류되는 코드였다.
카스퍼스키랩은 이 코드가 라자루스 그룹이 이용한 샘플과 유사하다고 결론내리면서도, 이 증거는 공격자를 은폐하기 위한 것일 가능성도 있다고 밝혔다. 구글 보안연구원이 공개한 코드는 실제 공격에서는 제거됐으며, 카스퍼스키랩은 공격자 추적을 막기 위해 코드를 삭제한 것일 수 있다고 추측했다.
최상명 하우리 CERT 실장은 “공격자의 의도를 정확하게 알 수는 없으며, 범죄자를 검거하기 전까지 실제 공격자를 정확하게 알기는 어려운 것이 현실”이라며 “그러나 워너크라이는 북한과 연관됐다고 확신할 수 있는 증거가 충분히 수집됐다. 또한 북한은 연이은 미사일 발사 실패와, 미국의 대북경제제재 강화로 국내 정치 세력이 흔들리고 있는 상황이다. 외화벌이와 함께 자국민의 자존감을 높여 국민을 단결시키기 위한 방법으로 사이버전 능력을 과시했을 가능성이 있다”고 말했다.
그는 다른 조직이 북한에게 뒤집어씌우기 위해 증거를 위장한 것일 가능성에 대해 “만약 그렇다면 매우 정교하게 만들어진 시나리오가 있을 것이라고 본다. 보통의 악성코드 분석가들이 알 수 없는 북한만의 공격코드가 들어있는데, 이 증거는 위조하기가 쉽지 않다”며 “또한 북한에 뒤집어씌우려면 그만한 목적이 있어야 하는데, 결과적으로는 해킹 능력을 과시한 것 외에는 공격자가 얻는 이익이 없다”고 설명했다.
사이버전, 양치기 소년의 늪에 빠져서는 안돼
범죄수사에서는 ‘무죄추정의 원칙’을 따르게 된다. 범죄에 대한 확실한 증거와 증언이 있다 해도 법정에서 유죄로 결론짓지 않으면 무죄라고 여겨야 한다는 것이다. 증거와 증언은 얼마든지 위조될 수 있으며, 죄 없는 사람을 죄인으로 만드는 것도 쉬운 일이기 때문이다.
사이버 범죄 수사에서는 ‘무죄추정의 원칙’이 지켜지지 않는 것일까? 중요 사이버 범죄 그룹으로 추정되는 세력들은 거의 확실하다고 믿어지는 범죄증거와 정황이 있으며 일부 범죄조직은 수사당국에 의해 검거되기도 했다. 북한은 그 많은 해킹공격을 감행했을지는 알 수 없다. 현재 드러난 증거로는 일부는 북한이 연루돼 있을 것으로 보이지만, 일부는 아닐 가능성도 있다.
그럼에도 불구하고 ‘사이버 공격은 북한 소행’이라는 발표에 강력한 불신을 표하는 사람들이 매우 많다. 국내에서 정치적으로 이용하기 위해 북한의 사이버전 능력을 과대평가하고 있으며, 결과적으로 북한의 외화벌이에 도움을 주고 있다는 지적도 나온다.
‘북한발 사이버 공격’에 대한 인식은 ‘양치기 소년’에 가깝다. 실제로 늑대가 나타났을 수 있지만 그동안의 신뢰할 수 없는 정치적 해석으로 인해 눈에 보이는 늑대조차 믿지 않는 것일 수 있다. 이번에는 해외 전문가들이 ‘북한의 사이버 공격’이라고 발표하자 ‘북한소행’에 비판적인 입장을 보이던 사람들도 북한의 사이버전 능력을 믿기 시작했다. 이를 두고 ‘일종의 사대주의’라고 비판하기도 한다.
사이버전은 사대주의에 빠져서도 안 되고, 양치기소년이 되어서도 안 된다. 무죄추정의 원칙을 지켜야 하는 것은 아니며, 확실한 정황과 증거가 있어 특정 배후 세력에 대한 수사를 진행해야 한다. 동시에 다른 범죄조직의 가능성도 완전히 배제해서는 안 된다. 위조된 증거를 갖고 수사하는 경찰을 범죄자가 비웃는 장면은 영화와 드라마에서 많이 보아왔다. 사이버 범죄에서도 이와 같은 일이 벌어지고 있지 않으리라는 법은 없다.
최상명 실장은 “우리나라에서 발생하는 모든 사이버 범죄가 ‘북한 소행’으로 결론지어진다며 정부와 보안업체의 발표를 믿지 않는 풍조가 계속되고 있다. 실제로 전 세계에서 발생하는 보안사고 중 북한이 벌인 것으로 추정되는 것은 극히 일부에 지나지 않지만 국내에서 북한의 사이버 공격에 관심이 많으니 알려진 모든 공격은 북한 소행인 것으로 인식되는 것”이라고 지적했다.
이어 그는 “여론을 조작하고 사회를 혼란에 빠뜨리는 것도 사이버 심리전의 하나로 경계해야 한다. 누가 공격을 벌이고 있으며, 어떻게 막아야 하는지 객관적인 증거를 갖고 분석하고 예측해 사고를 막아야 한다”고 강조했다.
