“워너크라이 북한 배후설, 결정적 증거 없다”
상태바
“워너크라이 북한 배후설, 결정적 증거 없다”
  • 김선애 기자
  • 승인 2017.10.16 16:11
  • 댓글 0
이 기사를 공유합니다

KISA “라자루스와 유사 점 있지만 결정적 증거 확보 못해…민·관 협력으로 워너크라이 피해 크게 줄여”

북한의 사이버전 능력이 전 세계 7위 정도에 이르며, 정치자금을 마련하기 위해 전 세계 금융기관과 가상화폐 거래소 등을 해킹하고 있다는 분석이 연이어 나오고 있다. 특히 지난 5월 발생한 워너크라이 랜섬웨어이 배후로 지목되면서 북한이 언제든 전 세계 인터넷을 장악할 수 있는 능력을 갖추고 있다는 지적도 나오고 있다.

그러나 워너크라이는 북한이 일으킨 공격이라는 증거가 부족하다는 반박도 나온다. 한국인터넷진흥원(KISA)의 ‘워너크라이 분석 스페셜 리포트’에 따르면 워너크라이 랜섬웨어의 경우, 공격에 사용된 악성코드가 라자루스의 악성코드와 유사성이 있지만, 결정적인 증거는 확보되지 않은 것으로 나타났다.

라자루스는 방글라데시 중앙은행을 해킹한 주범으로 지목되고 있으며 소니픽처스를 해킹한 다크서울과 동일하거나 관련 있는 조직으로 추정된다. 미국이 소니픽처스 해킹은 북한이 저지른 일이라고 발표하면서 라자루스와 다크서울이 동일한 조직이고, 그 배후에 북한이 있다는 분석이 정설로 인식되고 있다.

워너크라이에서 사용된 악성코드와 C&C가 라자루스가 사용했던 것과 동일하다는 사실이 알려지면서 북한 배후설에 힘을 얻고 있지만, 일각에서는 공격자들은 다른 조직이 사용하는 코드를 재사용하는 만큼, 북한의 짓이라고 특정하기는 어렵다는 주장도 힘을 얻고 있다.

KISA 보고서에서는 “KISA와 인텔리전스 네트워크에서도 이를 확인해 본 결과 해당코드가 유사성을 가짐을 확인할 수 있었다. 하지만, 결정적인 증거는 확보되지 않은 상황이다. 국내 보안전문가들도 이번 워너크라이 사고가 소니픽쳐스 해킹사태와 유사함을 지적하며 관련 증거를 확보하기 위해 지속적으로 모니터링을 진행하고 있다”고 말했다.

▲워너크라이 작동 매커니즘

“악성코드 재사용은 해커들이 흔히 사용하는 방식”

한편 보고서에서는 해외 보안 기업의 분석을 소개하며, 북한 배후설과 이를 반박하는 주장에 대해 상세히 설명했다.

북한 배후설은 구글, 카스퍼스키랩, 시만텍 등 많은 해외 기업에서 주장하는 내용으로, 세계적인 사이버 공격 그룹 라자루스(Lazarus)가 사용한 악성코드와 C&C가 포함돼 있다는 사실을 근거로 든다. 또한 공격에 사용된 워드프로그램의 기본 설정 언어가 한국어이며, 공격자의 시간대 역시 중국이나 북한과 관련 있는 것으로 보인다는 것이었다.

북한이라는 근거가 부족하다고 반박하는 주장은 플래쉬포인트, 싸이버리즌 등에서 나온 것으로, 공격에 사용된 악성코드는 오래된 기술로 코드 재활용은 해커들이 흔히 이용하는 방법이라고 주장했다. 또한 재활용된 코드 영역이 일반적인 함수 호출이며, 북한의 코딩 방식을 특징할 수 있는 근거가 부족하다고 설명했다.

랜섬노트는 영어와 중국어는 사람이 작성한 것이지만, 다른 언어는 문법적 오류가 다수 포함돼 있어 번역된 것으로 보이며, 특히 한국어는 다른 언어를 번역기로 변환한 것으로 보인다고 분석했다.

민관 합동대응으로 워너크라이 피해 줄여

워너크라이는 올해 2월 최초 발견됐으며, 공격에 사용된 것은 미국 NSA가 개발한 이터널 블루 취약점을 입수한 해커들이 5월 전 세계 인터넷에 연결된 기기를 대상으로 공격을 진행했다. 워너크라이 최초 유포 경로는 밝혀지지 않았으나, 스피어피싱이나 해킹된 웹사이트 방문으로 감염된 후 주변 국가로 확산·전파된 것으로 추정된다.

워너크라이는 인터넷에 연결된 기기 중 윈도우 SMB 취약점을 가진 기기를 대상으로 스스로 복제하며 전파된다. 우리나라에서는 다른 나라에 비해 피해가 적은 편이었는데, 공격이 주로 일어난 시간이 주말이었으며, 관계기관의 발 빠른 대처로 피해를 줄일 수 있었던 것으로 분석된다.

해외에서 사고가 보고된 후 과학기술정보통신부, KISA 및 관계기관과 기업들이 TV, 인터넷 포털 등을 통해 대응 방법을 정확하게 알렸으며, 통신·보안업체들과 비상대응체계를 구성·운영하며 관련정보를 공유하고 피해 확산을 막았다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.