“평창올림픽 타깃 공격, 북한 소행 아닌 듯”
상태바
“평창올림픽 타깃 공격, 북한 소행 아닌 듯”
  • 김선애 기자
  • 승인 2018.03.19 08:51
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩 “라자루스 공격집단으로 위장한 다른 공격그룹 가능성 있어…러시아 공격 조직의 TTP 발견”

평창 동계올림픽을 타깃으로 한 악성코드 ‘올림픽 디스트로이어(OlympicDestroyer)’의 배후 국가로 북한, 러시아, 중국 등이 언급되지만, 다른 공격 집단이 이들의 행위처럼 보이도록 위조했을 가능성이 제기됐다.

카스퍼스키랩은 올림픽 디스트로이어 악성코드에 사용된 특징을 분석한 결과 북한, 러시아, 중국 등을 기반으로 한 공격자들이 사용하는 것과 다른 특징이 발견됐다고 밝히며 공격자들이 증거를 조작했을 가능성이 있다고 설명했다.

지금까지 올림픽 디스트로이어는 북한과 관련이 있는 것으로 추정되는 라자루스(Lazarus) 공격집단의 행태와 매우 유사한 것으로 알려지고 있다. 라자루스 악성코드와 올림픽 디스트로이어에서 추출된 악성코드의 지문이 100% 일치했으며, 공격 전략, 기법, 기술(TTP)이 매우 유사해 라자루스 그룹에 의한 공격으로 결론 내렸다.

그러나 올림픽 디스트로이어에 감염된 다른 시설에서는 TTP나 동기와 다른 점이 있다는 사실이 나타났다. 카스퍼스키랩은 올림픽 디스트로이어를 수동으로 검증한 결과 라자루스가 사용하는 것과 완벽하게 일치되도록 위조됐지만, 라자루스가 몇 가지 특성은 일치하지 않은 것을 발견했다.

카스퍼스키랩은 라자루스와 일치하는 것으로 분석된 1차 지문은 개발자가 의도적으로 악성 코드 내에 심어둔 위장 증거라는 결론을 내렸다. 분석 팀이 확실한 증거를 찾은 것으로 착각하게 만들어 더욱 정확한 추적을 방해하는 것이 이 위장 지문의 목적이다.

▲올림픽 디스트로이어 웜 전파 방법

“공격 배후 밝히는것, 신중해야”

올림픽 디스트로이어의 배후를 밝히지는 못했지만, 카스퍼스키랩의 연구 팀은 공격자들이 비트코인을 통해 개인정보 보호 서비스인 노드VPN(Nord)VPN과 호스팅 업체 모노VM(MonoVM)을 활용했다는 사실을 밝혀냈다. 이들 업체와 더불어 추가적으로 발견된 TTP는 러시아어 기반 조직인 소파시(Sofacy)가 이전에 사용한 것으로 알려진 바 있다.

박성수 카스퍼스키랩 책임연구원은 “공격자는 증거가 위조됐다는 사실을 증명하기 어렵다는 점을 노려 가짜 지문을 남겨놓은 것이다. 공격자들은 노출과 추적을 피하기 위해 기꺼이 시간과 노력을 들이고 있다”고 지적했다.

그는 이어 “공격 배후 추적은 아주 신중하게 진행돼야 한다. 사이버 공간은 매우 정치적인 공간으로 변했으며, 잘못된 추적은 심각한 결과를 가져올 수 있다. 누군가가 국가·정치적 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작하려고 할 수도 있기 때문”이라고 말했다.

한편 올림픽 디스트로이어는 웜바이러스로, 올림픽 개막식 전 IT 시스템을 마비시켰으며, 웹사이트를 중단시켜 사용자들이 티켓을 인쇄하지 못하도록 했다. 국내 몇 곳의 스키 리조트도 스키 게이트와 리프트 작동이 중단됐다. 올림픽 디스트로이어는 큰 피해를 입히지 않아ᅟᅵᆻ지만, 치명적인 영향을 미칠 위력을 가지고 있다는 사실은 입증했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.