북한이 ‘워너크라이(WannaCry)’ 랜섬웨어 공격의 배후일 가능성이 매우 큰 것으로 밝혀졌다.

미국 사이버보안업체 시만텍은 22일(현지시간) 지난 12일부터 150개국에서 20만 대 이상의 컴퓨터를 감염시킨 워너크라이 랜섬웨어 공격이 북한 해킹단체로 추정되는 ‘래저러스(Lazarus)’ 해킹그룹과 연관됐을 가능성이 매우 높다고 밝혔다. 래저러스는 2014년 미국 소니픽처스, 지난해 2월 방글라데시 중앙은행 등을 해킹한 주범으로 지목된 곳이다. 랜섬웨어는 중요 파일에 암호를 건 뒤 풀어주는 대가로 금품을 요구하는 사이버 범죄에 이용되는 악성코드다.

시만텍은 이번 공격을 분석한 결과, 래저러스가 과거 소니픽처스 등을 해킹했을 때 사용한 기술 및 인프라와 상당히 비슷해 같은 해커의 소행으로 보인다고 주장했다. 래저러스가 해킹에 쓴 콘토피 백도어 등 악성코드가 이번 랜섬웨어 공격에도 쓰였고, 과거 북한이 해킹에 썼던 인터넷주소가 있는 서버를 포함해 같은 명령·지휘 인프라가 공격에 사용됐다고 제시했다.

시만텍은 지난 16일 이번 공격이 래저러스의 소행일 가능성을 제기하면서도 “연계성이 약하다”는 신중한 견해를 내놨다. 하지만 추가 분석을 통해 이들이 공격자였을 가능성이 매우 높다고 결론 냈다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “워너크라이 랜섬웨어 공격에 쓰인 코드, 인프라, 기술 등 여러 요소가 래저러스가 사용한 것과 연관성이 상당히 높다”며 “다만 정치적 보복이나 체제 혼란이 목적이 아니라 금전적 목적으로 저지른 사이버 범죄로 보인다”고 설명했다.

추가영 기자 gychu@hankyung.com