한국인터넷진흥원(KISA)의 인터넷침해대응센터 직원들이 랜섬웨어 공격 현황을 분석하고 있다. 한경DB
한국인터넷진흥원(KISA)의 인터넷침해대응센터 직원들이 랜섬웨어 공격 현황을 분석하고 있다. 한경DB
국내외 보안 전문가들은 전 세계를 강타한 워너크라이 랜섬웨어 공격을 북한 해커들의 소행으로 추정하고 있다.

16일 보안업계에 따르면 워너크라이 랜섬웨어는 기존 북한 해커들이 사용하던 악성코드와 유사한 것으로 분석됐다.

구글 연구원 닐 메타와 글로벌 보안업체 카스퍼스키랩은 워너크라이 랜섬웨어 코드가 북한 해커 조직으로 추정되는 래저러스(Lazarus)와 유사하다고 주장했다.

2009년부터 활동을 시작한 래저러스는 2014년 미국 소니픽처스엔터테인먼트 해킹 사건에 이어 지난해 2월 국제금융거래망(SWIFT)을 이용한 방글라데시 중앙은행 해킹 사건의 주범으로 지목돼 왔다.

카스퍼스키랩은 올해 2월 퍼진 워너크라이 샘플과 래저러스가 이용해온 악성코드 샘플을 비교한 결과 유사성을 발견했다고 밝혔다.

래저러스는 소니픽처스와 SWIFT망을 해킹할 때 고유의 악성코드 백도어(정상적인 절차 없이 시스템에 접근할 수 있는 우회 프로그램)를 사용했는데 여기에 사용된 암호화 원리(로직)가 워너크라이 랜섬웨어의 코드와 유사하다는 설명이다.

카스퍼스키는 "2월에 발견된 샘플과 이번 공격에 사용된 샘플을 비교한 결과 유사한 코드가 제거돼 있었다"며 "이는 추적을 막기 위한 시도일 수 있다"고 지적했다.

북한 관련 보안 전문가로 꼽히는 하우리 최상명 실장은 "북한 해커들은 다른 악성코드에서는 발견된 적이 없는 고유의 암호화 로직을 사용한다"며 "워너크라이에서 유사한 로직이 발견됐다는 점은 북한 해커들의 소행일 가능성이 크다는 의미"라고 말했다.

이번 공격에 활용된 윈도 운영체제의 파일공유(SMB) 취약점이 북한 해커들이 자주 이용하는 침투 방식이라는 점도 북한 배후설을 뒷받침한다.

하우리에 따르면 북한은 2009년 7월 7일 한국의 주요 정부기관과 은행 등을 마비시킨 디도스(분산서비스거부) 공격과 2011년 농협 전산망 마비 사태 등 대규모 공격 당시 마음대로 조종하는 봇넷을 만들 때 주로 SMB 취약점을 파고들어 네트워크를 통해 감염되는 웜(worm) 형태로 PC들을 장악했다.

워너크라이 랜섬웨어 역시 동일한 취약점은 아니지만 SMB 취약점 중 하나를 이용해 네트워크 웜 방식으로 확산했다. 이번 공격을 자신의 소행이라고 주장하는 해커 조직 섀도 브로커스(Shadow Brokers)와 스팸테크가 활동하는 방식도 북한 해커들과 유사하다는 게 보안업계의 분석이다.

섀도 브로커스는 미국 NSA(국가안보국)에서 이번 공격에 활용된 해킹 도구를 훔친 뒤 트위터와 텀블러 등 소셜네트워크서비스(SNS)와 익명 파일 공유 사이트 페이스트빈를 통해 이를 공개했다.

섀도 브로커스의 일원으로 추정되는 스팸테크 역시 워너크라이 랜섬웨어 공격이 시작된 지난 12일 트위터를 통해 자신들이 개발자라고 주장했다. 이러한 방식은 래저러스로 추정되는 소니픽처스 해킹사건의 주범들과도 유사하다.

이들은 당시 가디언즈오브피스(GOP)라는 이름으로 소니픽처스에서 해킹한 내용을 SNS와 페이스트빈에 공개했다.

공격 시점 역시 주목할 만하다. 북한은 지난 14일 신형 탄도미사일을 발사하며 군사력을 과시했다. 전 세계적으로 랜섬웨어가 기승을 부리던 시점과 맞물린다.

최상명 실장은 "북한은 작년 8월부터 랜섬웨어를 제작 중이라고 밝혔고, 국내에서도 북한산으로 추정되는 랜섬웨어가 유포돼 왔다"며 "북한에는 이번 공격이 사이버 공격 능력과 군사력을 동시에 과시할 수 있는 타이밍이었을 것"이라고 말했다.

고려대학교 정보보호대학원 임종인 교수는 "북한이 외화벌이를 위해 랜섬웨어를 이용했을 가능성이 농후하다"며 "새 정부 출범에 맞춰 자신들의 대내외적 의지를 보여주려는 정치적 목적도 있을 것"이라고 말했다.

한경닷컴 뉴스룸 open@hankyung.com