[아이뉴스24 김국배기자] 미국 사이버보안 업체 시만텍이 전 세계적 해킹 사건인 워너크라이(WannaCry) 랜섬웨어 공격의 배후로 사실상 북한을 지목했다.
시만텍은 워너크라이 랜섬웨어 공격을 분석한 결과 '라자루스(Lazarus)' 해킹 그룹과 높은 연관성을 발견했다고 23일 밝혔다.
라자루스 해킹 그룹은 2014년 미국 소니픽처스, 2016년 방글라데시 중앙은행 등을 해킹한 조직이며 북한과 연계된 것으로 사이버 보안 전문가들은 보고 있다.
앞서 시만텍은 워너크라이와 라자루스 해킹 수법에 유사점이 있긴 하나 연계성은 약하다며 신중한 입장을 보였었다.
시만텍은 워너크라이 랜섬웨어 공격에 사용된 툴과 인프라가 이 두 해킹 사건에 사용된 기술과 상당히 유사하다며 동일 그룹의 소행으로 확신했다.
분석 결과에 따르면 시만텍이 워너크라이를 최초로 발견한 것은 지난 2월 10일이다. 감염된 조직은 1차 감염 2분만에 100대 이상의 컴퓨터가 감염됐다. 당시 공격에서 발견된 5개 악성코드 가운데 3개가 라자루스 그룹과 연관이 있는 악성코드로 나타났다.
이중 두 가지는 소니픽처스 공격에 사용된 데스토버(Backdoor.Destover)의 변종이며 다른 하나는 과거 라자루스 그룹이 한국을 겨냥한 공격을 감행했을 때 사용했던 볼그머 트로이목마(Trojan.Volgmer)로 확인됐다.
이후 3월말 새로운 버전의 워너크라이가 발견된 2차 공격에서는 워너크라이와 라자루스 그룹 배후에 있는 공격자들 간 연관성을 입증해주는 정보들이 확인됐다.
1, 2차 공격의 워너크라이 랜섬웨어에서 라자루스 그룹이 전통적으로 사용해온 악성코드가 발견된 반면 5월 12일 3차 공격에서는 MS 윈도 운영체제의 서버 메시지 블록(SMB) 취약점(CVE-2017-0144·CVE-2017-0145)을 악용한 '이터널블루(EternalBlue)' 익스플로잇을 통합한 한층 진화한 워너크라이가 배포됐다.
새로운 버전의 워너크라이는 랜섬웨어와 웜이 결합돼 네트워크와 인터넷을 통해 패치가 되지 않은 컴퓨터를 중심으로 빠르게 확산됐으며, 최근 몇 년간 발견된 악성코드 중 손꼽히는 파괴력을 갖게 됐다는 게 회사 측 설명이다.
시만텍은 워너크라이 확산에 사용된 툴의 유사점 외에도 워너크라이 공격과 라자루스 사이에 여러 가지 관련성이 존재한다고 주장했다.
워너크라이는 과거 라자루스와 연관성이 있던 콘토피 백도어(Backdoor.Contopee)와 악성코드를 공유하는 것으로 확인됐다.
또한 워너크라이는 라자루스와 관련된 악성코드인 페이크퓨드(Infostealer.Fakepude)와 유사한 코드 난독화를 사용하며, 3~4월 워너크라이 확산에 사용된 알판크 트로이목마(Trojan.Alphanc) 역시 라자루스 그룹과 연관성이 있다는 것이다.
윤광택 시만텍코리아 최고기술책임자(CTO)는 "워너크라이 랜섬웨어의 배후에 라자루스 그룹이 있는 것으로 보고 있다"며 "다만 워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있던 정치적 보복이나 체제 혼란의 목적이 아닌 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다"고 설명했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기