 |
글로벌 보안 기업 시만텍은 22일(현지시각) 워너크라이 랜섬웨어 분석 결과 2014년 소니픽처스 해킹과 2016년 방글라데시 중앙은행에서 8100만달러(910억원)의 절도를 감행한 라자루스 그룹이 사용한 기술과 상당히 연관성이 높다는 분석 결과를 내놨다.
워너크라이는 5월 12일 영국에서 최초 대규모 감염 사례가 발견된 이후 단시간에 전 세계 150개국에서 20만건의 피해를 발생시킨 랜섬웨어다. 랜섬웨어에 감염된 컴퓨터는 주요 파일들이 암호화돼 읽을 수 없게 되고, 공격자는 이를 풀어주는 조건으로 30만원 상당의 가상 화폐 비트코인(BitCoin)을 요구한다.
워너크라이 랜섬웨어 유포가 보고된 직후 구글의 보안 연구원과 카스퍼스키랩은 워너크라이 랜섬웨어와 과거 라자루스 그룹이 이용한 악성코드 샘플의 유사성에 주목한 바 있다. 구글 보안 연구원은 이를 바탕으로 워너크라이 랜섬웨어 공격의 배후로 북한을 지목했지만, 카스퍼스키랩은 두 코드의 유사성이 추적을 일부러 방해하기 위한 은폐 작업일 수 있다는 가능성도 배제하지 않았다.
시만텍은 최근 몇 개월 동안 워너크라이 랜섬웨어가 활동한 경로를 추적한 결과 소니픽처스 해킹과 방글라데시 중앙은행 절도 사고와 유사하다는 점을 발견했다. 시만텍이 워너크라이 랜섬웨어를 처음 발견한 것은 올해 2월 10일로, 당시 피해를 입은 기관에서는 1차 감염 2분 만에 100대 이상의 컴퓨터를 연쇄적으로 감염시켰다.
시만텍은 이 공격에서 5개의 악성코드를 발견했는데, 이 중 3개가 라자루스 그룹과 연관 있는 악성코드로 분석했다. 두 가지는 소니픽처스 공격에 사용된 '데스토버(Destover)'라는 백도어의 변종이며, 나머지 하나는 과거 라자루스 그룹이 한국을 겨냥한 공격을 감행했을 때 사용했던 '볼그머(Volgmer)' 트로이 목마라는 게 시만텍의 분석이다.
5월 12일 전 세계를 강타한 워너크라이 랜섬웨어의 경우 마이크로소프트(MS) 윈도 운영체제의 파일 공유(SMB) 취약점을 이용했다. 새로운 버전의 워너크라이는 랜섬웨어 특성 외에도 웜(Worm)의 특성까지 결합돼 네트워크와 인터넷을 통해 패치가 되지 않은 컴퓨터를 연쇄적으로 감염시켰다. 워너크라이는 기존 랜섬웨어와 달리 다른 컴퓨터까지 영향을 미치면서 최근 몇 년간 발견된 악성코드 중에서도 손꼽히는 파괴력을 갖는 악성코드로 기록됐다.
윤광택 시만텍코리아 CTO는 "워너크라이 랜섬웨어는 사용된 코드와 인프라, 기술 등 여러가지 요소가 과거 소니픽처스나 방글라데시 은행을 공격한 라자루스 그룹이 사용한 기술과 연관성이 높은 것으로 확인됐다"며 "다만, 워너크라이 랜섬웨어는 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란 목적이 아니라 순수하게 금전적 목적을 위한 전형적인 사이버 범죄 활동으로 분석된다"고 말했다.
IT조선 노동균 기자 saferoh@chosunbiz.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
