해커 추적 어려워진다…교란용 '가짜 지문'까지 등장

해킹 흔적 갖고 공격 배후 단정 짓기 점점 어려워져

스페인어와 영어로 쓰인 '직소' 랜섬웨어 메시지 출처 이스트시큐리티

(서울=연합뉴스) 고현실 기자 = 해커들은 자신이 만든 악성코드에 흔적을 남긴다. 모국어 표현을 넣거나 특유의 암호화 로직(원리)을 사용하는 방법이 일반적이다. 하지만 최근에는 이를 악용해 추적을 피하는 사례도 눈에 띈다.

22일 이스트시큐리티 등 보안업계에 따르면 최근 국내에 유포된 '직소(jigsaw)' 랜섬웨어 변종에서는 스페인어가 발견됐다.

해커는 스페인어와 영어로 비트코인을 요구하는 랜섬노트를 만들어 피해자를 협박했다. 소스코드(설계지도) 주석에도 스페인어가 포함돼 스페인 개발자가 직접 참여한 것으로 추정된다.

작년 7월에는 한국인이 제작한 것으로 추정되는 직소 랜섬웨어 변종이 발견됐다. 랜섬노트와 주석에 다량의 한국어가 포함돼 이런 추정이 가능했다. 더욱이 직소 랜섬웨어의 소스코드는 오픈소스로 일반에 공개돼 있어 각국의 공격자들이 손쉽게 만들 수 있다.

이달 초 등장한 안드로이드 모바일 기기용 악성파일에서는 북한식 언어표현이 확인됐다.

네이버 백신 앱을 사칭한 이 악성파일은 대북 단체를 공격한 해킹그룹이 제작한 것으로 분석된다. 이 해킹그룹은 다른 HWP(한글파일) 공격에서도 북한식 언어표현을 써 북한과 연관된 것으로 추정되고 있다.

하지만 흔적이 나왔다고 해서 공격 배후를 단정 짓기는 어렵다. 충분히 흔적을 조작할 수 있기 때문이다.

대표적인 사례가 지난달 9일 발생한 평창동계올림픽 웹사이트 공격 사건이다.

사이버 공격으로 닫힌 평창동계올림픽 홈페이지[독자 제보]

당시 공격의 배후는 코드 특징으로 미뤄 애초 북한으로 추정됐다. 하지만 시간이 흐르며 다른 세력일 가능성에 무게가 실렸다.

북한의 해킹그룹 '래저러스(Lazarus)'를 배후로 지목했던 글로벌 보안업체 카스퍼스키랩은 최근 재분석 결과 증거가 위조됐다며 입장을 바꿨다.

카스퍼스키랩은 평창올림픽 공격 코드의 특징이 래저러스가 사용하는 고유의 '코드 지문'과 100% 일치했지만, 재확인 결과 개발자가 의도적으로 심어둔 위장 지문이라는 결론을 내렸다. 분석팀을 착각하게 해 정확한 추적을 방해하는 게 이 위장 지문의 목적이었다고 설명했다.

카스퍼스키랩 박성수 책임연구원은 "마치 범죄자가 다른 사람의 DNA를 훔쳐서 현장에 자신의 DNA 대신 남겨놓은 것과 같다"며 "잘못된 추적은 심각한 결과를 가져올 수 있다. 국가, 정치적 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작하려고 할 수도 있다"고 말했다.

시스코의 보안전문가인 얼 카터 연구원도 지난 20일 방한 간담회에서 "공격자가 의도적으로 여러 국가가 가진 특징을 의도적으로 섞어서 공격할 수 있다"며 배후 추정에 신중해야 한다고 강조했다.

okko@yna.co.kr

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>