지난 주말 세계를 강타한 악성코드 '워너크라이'와 비슷한 랜섬웨어가 발견됐다. 전문가들은 패턴의 유사성을 지적하며 “북한의 소행일 가능성이 한층 높아졌다”고 말했다.
미국 사이버 보안업체 ‘프루프포인트(Proofpoint)’는 워너크라이와 유사한 랜섬웨어가 이르면 지난 4월 말부터 확산되기 시작했다고 16일(현지시간) 밝혔다. 이 랜섬웨어는 20만개 이상의 컴퓨터에 마이너(Miner·디지털 화폐를 채굴하는 프로그램)를 설치해 100만 달러(약 11억원) 이상을 채굴한 것으로 추정되고 있다. 이는 현재까지 알려진 워너크라이 피해 금액 7만 달러(약 7831만원)를 크게 웃도는 수치다.
이 랜섬웨어는 워너크라이와 동일한 공격 방식을 이용했다. 워너크라이는 지난 12일부터 윈도 운영체제의 취약점을 이용해 30만개 이상의 컴퓨터에 침투했다. 이번에 발견된 랜섬웨어도 동일한 취약점을 통해 침투한 것으로 밝혀졌다. 이는 이후 윈도 업데이트를 통해 보완된 상태다.
랜섬웨어를 통해 디지털 화폐 ‘모네로(Monero)’를 수집해간다는 점도 주목할 만하다. 이 랜섬웨어는 컴퓨터에 ‘Adylkuzz’라는 마이너를 설치해 매일 수천 달러의 모네로를 확보해간 것으로 알려졌다. 모네로는 2014년 만들어진 오픈소스 암호화 화폐로 보안과 익명성을 강조한다. 북한 해커들이 사용하는 화폐로 알려져 있기도 하다. 지난 4월 초 유럽에서는 북한 해킹단체 ‘래저러스(Lazarus)’의 하부조직이 모네로를 생성하는 소프트웨어를 퍼뜨렸다.
프루프포인트는 워너크라이를 분석하던 도중 이 랜섬웨어를 발견했다. 프루프포인트 관계자는 “겹치는 패턴이 많다”면서 “유럽 사례까지 고려하면 우연이라고 하기 어렵다”고 말했다. 워너크라이와 이번에 발견된 랜섬웨어 모두 북한이 배후에 있다는 주장이다.
이재연 기자