랜섬웨어 공격 코드, 北 해커조직과 유사

전 세계를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로 북한이 지목됐다. 과거 북한 해커가 사용했던 코드(프로그램 명령어)가 워너크라이에 사용된 정황이 포착됐기 때문이다.

구글 연구원 닐 메타는 15일(현지시간) 트위터에 숫자와 알파벳으로 나열된 암호 같은 메시지를 올리고 ‘#WannaCryptAttribution’이라는 해시태그를 달았다. 이를 본 보안 전문가들이 해독에 들어갔고 이 코드가 올해 2월 나왔던 워너크라이 초기 버전과 해킹 집단 라저러스(Lazarus)가 사용했던 악성코드에 동일하게 있다는 걸 찾아냈다.

라저러스는 북한 정부가 운영하는 해킹 조직으로 알려졌다. 2014년 소니픽처스 해킹, 지난해 방글라데시 중앙은행 해킹 등이 이들의 소행으로 파악되고 있다.

보안업체 시만텍, 카스퍼스키 등은 코드의 유사성을 근거로 북한 소행에 무게를 두고 있다. 미국 뉴욕타임스(NYT)는 “발견된 코드는 해커들 사이에 널리 사용되는 게 아니고, 북한과 관련 있는 해커만 쓰는 것”이라고 설명했다.

하지만 같은 코드를 썼다는 이유로 북한 소행으로 단정하기는 어렵다는 지적도 나온다. 해커들이 추적을 피하기 위해 일부러 코드를 심어주는 ‘위장전술’을 펴는 경우가 종종 있기 때문이다. 로이터 통신은 유럽과 미국 보안 분야 정부 관계자들을 인용해 “단정짓기는 이르지만 북한을 용의선상에서 배제하지는 않고 있다”고 전했다.

한편 디즈니는 해커의 공격을 받아 미개봉 신작 영화를 도난당한 것으로 나타났다. 할리우드 리포트는 밥 아이거 디즈니 회장이 직원들에게 이 같은 사실을 알렸으며 “해커에게 돈을 지불하지 않겠다”는 뜻을 명확히 했다고 보도했다. 해커는 영화 5분을 공개한 뒤 돈을 주지 않으면 20분 단위로 영화를 계속 공개하겠다고 협박하고 있다. 영화는 이달 말 개봉을 앞둔 ‘캐리비안 해적: 죽은 자는 말이 없다’로 전해졌다. 디즈니 해킹은 워너크라이와 무관한 것으로 알려졌다.

국내에서는 워너크라이가 소강상태를 보이고 있다. 16일 한국인터넷진흥원에 접수된 문의는 총 15건이며 이 가운데 신고는 12건이었다. 전날 13건과 10건에 비해 2건씩 늘어나는 데 그쳤다.

전 세계 PC의 7%는 여전히 윈도XP를 사용하고 있다고 비즈니스 인사이더가 전했다. 2001년 윈도XP는 2014년 기술 지원이 종료돼 보안에 취약하다. 비용 부담 때문에 계속 윈도XP를 쓴 기업과 관공서 등이 이번 워너크라이 공격의 집중 타깃이 됐다.

김준엽 기자 snoopy@kmib.co.kr