워너크라이 초기 코드, 북한 해킹조직에도 등장
[뉴스핌= 이홍규 기자] 150개국의 30만여대 컴퓨터를 감염시킨 랜섬웨어 '워너크라이'의 사이버 공격이 북한과 연관됐을 수 있다는 기술적 증거들이 발견됐다.
15일(현지시각) 로이터통신과 파이낸셜타임스(FT)에 따르면 사이버보안 리서치업체 시만텍과 카스퍼스키 랩은 워너크라이 소프트웨어 초기 버전의 일부 코드들이 라자루스 그룹(Lazarus Group)이 사용한 프로그램에도 등장했다고 밝혔다. 라자루스 그룹은 북한이 운영하는 해킹 조직으로 판명됐다.
이에 카스퍼스키랩의 커트 바움가트너는 "워너크라이의 근원과 관련해 우리가 현재까지 본 단서 중에 최고의 것"이라고 로이터통신에 말했다. 그러나 이 두 업체는 북한이 연루됐다고 단정짓는 것은 아직 시기상조라고 덧붙였다
<사진=블룸버그통신> |
이 두 회사는 코드의 추가 연구 필요성과 더불어 다른 곳에도 분석 도움을 요청했다고 말했다. 전문가들에 따르면 해커들은 코드를 재사용하므로, 복사된 코드 라인(지시어)만으로 범인을 색출하기 어렵다.
익명을 요구한 미국과 유럽 보안 당국자들은 공격의 배후에 누가 있는지 말하기는 어렵지만 용의자로 북한을 배제하지 않는다고 설명했다.
지난 12일 시간당 9000여대의 컴퓨터가 감염되면서 정점을 이뤘던 감연 건수는 현재 크게 떨어진 상태다. 미국 동부 해안에서는 이날 오후 새로 감염된 기기 수가 수백 대 정도로 떨어졌고, 이 숫자는 줄어드는 추세다.
일부 보안회사들에 따르면 라자루스 해커들은 방글라데시 중앙은행에서 810만달러를 절도한 혐의를 받고 있다. 이 해커들은 북한의 금융적 편취를 위해 조직된 단체다.
이번 공격의 해킹 그룹이 2급 기밀(second classified)로 분류된 사이버 무기를 미국 정보원들로부터 훔쳐 재사용했을 가능성도 제기된다.
또 범죄자들이 사이버 공격이 지구촌을 강타한 후 '다크웹(일반적인 검색 엔진으로는 찾을 수 없어, 주로 불법적인 정보가 거래되는 심층 웹)'이라 불리는 곳에서 이를 이용할 수 있게 했다고 파이낸셜타임스(FT)는 보도했다.
분석가들에 따르면 미국 국가안보국(NSA)에 의해 개발된 해킹툴(EsteemAudit)이 채택됐고 현재 이 해킹툴은 범죄용으로 사용 가능하다.
[뉴스핌 Newspim] 이홍규 기자 (bernard0202@newspim.com)