본문 바로가기

시만텍 "랜섬웨어 북한 '라자루스'그룹 연계 결정적 증거 발견"

중앙일보 2017.05.23 16:06
북한이 최근 전 세계 컴퓨터 수십만대를 감염시킨 ‘랜섬웨어(ransomware)’ 공격의 배후로 보이는 결정적인 증거가 발견됐다고 미국의 사이버 보안기업 시만텍이 22일(현지시간) 밝혔다고 뉴욕타임스가 보도했다.
시만텍이 22일 "랜섬웨어 공격에 사용된 '워너크라이'가 북한 해커조직 라자루스 그룹과 강력한 연계성을 갖고 있다"고 분석 결과를 공개했다. [시만텍 홈페이지 캡처]

시만텍이 22일 "랜섬웨어 공격에 사용된 '워너크라이'가 북한 해커조직 라자루스 그룹과 강력한 연계성을 갖고 있다"고 분석 결과를 공개했다. [시만텍 홈페이지 캡처]

 

"라자루스, 2014년 소니공격때와 같은 지휘통제 서버 사용"
"과거 해킹과 같은 데이타 삭제, 추적 피하는 암호화 방법"

 
시만텍은 이날 “우리가 발견한 기술적 증거들은 모두 랜섬웨어 공격이 북한의 해커 조직인 ‘라자루스 그룹’ 소행임을 지목하고 있다”고 말했다. 라자루스는 2014년 미국 영화사 소니픽처스 해킹, 지난해 2월 미국 연방준비은행의 방글라데시 중앙은행 계좌 해킹을 저지른 북한 해커 조직에게 보안 전문가들이 붙인 이름이다.
 
시만텍은 발견된 증거에 대해 ”해커들이 이번 공격에 사용한 랜섬웨어 ‘워너크라이’에 감염된 컴퓨터를 분석한 결과 과거 라자루스 그룹의 공격과 똑같은 디지털 흔적을 남아 있었다“고 소개했다. 이어 ”가장 결정적인 증거는 해커들이 사용한 지휘통제(command-and-control) 인프라“라며 ”해커들은 워너크라이 공격때 북한이 2014년 소니픽처스를 공격할 때와 사용했던 것과 똑같은 지휘통제 서버를 사용했다“고 설명했다. 북한 해커들은 당시 소니픽처스의 사내 개인컴퓨터(PC)와 서버의 거의 절반을 파괴했다.
 
시만텍 연구원들은 또 ”북한의 2013년 한국의 은행들과 언론사 해킹때 사용했던 같은 해킹툴을 이번 워너크라이 공격에서도 사용했다“며 ”다만 해킹툴이 한국 공격보다 진화했고 다른 공격들과 비슷한 변종“이라고 말했다. 그러면서 ”이번 워너크라이가 과거 해킹공격 때처럼 감염된 컴퓨터의 데이타를 삭제하는 툴을 포함하고 있으며 추적을 피해 희귀한 암호화 방법을 사용하고 있다는 것도 다른 라자루스 그룹 공격과 명백한 연계“라고 덧붙였다.
 
뉴욕타임스는 22일까지 랜섬웨어 공격에 감염된 20만대의 컴퓨터 이용자 가운데 223명이 10만 9270달러(약 1억2300만원) 상당의 비트코인(가상화폐)을 해커들에게 몸값으로 지불했다고 전했다.  
정효식 기자 jjpol@joongang.co.kr
공유하기

중앙일보 뉴스레터를 신청하세요!