Home > 전체기사

워너크라이 랜섬웨어의 미스터리와 북한이 거론되는 이유

  |  입력 : 2017-05-16 11:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워너크라이 초기 버전에서 라자루스와의 유사점 발견
아마추어적인 실수...단순 트롤링이 목적이었을 수도


[보안뉴스 문가용 기자] 워너크라이(WannaCry)로 인한 악몽 같은 주말이 지나고 사태가 진정국면으로 접어들었다. 밤샘 방어 체제에서 어느 정도 깨어난 전문가들은 여러 가지 의문을 제기하기 시작했다. 아무리 생각해도 의아한 점이 한두 가지가 아닌 것이다. 왜 공격자들은 굳이 킬 스위치를 스스로 코드에 집어넣었을까? 왜 그렇게 어마어마한 공격을 하면서 코미디 같은 적은 액수를 요구했을까? 누가 돈을 냈는지 확실하게 파악하는, 랜섬웨어의 필수 기능은 왜 없었을까? 누굴까?

[이미지=아이클릭아트]


이처럼 여러 가지 의문을 남기고 있는 워너크라이 랜섬웨어의 배후 세력으로 ‘북한’이 해외에서도 거론되기 시작했다. 국내 전문가들 중 일부도 처음부터 북한을 유력한 용의자로 보고 있었는데 큰 설득력을 얻지 못했다. 하지만 주말의 큰 난리가 지나가고 월요일 구글의 닐 메타(Neel Mehta)라는 연구원이 “워너크라이의 초기 버전에 콘토피(Contopee)라는 백도어가 발견되었다”고 발표하면서 북한으로 시선이 쏠리기 시작했다. 콘토피는 북한이 배후에 있는 것으로 추정되는 해킹 그룹인 라자루스(Lazarus)가 주력으로 사용하는 툴이다. 북한을 공식에 대입하면 워너크라이의 미스터리들은 답을 찾게 될까?

공격은 전 세계 단위, 요구 금액은 30만원?
워너크라이 사태 초반 많은 전문가들은 300달러라는 어처구니없이 적은 요구 금액을 보고 혼란에 빠졌다. 여기에다가 워너크라이를 분석하면 할수록 제작자들의 이해할 수 없는 실수들도 발견되면서, 전문가들은 ‘아마추어가 우연히 성공한 경우’라고 결론을 내리는 듯 했다. 150개국 20만 시스템을 마비시켜버렸음에도, 수익이 그리 높지 않을 것이라는 분석도 있었고, 해킹 지식이 깊지 않아 서비스형 랜섬웨어를 구매한 범죄자의 소행일 것이라는 추정이 자연스럽게 등장했다.

이 ‘아마추어’ 같은 실수로는 제일 먼저 ‘킬 스위치의 자체 삽입’이 꼽힌다. 22살의 영국 전문가가 찾아낸 것으로 실제 이 킬 스위치를 발동시킨 덕에 랜섬웨어의 확산 속도가 확연히 줄어들었다. 즉 자살 방법이 코드 내에 존재해 있었던 것이다. 또, 비트코인 사용에도 미숙한 모습을 보여 전문가들은 공격자들이 거둬들인 수익을 추적할 수도 있었다. 무엇보다 누가 돈을 내고 안 냈는지 파악할 수 있는 방법이 전무했다. 결국 이 수수께끼의 공격자들이 거둬들인 수익은 총 5천 5백만원에 불과한 것으로 밝혀졌다. 금액의 측면에서 보면 ‘역대급’ 실패 사례라고도 볼 수 있을 만하다.

이런 퍼즐 조각을 맞춰 볼 때 공격자들은 랜섬웨어로 돈 버는 행위에 익숙지 않은 것이 분명해 보인다. 이는 ‘북한’의 사이버 공격자들과 잘 들어맞지 않는 부분이다. 북한은 지난 몇 년 동안 사이버 공격력을 급격히 진화시켜 남한의 일부 시스템에 디도스 공격을 가하는 게 거의 전부였던 것에서 소니 엔터테인먼트에 침투해 주요 콘텐츠를 유출시키고 시스템을 파괴하기까지 했으며, 가장 최근에는 방글라데시 은행 사건의 가장 유력한 배후 세력으로 떠오르기도 했다. 소니와 방글라데시 중앙은행 사건 모두 라자루스 그룹이 뒤에 있다는 게 중론이다.

미스터리에 북한 대입하니 오히려 가능성이 늘어났다
그렇기에 ‘북한’이 용의선상에 오르면서 ‘아마추어적인 실수’에 대한 미스터리는 오히려 두 가지로 나뉜다. 소니도 털고, 방글라데시 중앙은행과 전 세계 은행의 통신망인 SWIFT에도 침투한 라자루스니 전 세계를 흔든 랜섬웨어 공격도 충분히 가능했으리라고 보는 시각과 누군가 북한으로 시선을 돌리기 위해 위장술을 편 것이라는 시각이다. 전자에게 가장 확실한 증거는 닐 메타가 발견한 콘토피 백도어의 코드가 초기 워너크라이 샘플에서 발견되었다는 것이다. 닐 메타의 발표 이후 카스퍼스키도 ‘두 코드가 상당히 유사하다’는 의견을 내놓았다.

하지만 후자의 의견을 가진 사람은 – 즉, 위장술을 펼친 것이라는 입장 – 어차피 워너크라이 자체가 NSA의 익스플로잇을 따다가 활용한 것 아니냐며 누군가 라자루스의 콘토피도 충분히 활용할 수 있는 것이라고 주장한다. 카스퍼스키는 이에 대해 ‘가능성이 전혀 없다고 할 수는 없지만 사실상 불가능한 일’이라고 반박했다. 또한 “NSA의 익스플로잇을 활용한 것과 콘토피의 소스코드를 그대로 사용하다시피 한 것은 전혀 다른 일”이라고도 설명했다. “워너크라이 공격자들은 NSA가 사용해오던 익스플로잇을 대중적인 해킹 툴인 메타스플로잇(Metasploit)에서부터 훔쳐 쓴 것인데, 콘토피는 아예 ‘재사용’했어요. 초기 버전은 콘토피의 소스코드를 기반으로 하여 제작된 것이라고 볼 수 있다는 것이죠. 둘을 같은 행위라고 볼 수 없습니다.”

그럼에도 라자루스 외 누군가 라자루스 고유의 코드를 사용했을 가능성이 0%인 것은 아니라 지금 이 두 주장은 팽팽히 맞서고 있다. 사이버 보안 사건에 있어서 범인들이 자신을 숨기기 위해 다른 사람인 척 위장하거나 공격 경로를 우회한 경우는 꽤나 빈번하며, 이게 굉장히 까다로운 기술력을 요하는 것도 아니다. 하지만 랜섬웨어의 기초적인 부분에서 실수를 연발한 이들이 그렇게까지 고차원적으로 ‘북한으로 시선 돌리기’ 전략을 구사했을 가능성이 얼마나 될까, 라는 미스터리가 파생하는 것 또한 사실이다. 게다가 카스퍼스키나 구글의 닐 메카 역시 ‘북한이다’라고 확실하게 말하고 있지는 않다. 어디까지나 가능성의 차원에서만 북한 이야기가 오고가고 있는 것이다.

또 다른 발견
그런 가운데 두바이의 보안 전문가인 맷 수이치(Matt Suiche)라는 인물도 북한을 언급하고 나섰다. 그가 제시한 가능성은 “북한이 실제로 돈을 벌기 위해서가 아니라, 그냥 트롤링(trolling)을 하고 있는 것”이다. 트롤링이란 한 마디로 ‘망나니짓’을 뜻하는 용어로, 북한이 그냥 마음먹고 전 세계의 화를 돋우고 불편하게 만드는 등 도발행위를 하는 것이라고 분석하고 있다. 북한은 국제사회에서 반복적인 도발행위를 일삼는 곳이기도 하다.

그렇다면 그 근거는? 주말 내내 워너크라이 사태를 주시한 맷은 두 번째로 등장한 워너크라이에서 새로운 ‘킬 스위치’를 발견했다고 한다. 이 두 번째 킬 스위치 역시 웹 도메인으로, 워너크라이는 암호화시킬지 말지를 확인하기 위해 이 도메인을 통해 확인한다고 한다. 이 도메인을 분석하다가 URL을 하나 새롭게 발견했는데, ayylmao라는 말로 시작한다고 한다. LMAO은 인터넷 신조어로 laughing my ass off의 준말이며, ‘배꼽 빠지게 웃다’ 정도로 해석이 가능하다. “lmao가 우연히 거기 있는 게 아닐 겁니다. 세계를 비웃고 있는 것이죠. ‘찾아봐라 한 번, ㅋㅋㅋ’ 이러면서 말이죠.”

‘트롤링’이 목적이라면 북한이건 누구건, 워너크라이의 배후에 있는 자들이 그처럼 어설퍼 보이는 실수를 저지른 것도 이해가 간다. 돈이 목적이 아니었다면, 150여 국가에서 주말 내내 ‘깽판’을 친 것만으로도 대단한 성공이 된다. 맷은 “라자루스 고유의 툴이 초기 버전에서 발견되었고, 북한의 평소 행위들을 보면 거의 확실한 것 아니냐”고 말한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)