상단여백
HOME 글로벌 글로벌
랜섬웨어 피해 확산, 미 정보기관 자료 유출 왜?
랜섬웨어 '워나크라이'의 피해가 확산되고 있는 가운데 지난 14일 한국인터넷진흥원(KISA) 내 인터넷침해대응센터 종합상황실에서 관계자들이 대책 회의를 하는 모습. <사진=뉴시스>

[월요신문 허창수 기자] 랜섬웨어 ‘워나크라이(WannaCry)’의 피해가 전 세계적으로 확산되는 가운데 이번 사태의 배후에 대해 관심이 집중되고 있다. 랜섬웨어 공격자는 개인 혹은 해커 집단일 수도 있지만 배후에 국가기관이 개입됐을 가능성도 제기된다. 국가로는 러시아, 미국, 북한 등이 거론되고 있다.

지난 12일부터 전 세계적으로 확산되고 있는 워나크라이는 마이크로소프트(MS) 윈도 운영체제의 취약점을 파고들어 중요 파일을 암호화한 뒤 파일을 복구하는 조건으로 금전을 요구하는 랜섬웨어의 일종이다. 유럽연합의 경찰기구인 유로폴(Europol)이 추정한 바에 따르면, 14일(현지시간) 기준 150개국 20만 대 이상의 컴퓨터가 워나크라이에 감염된 것으로 나타났다. 워나크라이는 현재도 보안시스템이 취약한 구형 윈도우를 통해 계속 확산되고 있어 피해규모는 더 늘어날 것으로 전망된다.

랜섬웨어 공격의 배후로 가장 먼저 지목됐던 것은 러시아였다. 러시아는 국제사회에서 ‘사이버 깡패국’이라는 오명을 얻을 정도로 ‘국가 주도 해킹’에 대한 의심을 받아왔다. 실제로 러시아는 지난해 힐러리 클린턴 민주당 대통령 후보 캠프의 해킹 공격 배후로 지목된 바 있다. 또 최근 치러진 프랑스 대선에서는 마린 르펜 국민전선(FN) 후보를 돕기 위해 경쟁자인 에마뉘엘 마크롱 캠프에 사이버 공격을 가했다는 혐의도 받았다. 게다가 러시아 해커들은 ‘사이버 공격의 선구자’라고 불릴 만큼 뛰어난 해킹 실력을 자랑한다. 워너크라이 사태 발생 직후 각국 언론들이 러시아에게 의혹의 눈길을 보낸 이유다.

하지만 전문가들은 이번 사태의 경우 러시아가 가해자일 가능성은 높지 않은 것으로 보고 있다. 랜섬웨어 공격으로 가장 큰 피해를 당한 국가가 바로 러시아이기 때문이다. 이와 관련 지난 14일(현지시간) 뉴욕타임스는 “전 세계적인 해킹 공격이 일어날 때마다 제일 먼저 가해자로 지목된 러시아가 이번 랜섬웨어 공격으로 가장 큰 피해를 당했다”면서 “정부 컴퓨터가 충돌을 일으키고 은행, 통신사, 철도업체 등이 공격 피해를 차단하기 위해 자체 시스템을 폐쇄하면서 피해는 더욱 커질 전망”이라고 보도했다.

오히려 러시아 내부에서는 미국 정부가 이번 랜섬웨어 공격의 배후라는 주장도 제기되고 있다. 이와 관련 러시아 세계화문제연구소 미하일 델야긴 소장은 15일 “미국이 지난해 러시아의 해킹에 대한 보복으로 이번 공격을 감행했을 수 있다”면서 “미국은 우리에게 사이버공격을 하겠다고 위협한 적이 있고 실제 공격이 뒤따랐다. 논리적으로 미국이 사이버공격으로 우리를 협박하고 있다고 의심할 수 있다”고 말했다.

블라디미르 푸틴 러시아 대통령도 랜섬웨어의 근원지로 미국 정보기관을 지목했다. 중국 ‘일대일로’ 국제협력 정상포럼에 참석한 푸틴 대통령은 15일 “바이러스의 1차 근원지는 마이크로소프트 지도부가 직접 밝힌 바와 같이 미국 정보기관이다. 러시아는 아무런 관련이 없다”고 말했다.

이에 앞서 마이크로소프트는 14일(현지시각) 자사 블로그에 “이번 사이버 공격에 쓰인 소프트웨어는 해커들이 미국 국가안보국(NSA)에서 훔친 코드에서 나왔다. NSA가 마이크로소프트의 취약점을 알아낸 뒤 이를 악용한 해킹 툴을 만들어 사용하다 온라인에 유출된 것”이라고 지적했다.

하지만 미국이 배후일 가능성이 낮다는 주장도 있다. 이와 관련 러시아 정부 산하 기구인 디지털경제위원회 소속 이고르 아시마노브 위원은 15일 “국가 기관에 대한 다른 국가 정부의 공격은 전쟁행위로 간주된다”면서 “미국 정부가 러시아 기관을 대상으로 이런 바보 같은 짓을 하지는 않았을 것”이라고 밝혔다. 토머스 보서트 백악관 국토안보보좌관 역시 “NSA가 개발한 프로그램이 아니다”며 관련 의혹을 일축했다.

북한도 랜섬웨어 공격의 유력한 배후로 거론되고 있다. 15일(현지시간) 주요 외신 보도에 따르면, 다수의 정보기술 전문가들은 북한이 배후에 있을 가능성에 주목하고 있는 것으로 나타났다.

이와 관련 구글의 닐 메타(Neel Mehta) 연구원은 15일(현지시간) “워너크라이의 초기 버전에 콘토피(Contopee)라는 백도어가 발견됐다”면서 “워너크라이와 북한 정권의 소행으로 널리 인식되는 광범위한 해킹에 유사성이 있다”고 지적했다. 콘토피는 북한이 배후에 있는 것으로 추정되는 해킹 그룹인 라자루스(Lazarus)가 주력으로 사용하는 툴이다. 라자루스는 2014년 소니픽쳐스 엔터테인먼트 해킹, 지난해 2월 방글라데시 중앙은행 해킹 등의 배후로 거론된다. 라자루스는 2009~2013년 한국 정부기관과 언론, 방송사 등에 대한 해킹 배후로도 지목된 바 있다.

러시아 보안업체 카스퍼스키도 워나크라이 랜섬웨어 사태에 북한이 관련돼 있을 것이라고 주장했다. 15일(현지시간) 카스퍼스키는 “워나크라이 초기 버전에서 발견된 코드가 북한 해커조직 라자루스가 사용한 코드와 일치한다”면서 “워나크라이의 초기 버전에 대해 추가 연구가 필요하다. 이번 사태를 둘러싼 미스터리를 풀 열쇠가 될 수 있다”고 지적했다. 이스라엘 보안업체 인터저랩 최고경영자 이타이 데베트 역시 “워너크라이의 책임 소재가 북한에 있다고 확인했다. 라자루스의 기능뿐만 아니라 다른 정보도 더 나올 것”이라고 말했다.

반면 북한의 소행으로 속단하기는 이르다는 견해도 있다. 이와 관련 국내 보안업계 관계자는 “누군가의 목소리를 위조·변조하듯 코드도 위변조가 가능하기 때문에 이번 사태가 북한의 소행이라고 단정하기는 어렵다”면서 “누군가 북한으로 시선을 돌리기 위해 위장술을 폈을 가능성도 배제할 수 없다”고 지적했다.

허창수 기자  invitation1010@daum.net

<저작권자 © 월요신문, 무단 전재 및 재배포 금지>

[제보 받습니다] 월요신문 MDN이 독자 여러분의 소중한 제보를 기다립니다.
뉴스 가치나 화제성이 있다고 판단되는 기사 제보 및 사진·영상 등을
월요신문 편집국(wolyo2253@daum.net / 02-2253-4500)으로 보내주시면 적극 반영하겠습니다.

허창수 기자의 다른기사 보기
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
Back to Top