북한 배후 뒷받침하는 ‘스모킹 건’ 나오나
남북관계에 또 다른 장애물 될 수 있어

[보안뉴스 성기노 객원기자] 최근 전 세계를 강타한 워너크라이(WannaCry) 랜섬웨어 사태와 관련해 북한이 그 배후라는 의혹이 확산되고 있다. 국내외 일부 보안 전문가들은 워너크라이 랜섬웨어의 특징을 바탕으로 이번 대규모 공격을 북한 해커들의 소행으로 추정하고 있다.


최근 보안업계에 따르면 워너크라이 랜섬웨어는 기존 북한 해커들이 사용하던 악성코드와 유사한 것으로 분석됐다. 만약 이 같은 의혹이 사실이라면 이는 심각한 북한의 대남 침략행위다. 최근 북한은 문재인 대통령이 취임하자마자 미사일 발사 실험을 해 혼란을 야기시킨 바 있다. 이는 문재인 정권의 반응을 떠보기 위한 전형적인 대남 전략의 일환이다. 여기에다 최근 발생한 랜섬웨어 사태마저 북한 소행으로 밝혀질 경우 북한이 문재인 정권의 출범을 예상하고 공중과 사이버 상에서 심각한 대남도발을 펼친 것으로 해석된다.

아직 구체적인 단서가 발견된 것은 아니지만 국내외 전문가들은 이번 랜섬웨어의 ‘숙주’가 북한의 것이라는 정황을 계속 내놓고 있다. 최근 구글 연구원 닐 메타와 글로벌 보안업체 카스퍼스키랩은 워너크라이 랜섬웨어 코드가 북한 해커 조직으로 추정되는 래저러스(Lazarus)와 유사하다고 주장했다. 2009년부터 활동을 시작한 래저러스는 2014년 미국 소니픽처스엔터테인먼트 해킹 사건에 이어 지난해 2월에는 국제금융거래망(SWIFT)을 이용한 방글라데시 중앙은행 해킹 사건의 주범으로 지목돼 왔다.

카스퍼스키랩은 올해 2월 퍼진 워너크라이 샘플과 래저러스가 이용해온 악성코드 샘플을 비교한 결과 유사성을 발견했다고 밝혔다. 래저러스는 소니픽처스와 SWIFT망을 해킹할 때 고유의 악성코드 백도어(정상적인 절차 없이 시스템에 접근할 수 있는 우회 프로그램) ‘콘토피’(contopee)를 사용했는데 여기에 사용된 암호화 원리(로직)가 워너크라이 랜섬웨어의 코드와 유사하다는 설명이다. 북한 해커들은 다른 악성코드에서는 발견된 적이 없는, 고유의 암호화 로직을 사용하는 것으로 알려졌다. 워너크라이에서 유사한 로직이 발견됐다는 점은 북한 해커들의 소행일 가능성이 크다는 의미라는 게 전문가들의 해석이다.

특히, 군사전문가들은 북한의 랜섬웨어 공격 시점에 대해 주목하고 있다. 북한은 지난 5월 14일 신형 탄도미사일을 발사하며 군사력을 과시했다. 전 세계적으로 랜섬웨어가 기승을 부리던 시점과 맞물린다. 사실 북한은 작년 8월부터 랜섬웨어를 제작 중이라고 밝혔고, 국내에서도 북한산으로 추정되는 랜섬웨어가 유포돼 왔다. 북한은 이번 랜섬웨어 공격을 통해 사이버 공격 능력과 재래식 무기 능력을 동시에 과시하려는 의도가 있었다는 것이다. 북한은 외화벌이를 위해 랜섬웨어를 이용하고 있다는 의혹도 있다.

하지만 아직까지 북한이 배후라는 구체적이고 직접적인 ‘스모킹 건’이 발견된 것은 아니다. 진짜 범인이 북한 해커의 소행으로 보이도록 일부러 래저러스의 코드를 워너크라이에 심었을 수도 있기 때문이다. 북한이 그동안 국제사회에서 사이버 공격의 주요 의혹 대상자로 찍히면서 다른 범죄자들이 그것을 역이용해 추적을 피하려 할 수도 있다. 그럼에도 정부는 이번 사태의 직접적인 원인을 하루빨리 규명해야 한다. 만약 북한 배후설이 맞다면 향후 남북관계는 또 다른 장애물 하나를 만난 셈이다.
[성기노 객원기자(kino@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>