백악관, “증거 있다” 말만 하지 아무런 자료 제시하지 않아
코드 재사용은 증거로 부족...워너크라이 최대 피해자는 중국과 러시아

[보안뉴스 문가용 기자] 미국 정부가 워너크라이(WannaCry) 랜섬웨어 공격을 북한이 실시한 것으로 공식 선언했다. 하지만 모두가 여기에 동의하는 건 아니다. 정보보안의 오랜 난제인 ‘공격자 식별’ 문제 때문이다. 그래서 현재 ‘북한’이라고 의심하는 것까지는 이해가 가지만, 공식적으로 딱 잘라 범인이라고 규정하는 건 또 다른 문제다, 라는 목소리가 미국의 보안 업계에서 나오고 있다.


백악관의 발표에 반기를 든 이들은 “증거가 부족하다”고 말한다. 증거를 누군가 비밀리에 확보하고 있다고 하더라도, 공개적으로 범인을 지목하려면 대중들이 납득할 만한 설명을 해야 한다는 것이다. 여태까지 공개된 증거는 전부 ‘정황상 증거’일뿐이고, 북한이 주범이 아닌 경우에 대한 설명도 충분히 가능하다고 이들은 주장한다.

그 중 하나가 사이버 보안 업체 사이버리즌(Cybereason)의 첩보 책임자인 로스 루스티시(Ross Rustici)다. “증거가 약해요. 결국 사이버 공격에 사용된 코드 등을 특정 인물이 직접 작성했다는 확실한 증거가 나오지 않는 이상, 모든 증거는 정황상 증거일 수밖에 없습니다.”

하지만 백악관 국토안보보좌관인 토마스 보서트(Thomas Bossert)는 월스트리트저널에 기고한 칼럼을 통해 “미국 정부는 분명한 증거를 확보하고 있다”고 주장했다. 그러나 그것이 무엇인지는 언급이 없었다. “보서트가 공개한 정보들은 이미 보안 업계가 대중들에게 한참 전부터 공개한 것입니다.”

또한 보서트는 미국 말고 다른 정부들과 민간 기술 업체들도 같은 결론에 도달했다고 ‘북한을 지목한 것’에 대한 근거를 제시했다. 영국은 이미 9월부터 북한을 공식 워너크라이 공격자로 지정한 바 있다. 마이크로소프트도 북한이라고 공개적으로 결론 내렸다. 실제로 MS도 자사 블로그를 통해 백악관의 선언에 힘을 실어주었다. MS의 법무 책임자인 브래드 스미스(Brad Smith)는 “국가가 다른 나라의 민간 부문을 공격할 때, 정부가 공개적으로 목소리를 내고 해당 국가를 지명하는 건 반드시 필요한 일”이라고 밝혔다.

시만텍(Symantec)도 워너크라이가 북한의 소행이라고 보는 업체 중 하나다. 하지만 좀 애매한 게, “워너크라이는 북한 짓”이라고 직접 언급한 적은 없다. 시만텍은 “워너크라이는 라자루스 그룹이 실행했을 가능성이 높다”고 했지만, 라자루스가 북한의 해킹 조직이라고는 하지 않았다. 오히려 시만텍은 “확실한 결론을 내리기에는 증거가 불충분하다”는 성명을 낸 적은 있다.

시만텍은 워너크라이로 세상이 시끄러웠을 무렵 “멀웨어 샘플 세 개를 분석한 결과 라자루스 그룹과 관련이 있는 것으로 보이는 증거를 확보할 수 있었다”고 발표했다. 하나는 2014년 소니 공격에 사용된 디스크 삭제형 멀웨어였다. 두 번째는 라자루스가 이전 공격에 활용했던 트로이목마의 변종이었다. 마지막은 워너크라이 공격자와 라자루스 그룹이 같은 IP 주소와 같은 난독화 기법을 활용했다는 것이었다.

당시 시만텍의 기술 책임자인 비크람 타쿠르(Vikram Thakur)는 “워너크라이가 라자루스 그룹의 작품이라는 것에 대해서는 거의 의심하지 않는다”고 발표했다. 하지만 위에 언급했듯, “라자루스 그룹은 북한의 해커 조직이다”라는 말은 덧붙이지 않았다. 보안 업체들이 흔히 사용하는 화법이다.

이번 미국 정부의 발표에 대해 비크루 타쿠르는 “어떤 증거를 백악관이 확보했는지 모르겠다”고 말한다. “하지만 이번 발표 날짜와, 오바마 정권 당시 2014년 소니 공격에 대해 ‘북한이 그랬다’는 공식 발표가 있었던 날이 겹치죠.” 타쿠르는 말을 아꼈지만, 미국 정부가 같은 날짜를 고른 것에는 이유가 있을 것이라고 본다는 눈치다. 그 이유로 그는 ‘도발’이나 ‘자극’을 생각하는 듯 “당분간 라자루스가 더 거칠게 날뛸 것으로 보인다”고 인터뷰를 마쳤다.

사이버리즌의 루스티시는 “코드의 유사성은 요즘 같이 코드 재활용이 만연한 시대에 아무런 증거가 되지 못한다”고 주장한다. “심지어 요즘은 정체를 감추기 위해 다른 공격 단체가 사용한 코드를 일부러 차용하기도 하죠. 코드 유사성은 어디까지나 ‘관계성’을 의심을 해볼 만한 근거지, 확신을 줄 수 있는 자료는 아닙니다.” 실제로 코드를 바꿔 쓰거나 남의 것을 가져다 쓰면서 자신의 정체를 감추는 공격자들의 기만행위는 익히 알려져 온 기법이다.

또한 루스티시는 “러시아와 중국이 워너크라이의 최대 피해자라는 것도 이상하지 않은가?”라고 묻는다. “이 두 나라는 전통적으로 북한과 가까운 국가들입니다. 정작 북한의 주적인 미국, 대한민국, 일본은 워너크라이에 거의 피해가 없었고요. 이런 이유가 아니더라도, 북한의 인터넷은 중국과 러시아를 통해서 연결됩니다. 자신들의 인터넷 연결 자체를 위험에 빠트리는 행위를 정말 북한이 했을까요?”

보안 업체 트립와이어(Tripwire)의 부회장 팀 얼린(Tim Erlin)은 “정부가 앞장서서 다른 국가를 사이버 공격자라고 지목할 때는 많은 사람들이 수긍할만한 자료를 같이 제시해야 한다”는 의견이다.

“물론 정부가 모든 자료를 다 공개할 수 없다는 건 이해하고 있습니다. 그러나 지금처럼 모든 걸 꽁꽁 숨겨두고 ‘무조건 내 말이 맞아’라는 태도에 변화가 필요하지 않은 것도 아닙니다. 그 중간선 어딘가에 적절한 지점이 있을 겁니다. 그 지점을 찾아내는 게 불확실한 범인을 논란 가운데 지목하는 것보다 급선무라고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>