시만텍, ‘워너크라이’ 랜섬웨어 배후로 라자루스 지목

가 +
가 -

글로벌 사이버 보안 업체 시만텍이 워너크라이 랜섬웨어의 배후로 북한 정부와 연계된 해킹단체 ‘라자루스’ 그룹을 지목했다.

시만텍은 5월23일 워너크라이 랜섬웨어를 조사한 결과 공격에 사용된 툴과 인프라가 라자루스 그룹이 사용했던 기술과 상당히 유사하다고 밝혔다. 이어 워너크라이 공격의 배후가 라자루스 그룹일 가능성이 높다고 분석했다.

워나크립트 랜섬웨어가 작동하는 모습(사진=아베스트 블로그 갈무리)

워나크립트 랜섬웨어가 작동하는 모습(사진=아베스트 블로그 갈무리)

시만텍은 지난 몇 개월 간 워너크라이 랜섬웨어 공격을 분석했다. 시만텍이 워너크라이를 최초로 발견한 것은 지난 2월10일이다. 당시 공격에서 발견된 5개의 악성코드 가운데 3개가 라자루스 그룹과 연관된 악성코드였다. 이 중 두 가지는 소니픽처스 공격에 사용된 데스토버의 변종이었고, 다른 하나는 과거 라자루스 그룹이 한국을 겨냥한 공격을 했을 때 사용했던 볼그머 트로이목마인 것으로 확인됐다.

이후 3월 말 새로운 버전의 워너크라이가 발견된 2차 공격에서는 라자루스 그룹과의 연관성을 더욱 입증해주는 정보들이 확인됐다.

워너크라이 랜섬웨어의 1·2차 공격에서는 라자루스 그룹이 전통적으로 사용해온 악성코드가 발견된 반면, 5월12일 발생한 3차 공격에서는 MS 윈도우 운영체제의 SMBServer Message Block. MS와 IBM, 인텔에서 공동으로 개발한 프로토콜.close 취약점을 이용한 한층 진화한 버전의 워너크라이가 배포됐다.

워너크라이 확산에 사용된 툴이 유사하다는 것 외에도 워너크라이 공격과 라자루스 사이에는 여러가지 관련성이 존재한다는 게 시만텍의 설명이다. 이번 워너크라이 랜섬웨어는 과거 라자루스와 연관됐던 콘토피백도어와 악성코드를 공유하는 것으로 확인됐다. 또 워너크라이는 라자루스와 관련된 악성코드인 페이크퓨드와 유사한 코드 난독화를 사용하며, 3-4월 워너크라이 확산에 사용된 알판크 트로이목마 역시 라자루스 그룹과 연관성이 있다.

윤광택 시만텍코리아 CTO는 “워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란의 목적이 아니라, 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다”라고 설명했다.

화이트해커가 되기 위한 8가지 웹 해킹 기술

블로터 독자를 위한 특별 할인쿠폰이 발행되었습니다.