국내 연구그룹 4월 SNS 공개

“워너크라이 이전 버전 사용” .hwp 암호화 등 북한 수법
구글 등 외국보안업체들도 “北 해킹 그룹 코드와 유사”
軍당국, 인포콘 한 단계 격상

지난 12일부터 전 세계 컴퓨터 시스템을 덮친 ‘워너크라이’ 랜섬웨어 악성코드 공격의 배후가 북한일 가능성이 제기됐다. 특히 해외에서 이 같은 분석이 나오기 한 달 전인 지난 4월 이미 국내 보안 전문가들이 워너크라이의 전신 격인 ‘워너크립터 1.0’을 통해 북한 소행임을 파악한 사실도 새롭게 드러났다.

북한 사이버전을 연구하는 한 전문 연구 그룹은 워너크라이 사태가 발생하기 전인 지난 4월 10일 페이스북 계정에 “비너스로커에 이어 북한에서 제작된 것으로 추정되는 또 다른 랜섬웨어(워너크립터 1.0)가 확인됐다”는 글을 올린 사실이 16일 밝혀졌다.

지난해 말부터 올 초까지 유행했던 비너스로커 랜섬웨어는 국내에서 널리 사용되는 압축 프로그램과 한글로 된 정교한 파일명을 사용하는 등 한국인을 타깃으로 한 랜섬웨어였다. 비너스로커를 진화시킨 게 워너크립터 1.0이다. 워너크립터 1.0은 워너크라이 랜섬웨어의 전신으로 중국어 코드가 포함돼 있고 한글과 컴퓨터의 확장자(.hwp)를 암호화 대상으로 넣고 있어 북한 소행이 유력하다는 분석이 제기된다. 해당 그룹은 북한의 랜섬웨어 공격이 ‘비너스로커→워너크립터 1.0→워너크라이’로 진화해 온 것으로 추정한다. 해당 그룹에 속해 있는 보안 전문가는 “북한이 시야를 넓혀 이제 전 세계를 상대로 비트코인(가상화폐)을 통한 외화벌이를 하고 있다”고 분석했다.

해외에서도 북한 소행이 유력하다는 분석이 제기됐다. 가디언 등에 따르면 러시아 사이버 보안업체 카스퍼스키는 이번 사태를 일으킨 악성코드 워너크라이의 초기 버전이 북한과 연계된 해킹그룹 ‘래저러스’(Lazarus)가 만든 코드와 유사하다고 지적했다. 래저러스는 2014년 11월 영화사인 소니픽처스를 해킹했다. 구글 정보보안 전문가인 닐 메타도 래저러스의 백도어 프로그램(보안장벽을 우회하는 장치) ‘캔토피’의 2015년 초기 버전 코드가 지난 2월 워너크라이의 초기 버전에서 발견됐다고 설명했다.

한편 군 당국은 이와 관련해 지난 14일 정보작전방호태세인 ‘인포콘’을 ‘준비태세’ 단계인 4에서 ‘향상된 준비태세’ 단계인 3으로 한 단계 격상했다고 밝혔다.

윤수경 기자 yoon@seoul.co.kr

하종훈 기자 artg@seoul.co.kr

박홍환 전문기자 stinger@seoul.co.kr