2020-02-27 07:45 (목)
시만텍 “워너크라이, 소니 공격한 조직과 동일”…북한을 공격 배후로 지목
상태바
시만텍 “워너크라이, 소니 공격한 조직과 동일”…북한을 공격 배후로 지목
  • 길민권 기자
  • 승인 2017.05.23 14:52
이 기사를 공유합니다

“공격에 사용된 5개 악성코드 가운데 3개가 라자루스 그룹과 관련된 악성코드”

▲ 출처 시만텍 사이트. 워너크라이와 라자루스 연관성.
▲ 출처 시만텍 사이트. 워너크라이와 라자루스 연관성.
“워너크라이 랜섬웨어 공격에 사용된 툴과 인프라가 소니 픽처스(Sony Pictures) 해킹과 방글라데시 중앙은행에서 8,100만 달러를 탈취한 라자루스 그룹이 사용한 기술과 상당히 유사해 동일 그룹의 소행으로 확신하며, 이에 따라 워너크라이 공격의 배후가 라자루스 그룹일 가능성이 높다.” –시만텍-

최근 전 세계적으로 확산된 ‘워너크라이 랜섬웨어(Ransom.Wannacry)’의 분석 결과, 사이버 공격 집단인 라자루스(Lazarus) 그룹과의 높은 연관성을 발견했다고 시만텍이 23일 발표했다. 즉 북한이 배후에 있다는 내용이다.

시만텍 측은 “워너크라이를 최초로 발견한 것은 올해 2월 10일로, 당시 감염된 조직에서는 1차 감염 2분만에 100대 이상의 컴퓨터가 감염되었다. 당시 공격에서 발견된 5개의 악성코드 가운데 3개가 라자루스 그룹과 연관이 있는 악성코드인 것으로 나타났다”며 “두 가지는 소니픽처스 공격에 사용된 데스토버(Backdoor.Destover)의 변종이며, 다른 하나는 과거에 라자루스 그룹이 대한민국을 겨냥한 공격을 감행했을 때 사용했던 볼그머 트로이목마(Trojan.Volgmer)인 것으로 확인되었다. 이후 3월 말 새로운 버전의 워너크라이가 발견된 2차 공격에서 워너크라이와 라자루스 그룹 배후에 있는 공격자들 간에 연관성이 있음을 더욱 입증해주는 정보들이 확인되었다”고 밝혔다.

1차, 2차 공격의 워너크라이 랜섬웨어에서 라자루스 그룹이 전통적으로 사용해온 악성코드가 발견된 반면, 5월 12일 3차 공격에서는 MS 윈도 운영체제의 SMB 취약점(CVE-2017-0144 및 CVE-2017-0145)을 이용한 "EternalBlue" 익스플로잇을 통합해 한층 진화한 버전의 워너크라이가 배포되었다. 새로운 버전의 워너크라이는 랜섬웨어와 웜이 결합돼 네트워크와 인터넷을 통해 패치가 되지 않은 컴퓨터를 중심으로 빠르게 확산되었으며, 최근 몇 년간 발견된 악성코드 가운데 손꼽히는 강력한 악성코드로 파괴력을 갖게 되었다는 것이다.

또 이 회사는 “워너크라이 확산에 사용된 툴의 유사점 외에도, 워너크라이 공격과 라자루스 사이에는 여러 가지 관련성이 존재하고 있다. 워너크라이는 과거 라자루스와 연관성이 있었던 콘토피 백도어(Backdoor.Contopee)와 악성코드를 공유하는 것으로 확인되었다”며 “또한 워너크라이는 라자루스와 관련된 악성코드인 페이크퓨드(Infostealer.Fakepude)와 유사한 코드 난독화를 사용하며, 3~4월 워너크라이 확산에 사용된 알판크 트로이목마(Trojan.Alphanc) 역시 라자루스 그룹과 연관성이 있다”고 주장했다.

윤광택 시만텍코리아 CTO는 “워너크라이 랜섬웨어를 분석한 결과, 사용된 코드와 인프라, 기술 등 여러 가지 요소가 과거 소니픽처스나 방글라데시 은행을 공격한 라자루스 그룹이 사용한 것과 기술적 연관성이 상당히 높은 것으로 확인돼 워너크라이 랜섬웨어의 배후에 라자루스 그룹이 있는 것으로 보고 있다”며, “다만, 워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아니라, 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다”고 설명했다.

▲ 출처 카스퍼스키랩.
▲ 출처 카스퍼스키랩.
한편 카스퍼스키랩 측은 “라자루스 해킹그룹 소니픽쳐스(SPE) 사건 이전에도 수년간 활동했으며, 여전히 활동을 이어가고 있는 것으로 조사됐다. 이들은 대한민국에 있는 은행과 방송국을 겨냥한 다크서울(DarkSeoul) 공격, 대한한국 군을 겨냥한 Troy 공격 및 Sony Pictures 공격을 비롯한 여러 공격에 사용된 악성 코드 사이에서 연결점을 발견할 수 있었다”고 설명했다.

또 “이들의 공격샘플의 제작 날짜를 분석한 결과 오래된 공격은 2009년까지 거슬러 올라갔다. 소니를 대상으로 한 악명 높은 공격이 있던 해보다 7년이나 앞선 것이다. 새로운 악성 샘플의 수는 2010년 이후로 급격히 증가했다. 이것은 라자루스 그룹이 안정적이고 오래 유지되고 있는 해커 조직임을 뜻한다. 또 이들이 사용한 대부분의 악성 코드는 대한민국 표준 시간대(GMT+8 – GMT+9 사이)에 제작된 것으로 나타났다”고 설명하고 있다.

시만텍에서 분석한 보다 상세한 내용은 아래 링크를 참조하면 된다.

-www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group

★정보보안 대표 미디어 데일리시큐!★