Uncategorized

미국 백악관, 사이버공격 배후로 러시아 지목…북한 랜섬웨어 공격과 4가지 차이점

대미(對美) 사이버 공격의 배후로 처음 러시아 지목한 미국, 북한발 사이버 공격과 비교해보니…

글 | 김동연 월간조선 기자/ 자동차 칼럼니스트

본문이미지
사라 허카비 샌더스 백악관 대변인이 기자들 앞에서 말하고 있다. 사진=위키미디어

작년 5월, 전세계는 자신이 사용하는 컴퓨터가 볼모로 잡히는 사상 초유의 사건이 발생했다. 사람이 인질로 잡히듯이 컴퓨터를 인질로 잡고 해커가 컴퓨터 주인에게 돈을 요구한 것이다. 이 때문에 해당 해킹은 워너크라이 랜섬웨어(Wannacry ransomeware)로 불린다. 랜섬(ransome)은 인질의 몸값을 뜻하는 영어 단어다. 해당 랜섬웨어는 전세계 150여개국으로 전파되어 감염된 컴퓨터는 약 23만여대로 집계됐다. 해당 공격 이후 기자는 [월간조선] 2017년 8월호를 통해 해당 공격의 배후 등을 분석한 기사를 보도했다.

당시 공격의 배후가 북한이라는 점이 미국 정부와 사이버 보안업체, 시만텍 등을 통해 확인됐다. 기자는 랜섬웨어 관련 사실을 추적하는 과정에서 해당 공격이 북한에 대한 제재안(resolution)을 만드는 유엔(UN)의 핵심부서도 공격을 받았음을 확인했다. 또 해당 공격이 지능적인 방법으로 유엔의 실제 대북제재안을 추적하는 담당관의 이메일에 도착했음을 확인했다.
랜섬웨어를 첨부한 이메일이 마치 업무와 관련된 것으로 위장하여 해당 담당관과 평소 친분이 있는 사람의 이메일 주소를 도용, 파일을 열어볼 것을 권유하도록 되어 있었다. 유엔 내부의 상황을 상세히 알지 못하고서는 그런 위장은 쉽지 않은 것이다. 그만큼 북한이 북한에 위협이 되는 조직 등을 타깃으로 삼았음을 알 수 있다.
뿐만 아니라, 미국 뉴욕대(New York Univ.) 산하에서 4차 산업의 핵심분야를 연구하는 대학원생들을 상대로 랜섬웨어 공격이 있었다는 사실도 확인했다. 북한이 차세대 산업분야에도 침투하여 관련 정보 등을 수집하려는 의도가 담겨 있음이 확인된 셈이다. 두 공격 모두 첨부파일이 제대로 열리지 않아, 큰 피해는 없었다고 한다.
이 외에도 북한이 이란을 통한 국내 유수 정유사를 1년 넘게 사이버 공격한 사실도 작년말 확인했으며, 평창 올림픽을 앞두고 국내 관공서로 상당한 양의 북한발(發) 사이버 공격이 있었던 사실도 미국의 사이버 보안회사 파이어아이를 통해 확인했다. 본 내용에 대한 정부 및 정유사의 공식 입장은 확인된 바 없다. 이렇듯 북한의 사이버 공격이 날로 진화하고 있으며, 우리 사회 곳곳에 침투하고 있다.
이런 가운데, 지난 2월 15일 미국 백악관이 러시아를 랜섬웨어의 배후로 공식 입장을 발표했다. 백악관이 공식적으로 러시아를 사이버 공격의 대상으로 지목한 것은 처음이다. 또한 해당 행위에 대한 대가를 치를 것이라는 암시를 하기도 했다(This was also a reckless and indiscriminate cyber-attack that will be met with international consequences).
이번 발표 내용은 고개를 갸우뚱하게 만든다. 일부는 랜섬웨어의 배후가 북한이라더니, 갑자기 러시아로 바뀐 것이냐고 생각할지도 모른다. 혹은 미국이 말하는 사이버 공격의 배후가 자신들의 입맛대로 달라지는 것이냐고 반문할지도 모른다. 또 국내에서 백악관의 내용을 보도할때도 랜섬웨어라고만 할뿐, 이것이 정확이 어떤 랜섬웨어인지는 말하지 않아 의도치않게 작년에 있었던 북한발 랜섬웨어 공격을 무마하는 것처럼 보인다.
본문이미지
작년 5월 북한발 랜섬웨어 공격에 대응중인 한국인터넷진흥원. 사진=조선일보
북한발 공격과 러시아발 공격의 차이
그러나 백악관은 해당 공격이 정확히 ‘낫페탸(Notpetya)’ 랜섬웨어라고 지칭했다. 즉 북한이 자행한 워너크라이(Wannacry)와는 엄연히 다른 종류의 랜섬웨어다. 따라서 북한발 랜섬웨어 공격 이외에 있었던 러시아발 랜섬웨어 공격을 백악관이 말한 것이다.
실제 미국의 컴퓨터회사 IBM의 보안담당자가 포브스(Forbes)와의 인터뷰에서 둘의 차이에 대해 설명했다.
1. 공격시점의 차이
분석에 따르면, 두 랜섬웨어는 여러가지 차이를 가지고 있다. 일단 공격시점이 다르다. 북한발 워너크라이 랜섬웨어 공격은 작년 5월이다. 반면, 러시아발 낫페탸 랜섬웨어 공격은 6월이다. 즉 공격의 시작 시기에서 한달가량 차이가 있다. 물론 두 공격모두 전세계 100여개국 이상에 피해를 입힌 부분은 같다.
2. 기능적 차이
북한발 워너크라이는 랜섬웨어라는 이름처럼 정말로 컴퓨터를 인질로 잡는 기능이 탑재됐다. 프로그램 상에서 목표가 된 컴퓨터로 침투하여 해당 컴퓨터의 기능을 잠가버린다. 잠긴 뒤에는 해커가 풀어주지 않는 이상 잠김을 풀수가 없다. 이 랜섬웨어 안에는 컴퓨터의 기능을 잠그기 위한 암호화기능(encryption)이 포함되어 있다.
반면, 러시아발 낫페탸 랜섬웨어는 이름만 랜섬웨어일뿐 실제로는 와이퍼(wiper)다. 와이퍼는 공격에 대상이 된 컴퓨터 안의 모든 내용을 밀어버리는 기능을 말한다. 즉 이름만 랜섬웨어일뿐 실제로는 목표물에 저장된 메모리를 다 지워버리는게 낫페탸의 주요기능이라는 것이다. 따라서 북한발 워너크라이와는 기술면에서 원천적으로 다르다.
3. 보안상 차이
북한발 워너크라이는 당시 다수의 사이버 보안업체 등이 사용자들에게 제공한 보안패치로 막을 수 있다. 해당 패치를 사전에 깔아두면 워너크라이 공격이 들어와도 공격을 막아낼 수 있다.
그런데 러시아발 낫페탸는 해당 패치를 사전에 깔아놓았다고 하더라도 막을 수 없다고 한다.
4. 네트워크상 차이
북한발 워너크라이는 공격을 받았다고 해서 곧장 피해자의 컴퓨터가 잠기지 않는다. 공격을 받은 이후에 공격을 시작한 해커의 전산망과 접속이 되어야만 공격이 진행된다. 즉 해킹프로그램이 지휘자의 지휘를 받는 네트워크상의 구조를 가지고 있다.
그러나 러시아발 낫페탸는 공격을 받은 뒤 공격을 지휘하는 해커와의 네트워크상 접속이 필요없다. 능동적으로 공격을 진행하도록 설계되었다. 따라서 공격을 받자마자 바로 컴퓨터는 피해를 입게되는 구조다.
두 랜섬웨어 모두 공통점도 있다. 두 랜섬웨어는 피해자의 컴퓨터가 윈도우스(Windows)체계일때만 활성화 된다. 윈도우가 아닌 다른 시스템을 사용할 경우에는 아무런 피해를 주지 않는다고 한다.
본문이미지
러시아의 사이버 공격에 관한 백안관 성명. 사진=백악관 공식 홈페이지 캡처
평창올림픽 개막식때 있었던 와이파이 먹통의 배후…
종합하자면, 이번 백악관의 발표는 작년 비슷한 시기 발생했던 두 건의 랜섬웨어 사이버 공격 중 북한발 워너크라이 사이버 공격이 아니라, 러시아발 낫페탸 랜섬웨어 공격을 지목한 것이다. 따라서 북한발 공격과 헷갈려서는 안되며, 여전히 북한의 사이버 공격은 위협적이라고 사이버보안업계에서 평가받고 있다. 특히 이번 평창동계올림픽 개막식에서 발생했던 갑작스런 와이파이 먹통 사태는 올림픽 개막 이전부터 국내 관공서 등으로 전달된 사이버 공격의 피해에 의한 것이 아닌지 의심이 된다.
미국의 사이버보안기업 파이어아이(FireEye)에 따르면, 평창올림픽 기간에 맞춰 사이버 공격이 증가했다고 한다. 국내 공공전산망과 사기업, 스포츠연맹 등에 동계올림픽과 관련된 사이버 공격을 하고 있다고 한다. 해커들은 한국의 대테러기구(NCTC) 등 정부기관에서 발송한 이메일로 위장하여 국내 정부기관에 이메일을 보낸 뒤 정보를 탈취하는 방법을 쓰고 있다. 이메일의 제목 등도 실제 정부에서 만든 것처럼 “농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.doc”라는 첨부파일 등과 함께 발송됐다. 이미 국내 약 30개의 정부기관이 해당 이메일을 받은 것으로 파이어아이는 보고 있다. 해당 파일을 내려받으면, 컴퓨터 내 정보 등의 탈취가 이뤄진다. 국방 관련 정보에서부터 정부의 금융 관련 탈취까지 이루어진다는 게 파이어아이의 설명이다.
이메일을 발송한 도메인 등도 실제로 우리 정부가 사용 중인 go.kr 등을 사용해 다수의 정부기관에서 파일을 의심 없이 열어봤을 것으로 보고 있다. 정부가 이런 공격을 받은 사실을 인지는 하는 것인지조차 미지수다. 이번 공격은 체코의 서버망 등을 경유하여 감행된 것으로 알려졌다. 앞서 여러 사이버 공격에서 외국의 서버 등을 활용했던 북한이 가담했을 가능성도 있어 보인다.

등록일 : 2018-02-26 09:14   |  수정일 : 2018-02-26 09:43

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google photo

Google의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중