시만텍, 랜섬웨어 배후로 북한 연계 라자루스 그룹 지목

[한국금융신문 고영훈 기자] 시만텍이 최근 전 세계적으로 확산된 ‘워너크라이 랜섬웨어’의 분석 결과, 사이버 공격 집단인 라자루스(Lazarus) 그룹과의 높은 연관성을 발견했다고 지난 23일 밝혔다. 라자루스는 북한 정부와 연계된 것으로 알려져 있다.

시만텍은 조사 결과 워너크라이 랜섬웨어 공격에 사용된 툴과 인프라가 소니 픽처스(Sony Pictures) 해킹과 방글라데시 중앙은행에서 8100만 달러의 절도를 감행한 라자루스 그룹이 사용한 기술과 상당히 유사해 동일 그룹의 소행으로 확신하며, 이에 따라 워너크라이 공격의 배후가 라자루스 그룹일 가능성이 높다고 분석했다.

시만텍은 지난 몇 개월 간의 워너크라이 랜섬웨어의 공격을 분석해 라자루스 그룹과 연관성을 확인했다고 발표했다.
워너크라이는 과거 라자루스와 연관성이 있었던 콘토피 백도어(Backdoor.Contopee)와 악성코드를 공유하는 것으로 확인됐다. 또한 워너크라이는 라자루스와 관련된 악성코드인 페이크퓨드와 유사한 코드 난독화를 사용하며, 지난 3~4월 워너크라이 확산에 사용된 알판크 트로이목마(Trojan.Alphanc) 역시 라자루스 그룹과 연관성이 있다는 의견이다.

윤광택 시만텍코리아 CTO는 “워너크라이 공격은 과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아닌 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 활동으로 보인다”고 설명했다.



고영훈 기자 gyh@fntimes.com