보안업체 "북한 해커조직 '래저러스'사이버 지문 남아", 계좌추적 어려운 비트코인 요구
[뉴스진단]
발견된 코드, 북한과 연계된 해커들의 공격서만 발견
일각에선 "유사 코드 이용 라자루스 '위장'가능성도"
전 세계 150국을 강타한 사상 최대 규모의 '랜섬웨어(ransomware)' 사이버 공격을 일으킨 해커들이 7만달러(약 7800만원) 정도를 벌어들인 것으로 나타났다고 조선일보가 보도했다. 신문에 따르면 톰 보서트 미국 백악관 국토안보보좌관은 15일 정례 브리핑에서 "(이번 사건과 관련해) 7만달러 정도가 해커들에게 건네졌지만, 자료를 복구해준 사례는 없는 것으로 안다"고 말했다.
12일 시작된 이번 공격으로 전 세계 컴퓨터 30만대 이상이 감염된 것으로 추산됐다. 미국 시만텍 등 글로벌 보안업체들은 이번 사이버 공격이 북한의 소행이라는 분석을 내놓고 있다.
해커들은 감염된 컴퓨터의 문서·사진 등 중요 파일을 암호화한 뒤 풀어주는 대가로 300~600달러(약 34만~68만원)의 비트코인(가상 화폐)을 요구했다. 해커들이 달러와 같은 화폐가 아닌 비트코인을 요구한 것은 계좌 주인이 누구인지, 계좌 개설 지역이 어디인지 추적이 힘들기 때문이다. 한국의 경우 실명 인증이 필요하지만, 개발도상국에서는 가짜 이름과 가짜 전화번호로도 만들 수 있다. 정부 당국에서 계좌 폐쇄 조치도 할 수 없다.
보안업계 한 전문가는 "비트코인은 은행 같은 거래기관을 통하지 않고 사용자끼리 직접 거래하고, 그 기록은 수많은 컴퓨터에 나눠서 보관한다"면서 "해커가 보유한 계좌 자체에 얼마가 들었는지는 해당 계좌를 비트코인 거래소에서 조회해보면 알 수 있지만 그 이상은 파악하기 힘들다"고 말했다.
비트코인 계좌는 개인이 전 세계 1000개에 이르는 인터넷 거래소에서 자유롭게 개설할 수 있다. 일단 계좌를 개설하면 현금이나 신용카드로 비트코인을 구매할 수 있고, 거꾸로 비트코인을 현금화할 수도 있다.
신문에 따르면 시만텍과 이스라엘 인테저랩스, 러시아 카스퍼스키 등 보안업체들은 15일 "이번 랜섬웨어 프로그램이 북한 해커 조직으로 추정되는 '래저러스(Lazarus)'가 종전에 사용하던 해킹 프로그램과 상당 부분 일치한다"고 밝혔다.
하지만 일부 보안업체들은 이번 공격을 북한의 소행이라고 단정하기는 이르다고 보고 있다. 유사한 코드를 이용해 라자루스로 '위장'했을 가능성도 있기 때문이다. 다만 뉴욕 타임스는 "발견된 코드는 널리 사용되는 코드가 아니며, 북한과 연계된 해커들의 공격에서만 발견됐다"고 보도했다.
이번 공격에 사용된 랜섬웨어에 '자폭장치'(킬스위치)가 내재돼 있었다는 점도 '북한 배후설'을 강화하고 있다
☞비트코인(bitcoin)
2009년 '나카모토 사토시'라는 닉네임의 프로그램 개발자가 만든 온라인 가상 화폐. 디지털 단위인 '비트(bit)'와 '동전(coin)'의 합성어다. 국가 기관의 규제를 받지 않고 익명이나 차명 거래가 가능하기 때문에 거래를 추적하기 어렵다. 최근 해킹·마약 거래 등의 범죄에 악용되고 있다는 비판이 나온다.
