미 NSA “랜섬웨어 공격 배후는 북한 정찰총국”

지난달 150여개 국가 공격한 랜섬웨어
공격전술·기술 등 분석결과 북한 배후로 평가
“공격에 사용된 IP, 정찰총국이 사용하던 범위”

미국 국가안보국(NSA)이 지난달 발생한 ‘워너크라이(WannaCry)' 랜섬웨어 공격에 북한 정찰총국이 연루된 것으로 평가하고 있다고 미 언론이 14일(현지시각) 보도했다.

<워싱턴 포스트>는 미 정보기관 관리들의 말을 인용해, 국가안보국이 지난달 150여개 국가의 30만여명에게 피해를 입힌 랜섬웨이 공격에 대해 공격전술과 기술, 표적 등을 분석한 결과 “북한 정찰총국이 연루돼 있다는 평가를 중간 수준의 신빙성”(moderate confidence)을 가지고 지난주에 내부적으로 내렸다고 전했다.

워너크라이는 파일을 암호화한 뒤 비트코인을 지급하면 암호를 풀어주겠다는 메시지를 남겼다. 국가안보국은 두 가지 버전의 워너크라이의 배후에 북한 정찰총국의 후원을 받는 “사이버 행위자들”이 있다고 평가했다. 워너크라이는 국가안보국이 보유한 해킹 툴을 해킹그룹 ‘셰도 브로커스’가 탈취한 후 공개한 해킹소스를 바탕으로 제작됐다.

워너크라이는 북한 정권의 수익을 위해 시도됐지만 결점이 있었다고 이 신문은 전했다. 때문에 해커들은 워너크라이 공격을 통해 14만달러의 가치가 있는 비트코인을 모았지만 이를 현금화하지는 못했다. 사법당국이 거래를 쉽게 추적할 수 있는 오류가 있어서 현금화하지 못한 것으로 전문가들은 보고 있다. 신문은 “국가안보국의 평가가 최종적인 것은 아니지만, 많은 증거들의 평양을 가리키고 있다”며 “공격에 사용된 인터넷주소(IP)가 중국에서 북한 정찰총국이 사용해오던 범위에 있고, (북한이 배후라는) 이런 평가는 최근 서방의 정보기관들이 수집한 정보들과도 일치한다”고 전했다.

보안 전문가들은 지난해 뉴욕 연방준비은행의 방글라데시 중앙은행 계좌를 해킹해 8100만달러를 부정 인출하는 등 아시아 지역에서 은행을 상대로 한 사이버 공격의 배후에도 북한이 있는 것으로 보고 있다.

앞서 13일 미국 국토안보부와 연방수사국(FBI)은 공동 성명을 통해 “북한의 해킹 조직인 ‘히든 코브라’가 2009년부터 미국을 포함한 전 세계 언론·금융·항공우주기관 등 핵심 기반시설을 겨냥해 사이버 공격을 해온 것으로 밝혀졌다”며, 추가 해킹에 대비하라고 경계령을 내렸다.

황상철 기자 rosebud@hani.co.kr