전 세계를 공격한 '워너크라이(Wannacry)' 랜섬웨어의 배후가 북한이라는 주장이 나오고 있는 가운데 글로벌 보안업체 체크포인트의 전문가가 사건 배후를 지목하는데 신중해야 한다는 의견을 밝혔다.

토니 자비스 체크포인트 최고전략전문가는 24일 서울 삼성동 코엑스인터컨티넨탈호텔에서 기자간담회를 열고 “(사이버공격 배후를) 지목을 한다는 것이 너무나 어렵다”고 말했다.

그는 “이번 워너크라이 랜섬웨어처럼 개인과 기업 등이 공격을 받으면 보안업계에서 공격 징후와 코드를 분석을 하고 특정 국가를 지목하기도 한다”며 “하지만 문제는 배후를 지목한다는 것이 너무나 어렵다는 것”이라고 설명했다.

토니 자비스 최고전략전문가는 “랜섬웨어 등의 코드를 살펴보고 코드에 담긴 코멘트를 보면 특정 국가를 암시하는 것을 알 수 있다”며 “그러나 탐지를 피하기 위해 고의적으로 다른 국가 언어 등을 사용할 수 있다”고 지적했다. 그는 또 “랜섬웨어와 관련된 서버, 웹사이트 주소를 누가 등록했는지를 보고 배후를 지목할 수도 있지만 역시 문제가 있다”며 “공격그룹이 다른 사람의 인프라를 사용해서 공격할 수 있다. 가장 흔한 것이 대학이다. 대학이 공격을 당해 권한을 탈취당할 수 있는데, 이를 이용해 공격했다고 해서 대학을 배후라고 할 수는 없다”고 말했다.

토니 자비스 최고전략전문가는 “어떤 사이버공격의 경우에는 배후를 누구인지 아는 것보다 차후 공격을 어떻게 막을 수 있을지에 중점을 둬야 한다”고 지적했다.

5월 12일부터 마이크로소프트(MS) 윈도 운영체제(OS) 취약점을 악용한 워너크라이 랜섬웨어가 확산돼 영국, 러시아, 중국, 미국, 일본, 독일 등 150여개국 30만 대 이상의 PC와 시스템이 공격을 당했다. 사건 이후 구글 연구원, 미국 시만텍, 러시아 카스퍼스키랩 등은 북한이 이번 공격에 연관됐을 수 있다고 분석했다.

특히 미국 보안업체 시만텍은 23일 워너크라이 악성코드를 분석한 결과 사이버 공격 집단인 라자루스 그룹과 높은 연관성을 발견했다고 발표했다. 라자루스 그룹은 2014년 소니 픽처스 해킹 사건을 일으킨 것으로 알려진 해커 집단이다. 보안 전문가들은 라자루스 그룹과 북한이 연관됐다고 보고 있다.

시만텍 등의 분석에 동의하는지 여부에 대해 토니 자비스 최고전략전문가 “시만텍 입장에 ‘동의한다’, ‘아니다’ 이야기하기는 어렵다”면서도 “특정 세력이 배후에 있다고 보인다고 한 것과 확실해 보인다고 하는 것은 다르다. 그만큼 배후를 찾는 것이 어렵기 때문에 보안 업계가 함께 협력해야 한다”고 강조했다.

1993년 설립된 글로벌 보안업체 체크포인트는 미국과 이스라엘에 본사를 두고 있으며 42개국에 진출해 있다. 이 회사에는 4200명이 근무하고 있으며 전 세계 10만개 이상의 고객사에 보안 솔루션을 제공하고 있다.

[테크M = 강진규 기자(viper@techm.kr)]