2017.05.16

"워너크라이 랜섬웨어, 북한과 연계됐을 가능성 있지만 단정은 못한다"…카스퍼스키, 시만텍

Michael Kan | IDG News Service
워너크라이 초기 버전은 라자러스 그룹(Lazarus Group)에 의해 사용된 해킹 툴에 사용된 코드를 공유하고 있다.



보안 연구원들이 지난 12일 워너크라이(WannaCry) 랜섬웨어 공격을 조사한 결과, 전세계 은행들을 공격해 비난을 받고 있는 한 북한 해킹 그룹과 연관이 있을 지 모르는 단서를 발견했다.

하지만 이는 결정적인 증거가 아니다. 그러나 보안 연구원들은 워너크라이의 초기 버전과 라자러스 그룹(Lazarus Group)가 사용하는 해킹 툴 간의 유사성에 주목했다.

2014년 소니 해킹과 최근 은행 강도 사건과 연루된 것으로 강력한 혐의를 받고 있는 이 그룹을 보안 연구원들은 북한을 위해 일하고 있다고 추정한다.

분명, 2월에 발견된 워너크라이의 변종은 라자러스 그룹이 2015년에 사용했던 해킹 툴과 일부 코드를 공유하고 있다. 구글 연구원 닐 메타는 이 유사성을 파악하고 15일 보안업체인 카스퍼스키랩을 비롯한 다른 전문가에게 검증받았다.

카스퍼스키랩은 블로그를 통해 "현재 워너크라이 구버전에 대해서는 좀더 많은 연구가 필요하다. 우리는 이것이 이번 공격에 대한 비밀의 일부를 풀 수 있는 열쇠라고 믿는다"고 말했다.

15일 시만텍 또한 워너크라이를 어둠의 그룹과 연계할 수 있는 단서를 발견했다고 밝혔다. 시만텍 기술 책임자 비크람 타쿠르(Vikram Thakur)에 따르면, 라자러스가 사용한 해킹 툴로 해킹된 기기에서 이번 랜섬웨어 초기버전을 발견했다.

타쿠르는 "이 툴이 발견되자마자 워너크라이 파일들이 표시되는 걸 볼 수 있었다"고 말했다. 그러나 이 워너크라이 샘플은 모두 이전 변종이며, 12일 전세계 윈도우 시스템을 감염시킨 것과는 다르다.

시만텍은 최신 워너크라이 샘플 또한 라자러스 그룹의 해킹 툴과 코드를 공유하는지 조사하고 있다. 그러나 코드가 겹친다 하더라도 별개의 해커가 어둠의 그룹에서 사용했던 과거 악성코드로부터 코드를 훔쳐낼 가능성도 있기 때문에 단정할 수는 없다.

보안 전문가에 따르면, 일단 해킹 툴이 사용되면 이 해킹 툴은 종종 유출되는데, 누군가 이를 사용할 수 있다는 걸 의미한다. 타쿠르는 공유 코드가 얼마나 널리 퍼져 있는 지 조사하고 있다고 말했다.

타쿠르는 "이 코드가 널리 사용되고 있다면, 라자러스는 워너크라이와 연루됐을 확률이 낮아진다"고 말했다.

타쿠르는 "라자러스 툴과 워너크라이에 감염된 이 컴퓨터는 다른 형태의 악성코드에도 감염됐을 지 모른다"고 말했다. 다른 해커들도 동일 시스템을 목표로 삼았다면
그 증거는 정황 증거로 제시될 수 있다. 타쿠르는 "이번 분석으로 결론을 내리기엔 부족한 듯하다"고 말했다.

전세계 각 정부들은 12일 랜섬웨어 공격의 배후에 대해 대해 조사하고 있다.

미국 국토안보 보좌관 톰 보셋트은 15일 기자 브리핑에서 "우리에게 단서가 없다는 것을 말하길 원치 않는다. 가장 최선의 사람들이 현재 작업을 하고 있다"고 말했다. editor@itworld.co.kr  


2017.05.16

"워너크라이 랜섬웨어, 북한과 연계됐을 가능성 있지만 단정은 못한다"…카스퍼스키, 시만텍

Michael Kan | IDG News Service
워너크라이 초기 버전은 라자러스 그룹(Lazarus Group)에 의해 사용된 해킹 툴에 사용된 코드를 공유하고 있다.



보안 연구원들이 지난 12일 워너크라이(WannaCry) 랜섬웨어 공격을 조사한 결과, 전세계 은행들을 공격해 비난을 받고 있는 한 북한 해킹 그룹과 연관이 있을 지 모르는 단서를 발견했다.

하지만 이는 결정적인 증거가 아니다. 그러나 보안 연구원들은 워너크라이의 초기 버전과 라자러스 그룹(Lazarus Group)가 사용하는 해킹 툴 간의 유사성에 주목했다.

2014년 소니 해킹과 최근 은행 강도 사건과 연루된 것으로 강력한 혐의를 받고 있는 이 그룹을 보안 연구원들은 북한을 위해 일하고 있다고 추정한다.

분명, 2월에 발견된 워너크라이의 변종은 라자러스 그룹이 2015년에 사용했던 해킹 툴과 일부 코드를 공유하고 있다. 구글 연구원 닐 메타는 이 유사성을 파악하고 15일 보안업체인 카스퍼스키랩을 비롯한 다른 전문가에게 검증받았다.

카스퍼스키랩은 블로그를 통해 "현재 워너크라이 구버전에 대해서는 좀더 많은 연구가 필요하다. 우리는 이것이 이번 공격에 대한 비밀의 일부를 풀 수 있는 열쇠라고 믿는다"고 말했다.

15일 시만텍 또한 워너크라이를 어둠의 그룹과 연계할 수 있는 단서를 발견했다고 밝혔다. 시만텍 기술 책임자 비크람 타쿠르(Vikram Thakur)에 따르면, 라자러스가 사용한 해킹 툴로 해킹된 기기에서 이번 랜섬웨어 초기버전을 발견했다.

타쿠르는 "이 툴이 발견되자마자 워너크라이 파일들이 표시되는 걸 볼 수 있었다"고 말했다. 그러나 이 워너크라이 샘플은 모두 이전 변종이며, 12일 전세계 윈도우 시스템을 감염시킨 것과는 다르다.

시만텍은 최신 워너크라이 샘플 또한 라자러스 그룹의 해킹 툴과 코드를 공유하는지 조사하고 있다. 그러나 코드가 겹친다 하더라도 별개의 해커가 어둠의 그룹에서 사용했던 과거 악성코드로부터 코드를 훔쳐낼 가능성도 있기 때문에 단정할 수는 없다.

보안 전문가에 따르면, 일단 해킹 툴이 사용되면 이 해킹 툴은 종종 유출되는데, 누군가 이를 사용할 수 있다는 걸 의미한다. 타쿠르는 공유 코드가 얼마나 널리 퍼져 있는 지 조사하고 있다고 말했다.

타쿠르는 "이 코드가 널리 사용되고 있다면, 라자러스는 워너크라이와 연루됐을 확률이 낮아진다"고 말했다.

타쿠르는 "라자러스 툴과 워너크라이에 감염된 이 컴퓨터는 다른 형태의 악성코드에도 감염됐을 지 모른다"고 말했다. 다른 해커들도 동일 시스템을 목표로 삼았다면
그 증거는 정황 증거로 제시될 수 있다. 타쿠르는 "이번 분석으로 결론을 내리기엔 부족한 듯하다"고 말했다.

전세계 각 정부들은 12일 랜섬웨어 공격의 배후에 대해 대해 조사하고 있다.

미국 국토안보 보좌관 톰 보셋트은 15일 기자 브리핑에서 "우리에게 단서가 없다는 것을 말하길 원치 않는다. 가장 최선의 사람들이 현재 작업을 하고 있다"고 말했다. editor@itworld.co.kr  


X