[아이뉴스24 김국배기자] 이스라엘 보안업체 체크포인트는 전 세계를 강타한 '워너크라이' 랜섬웨어 공격의 배후를 특정하기 어렵다고 밝혔다.
토니 자비스 체크포인트 최고 전략 전문가는 24일 서울 삼성동 코엑스 인터컨티넨탈호텔에서 열린 기자간담회에서 "(해킹 공격의) 배후를 지목한다는 것은 너무나 어렵다"며 "배후설을 얘기하긴 쉽지만 100% 확실한 증거를 제시하는 것은 불가능하다"고 언급했다.
해커들이 사이버 보안 전문가나 기업이 주로 살피는 사이버 공격의 흔적을 오히려 역으로 조작할 수 있다는 이유에서다.
그는 "랜섬웨어 등의 코드에 담긴 코멘트를 보면 특정 국가를 암시하는 언어들이 들어가 있지만, 해당 언어를 사용하지 않는 국가에서 탐지를 피하기 위해서 다른 국가 언어를 고의적으로 사용하는 경우엔 의미가 없다"고 말했다.
또 "악성코드가 사용하는 서버 등 인터넷 인프라스트럭처나 웹사이트 주소 등록자도 살펴보지만 만약 공격 그룹이 다른 사람의 인프라를 사용해서 공격하는 경우도 있을 수 있다"고 덧붙였다.
가령 대학의 컴퓨터가 공격을 당해 권한을 탈취당하는 경우가 많은데 이를 통해 공격이 이뤄졌다고 대학을 공격 배후라고 말할 수 없다는 게 그의 말이다.
토니 자비스 전략가는 "배후보다는 어떻게 공격이 발생했고, 어떻게 차단할 수 있는지 차후 이런 일이 발생하면 어떻게 막을 수 있을까에 더 주목하고 있다"고 했다.
특히 그는 "공격을 받았으니 보복을 해야 한다는 '공격형 보안'이라는 개념이 생기고 있다"며 "배후를 잘못 지목하면 죄없는 사람에게 역공을 하는 꼴이 된다"고 지적했다.
이어 "물론 어떤 경우에는 정부의 요청으로 지목하는 경우도 있는데 기회 비용은 없는지 고려해야 한다"고 말했다.
시만텍 등의 분석에 대해선 "시만텍이 라자루스를 지목한 건 물론 정당한 얘기일 수 있겠지만 여기에 '동의한다' '안한다' 말하긴 어려울 것 같다"고 말했다.
앞서 시만텍은 이번 워너크라이 랜섬웨어 공격과 라자루스 해킹 그룹 간 높은 연관성을 발견했다며 밝혔다. 라자루스 해킹 그룹은 2014년 미국 소니 픽처스, 2016년 방글라데시 중앙은행을 해킹한 그룹으로 북한과 연계된 것으로 사이버 전문가들은 보고 있다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기