"무기 같다고 동일범이라 단정짓기 어려워…개발자, 공격자 다를 수 있다"
국내 피해, 대부분 '윈도 7' 등 구형 PC에서 발생
[아시아경제 한진주 기자] 인터넷진흥원이 전 세계를 강타한 랜섬웨어 '워너크라이' 공격 주체가 북한이라고 단정 짓기는 이르다고 밝혔다.
신대규 인터넷진흥원 침해사고분석단장은 "(워너크라이)의 공격주체가 북한인지 아닌지는 알 수 없다"며 "악성코드의 유사성이 있을 수 있지만 세부적인 내용으로 봤을 때 행위 주체가 누군지 확인되지 않았다"고 말했다.
신 단장은 "소니픽처스 해킹의 경우 북한의 IP가 발견됐기 때문에 북한 소행이라고 했지만 지금 상황에서는 무기가 같다고 동일범이라고 단정짓기 어렵다"고 말했다.
앞서 FBI는 소니픽처스 해킹 공격이 북한 소행이라고 결론을 내렸다. 그 근거는 해킹공격에 쓰인 악성코드가 과거 북한 소행으로 의심된 사건에 쓰인 것과 유사하고, 공격에 사용된 악성코드에서 북한 IP 주소 흔적이 발견됐다는 점이었다.
신 단장은 "공격자가 같은 사람인지를 프로파일링 하려면 여러가지 요소가 들어가야하고, 개발한 사람과 시행한 사람이 다를 수 있다"고 덧붙였다.
26일 기준으로 인터넷진흥원에 접수된 워너크라이 피해는 총 21건, 신고된 건수는 총 21건이다. 22일 이후 신고가 잦아들었다. 랜섬웨어 관련 상담 건수(118센터)도 지난 14일 2863건으로 최고조에 이르렀다가 점차 감소, 26일에는 41건을 기록했다.
해외와 마찬가지로 국내에서도 '윈도 7'을 사용하는 PC들의 피해가 컸다. 신 단장은 "국내에서 피해 신고가 접수된 곳들 대부분은 윈도 7을 쓰고 있었고 일부는 윈도 XP도 있었다"며 "대부분 구형 시스템을 쓰는 경우가 많았고 윈도10는 없었다"고 설명했다.
인터넷진흥원은 '워너크라이' 랜섬웨어 공격에 예상보다 어설픈 부분도 존재한다고 분석했다. 복호화 비용을 지불했음에도 복구가 이뤄지지 않거나 이미 패치가 나온 취약점을 활용했다는 이유에서다.
신 단장은 "비트코인을 내면 복호화 해줘야하는데 지불한 사람을 확인하는 매커니즘이 부족한 면이 있었다"며 "NSA에서 활용해서 패치가 이미 나온 취약점을 이용했다는 점에서 초보적이라는 지적이 나오는데 코드부분까지 초보적이었다고 이야기하긴 어렵다"고 설명했다.
한진주 기자 truepearl@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>