전 세계를 혼란에 빠뜨린 '워너크라이'(WannaCry) 랜섬웨어 공격이 북한과 관련됐다는 정황이 발견됐다.
발단은 수수께끼 같은 트윗 하나였다. 구글의 정보보안 전문가 닐 메타가 16일 새벽 트위터에 다음과 같은 글을 올렸다:
9c7c7149387a1c79679a87dd1ba755bc @ 0x402560, 0x40F598
ac21c8ad899727137c4b94458d7aa8d8 @ 0x10004ba0, 0x10012AA4#WannaCryptAttribution
— Neel Mehta (@neelmehta) May 15, 2017
이는 워너크라이 랜섬웨어에서 발견된 코드가 2015년 발견된 '캔토피(Cantopee)' 백도어(backdoor) 코드와 동일한 부분을 지적한 것이었다. 곧이어 다른 보안 연구가가 둘의 코드의 유사점을 찾아 올리면서 주목을 받았다.
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matthieu Suiche (@msuiche) May 15, 2017
캔토피 백도어는 '라자러스 그룹'으로 알려진 해킹팀이 적어도 2011년부터 사용해 오던 것. 그리고 라자러스 그룹은 바로 2013년 국내 주요 은행과 언론사 컴퓨터의 하드 드라이브를 삭제하여 타격을 입힌 3·20 전산 대란과 2014년의 소니픽쳐스 해킹, 그리고 최근에 밝혀진 방글라데시 중앙은행 해킹사건의 배후이기도 하다.
러시아 사이버보안 기업 카스퍼스키는 라자러스 그룹의 과거 해킹 사례에 대한 보고서에서 북한이 라자러스 그룹의 배후에 있다고 결론내린 바 있다.
카스퍼스키는 "워너크라이의 초기 버전에 대해 추가 연구가 필요하다"며 "이번 사태를 둘러싼 미스터리에 열쇠를 쥐고 있을 수 있다. 닐 메타의 발견은 워너크라이 근원지에 대해 지금까지 나온 가장 중요한 단서"라고 밝혔다.
이스라엘 소재 온라인 보안업체 '인터저 랩'도 워너크라이 랜섬웨어 사태에 북한이 관련돼있을 가능성에 동의했다.
앞서 랜섬웨어 프로그램이 미 국가안보국(NSA)의 해킹 방식을 적용한 것이라는 점을 근거로 이번 사태에 미국 정부가 관련됐을 가능성이 제기됐지만 톰 보서트 백악관 국토안보보좌관은 "NSA가 개발한 장비가 아니다"라며 이 같은 주장을 일축했다. 미국 정부 관계자에 따르면 지금까지 워너크라이 랜섬웨어에 공격을 받은 컴퓨터가 30만대에 이르는 것으로 알려졌다.