평창올림픽 공격 해커, 일부러 북한 흔적?

노동균 기자
입력 2018.03.18 08:59
평창 동계올림픽 개막식을 앞두고 올림픽 운영위원회 네트워크 시스템을 일시적으로 마비시킨 사이버 공격의 배후가 보안 분석가를 교란하기 위해 북한과 연계된 사이버 공격 조직 '라자루스'로 위장하는 이중 전술을 썼다는 분석 결과가 나와 눈길을 끈다.

. / 카스퍼스키랩 제공
사이버 공격은 평창 올림픽 개막식이 열린 2월 9일 오후에 발생했다. 악성코드가 운영위원회 네트워크 시스템에 침투하면서 당시 메인 프레스센터 IPTV 영상 전송에 장애가 발생하고, 공식 홈페이지 운영이 잠시 중단됐다.

다행히 이 악성코드가 운영위원회 시스템에 치명적인 피해를 주지는 않았다. IPTV 영상 전송은 몇 분 후 정상화됐고, 홈페이지는 다음날 오전 복구됐다. 보안 업계는 이 악성코드에 '올림픽 파괴자(Olympic Destroyer)'라는 이름을 붙였다.

세계 보안 분석가들은 일제히 올림픽 파괴자 악성코드 분석을 시작했고 배후로 러시아와 중국, 북한을 지목했다. 올림픽 파괴자 악성코드에서 기존에 이들 국가 기관에 고용된 것으로 알려진 사이버 공격 조직이 주로 보여준 몇몇 특징이 발견됐다는 것이었다. 이에 따라 북한과 연계된 사이버 공격 조직으로 알려진 라자루스, 중국 사이버 스파이 그룹 'APT10', 지난해 국내에서도 많은 피해자를 만든 랜섬웨어 '낫페트야(Nyetya)' 공격자 등이 거론됐다.

하지만, 이러한 특징이 결정적으로 배후를 특정할 수 있을 정도로 확실한 증거가 되지는 못한다. 사이버 공격 집단은 종종 다른 집단의 특성을 고의로 포함해 분석가를 교란하고, 거짓 증거를 만들도록 유도하기 때문이다.

시스코의 보안 인텔리전스 그룹 탈로스는 "올림픽 파괴자 악성코드는 확실히 대담한 공격이었으며, 범인은 자신의 신원이 쉽게 드러나지 않는 교묘한 수법을 이용했다"며 "가해자를 밝힐 수 있는 확실한 스모킹 건(결정적 증거)가 존재하지 않기 때문에 연관성을 잘못 지정하게 되면 완전히 잘못된 판단을 내릴 수 있고, 공격자는 이를 보고 즐거워할지도 모른다"고 밝혔다.

카스퍼스키랩도 올림픽 파괴자 악성코드를 분석한 결과, 처음에는 라자루스와의 연관성을 강하게 의심했다. 카스퍼스키랩은 코드 분석은 물론, 사이버 공격자의 전략·기법·기술(TTP) 유사성을 종합적으로 분석해 라자루스의 활동이라고 일차적으로 결론을 내렸다.

하지만, 카스퍼스키랩은 올림픽 파괴자 악성코드에 감염된 다른 시설을 직접 조사한 결과, 라자루스의 TTP나 동기 등과 다른 점이 있다는 사실을 발견하고 다시 분석에 들어갔다. 그 결과, 카스퍼스키랩은 라자루스의 행위로 보이는 증거가 기존 증거와 완벽히 일치하도록 위조됐으나, 몇몇 코드가 일치하지 않는다는 점을 발견했다.

카스퍼스키랩은 올림픽 파괴자 악성코드 공격자가 보안 분석가가 확실한 증거를 찾은 것으로 착각하게 만들어 더욱 정확한 추적을 방해하려고 일부러 위장 증거를 삽입했다는 결론을 내렸다.

카스퍼스키랩은 여전히 정확한 배후를 특정하지 못했지만, 올림픽 파괴자 악성코드 공격자가 비트코인을 통해 특정 가상사설망(VPN) 서비스와 호스팅 업체를 이용했다는 사실을 밝혀냈다. 해당 업체 이용 사실과 추가로 발견된 TTP는 러시아어 기반 조직인 소파시(Sofacy)가 이전에 사용한 것으로 알려졌다.

카스퍼스키랩은 "이번 사례는 마치 범죄자가 다른 사람의 DNA를 훔쳐서 범죄 현장에 그 DNA를 대신 남겨놓은 것과 같다"며 "이 사건의 교훈은 누군가 국가·정치적 현안에 영향을 주기 위해 보안 업계의 의견을 조작하려는 시도를 펼칠 수 있는 만큼 잘못된 추적은 심각한 결과를 가져올 수 있다는 것이다"라고 평가했다.

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기