[디지털데일리 최민지기자] 카스퍼스키랩은 평창동계올림픽 때 나타난 시스템 파괴 악성코드 ‘올림픽 파괴자(Olympic Destroyer)’와 관련해 북한으로 위장한 해킹그룹의 소행이라고 16일 밝혔다.
러시아 보안업체 카스퍼스키랩은 공격자가 북한과 연계된 국가 지원 해킹집단인 라자루스(Lazarus)로 위장한 전술을 펼친 것으로 분석했다.
카스퍼스키랩은 파일에 저장된 코드 개발 환경의 일부 특징 조합을 지문처럼 활용하는 방식을 통해 일부 사례에서 악성 코드의 개발자와 프로젝트를 식별했다. 카스퍼스키랩이 분석한 샘플의 지문은 이미 알려진 라자루스 악성코드 요소와 일치했다.
전략·기법·기술(TTP)의 유사성과 더불어 이 지문을 증거로 연구팀은 라자루스의 활동이라고 일차적인 결론을 내렸지만, 올림픽 파괴자에 감염된 다른 시설을 직접 조사한 결과 라자루스와 다른 점이 있다는 사실을 파악했다.
2차 분석과 각 특징의 수동 검증을 거친 후 연구팀은 라자루스가 사용하는 지문과 완벽히 일치하도록 위조됐으나 코드와 일치하지 않는 특징을 몇 가지 발견했다.
이에 따라 연구팀은 처음에 발견된 지문은 개발자가 의도적으로 악성코드 내에 심어둔 위장 지문이라는 결론을 내렸다. 분석팀이 확실한 증거를 찾은 것으로 착각하게 만들어 더욱 정확한 추적을 방해하는 것이 이 위장 지문의 목적이다.
평창동계올림픽 공식 개막식 전 IT시스템이 이번 사이버 공격을 받아 일시적으로 마비돼 화면과 와이파이가 꺼지고, 올림픽 웹사이트가 마비돼 사용자들이 티켓을 인쇄하지 못하는 사태가 나타났다. 몇몇 스키 리조트 또한 이 웜바이러스의 공격을 받아 스키 게이트와 리프트 작동이 중단되기도 했다.
이번 공격의 정확한 배후는 아직 밝혀지지 않았다. 카스퍼스키랩의 연구팀은 공격자들이 비트코인을 통해 개인정보 보호 서비스인 노드VPN과 호스팅 업체 모조VM를 활용했다.추가적으로 발견된 TTP는 러시아어 기반 조직인 소파시(Sofacy)가 이전에 사용한 것으로 알려진 바 있다.
박성수 카스퍼스키랩 GReAT팀 책임연구원은 “이번 사례를 통해 공격자들이 노출과 추적을 피하기 위해서라면 기꺼이 시간과 노력을 들인다는 점을 알 수 있다”며 “공격 배후 추적은 아주 신중하게 진행해야 한다”고 말했다.
이어 “잘못된 추적은 심각한 결과를 가져올 수 있으며, 누군가가 국가·정치적 현안에 영향을 주기 위해 보안 커뮤니티의 의견을 조작하려고 할 수도 있다”고 덧붙였다.
한편, 그동안 미국 정보기관 등은 이번 사이버공격의 주범으로 평창동계올림픽 출전을 거부당한 러시아 측의 보복 행위로 추정하고 있었다. 러시아군 총정보국(GRU) 소속 해커들이 북한 소행으로 보이게 하려는 위장전술을 펼쳐 평창올림픽 관련 300여대 컴퓨터에 접근해 시스템 자체를 먹통으로 만들고 원격 데이터를 삭제하려 했다는 주장이다.