평창동계올림픽 사이버 공격자는 정교한 위장 전술을 구사했다. 북한 해킹조직으로 알려진 '라자루스'와 연계된 증거가 나왔지만 개발자가 의도적으로 심은 위장술이었다. 미 언론이 정보기관을 인용해 '북한을 가장한 러시아'라고 밝혔지만 공격 주체 논란은 계속될 전망이다.
카스퍼스키랩은 평창동계올림픽 공격에 쓰인 '올림픽 파괴자(Olympic Destroyer)' 악성코드 분석 결과를 발표했다.
카스퍼스키랩은 올림픽 파괴자 악성코드 1차 분석 결과, 북한 해킹조직 라자루스가 연계된 증거를 발견했다. 공격자가 남긴 고유한 흔적에 기반한다. 각 악성코드에는 개발 환경이 기록된다. 분석가는 코드 개발환경 일부 특징 조합을 '지문'처럼 활용한다.
악성코드 개발자와 프로젝트를 식별하는데 쓰인다. 분석 결과 악성코드 샘플 지문은 이미 알려진 라자루스 요소와 100% 일치했다. 카스퍼스키랩의 데이터베이스에 있는 다른 클린 파일이나 악성 파일과 일치하는 부분은 없었다. 연구팀은 전략·기법·기술(TTP) 유사성과 지문을 증거로 라자루스 활동이라고 1차 결론을 내렸다.
카스퍼스키랩은 올림픽파괴자가 감염된 다른 시설을 직접 조사했다. 이 결과, 라자루스 TTP나 동기와 다른 점을 발견했다. 연구팀은 올림픽 파괴자 증거 자료를 다시 분석했다.
특징별로 수동 검증을 통해 2차 결론에 도달했다. 카스퍼스키랩 연구팀은 올림픽 파괴자가 라자루스가 사용하는 지문과 완벽히 일치하도록 위조됐다고 분석했다. 라자루스 코드와 일치하지 않는 몇 가지 특징을 발견했다.
연구팀은 처음에 발견된 지문이 개발자가 의도적으로 악성코드 내에 심어둔 위장증거라는 결론을 내렸다. 분석가가 확실한 증거를 찾은 것으로 착각하게 만들어 추적을 방해하는 수법이다.
박성수 카스퍼스키랩 GReAT팀 책임연구원은 “마치 범죄자가 다른 사람의 DNA를 훔쳐서 현장에 자신의 DNA 대신 남겨놓은 것과 같다”면서 “범죄 현장에서 발견된 DNA가 고의로 그 자리에 남겨진 것이라는 사실을 밝혀내고 입증하는 것은 수사기관 몫”이라고 말했다. 이어 “사이버 범죄 증거나 흔적은 위조될 수 있어 공격자 추적은 어려운 일”이라고 덧붙였다.
카스퍼스키랩은 공격자가 비트코인으로 개인정보보호서비스인 노드(Nord)VPN과 호스팅 업체 모노(Mono)VM을 활용했다고 밝혔다. 추가로 발견된 TTP는 러시아어 기반 조직인 소패시(Sofacy)와 연결된다.
김인순 보안 전문기자 insoon@etnews.com