시만텍은 "조사 결과 워나크라이 랜섬웨어 공격에 사용된 툴과 인프라가 라자루스 그룹이 사용한 기술과 상당히 유사해 동일 그룹의 소행으로 확신한다"며 "워나크라이 공격의 배후가 라자루스 그룹일 가능성이 높다"고 분석했다.
악성코드 3개 중 두 가지는 소니픽처스 공격에 사용된 데스토버의 변종이며 다른 하나는 과거에 라자루스 그룹이 대한민국을 겨냥한 공격을 감행했을 때 사용했던 볼그머 트로이목마인 것으로 확인됐다.
시만텍은 "새로운 버전의 워나크라이는 랜섬웨어와 웜이 결합돼 네트워크와 인터넷을 통해 패치가 되지 않은 컴퓨터를 중심으로 빠르게 확산됐고 최근 몇 년간 발견된 악성코드 가운데 손꼽히는 강력한 악성코드로 파괴력을 갖게 됐다"고 설명했다.
워나크라이 확산에 사용된 툴의 유사점 외에도 워나크라이 공격과 라자루스 사이에는 여러 가지 관련성이 존재하고 있다는 설명이다. 워나크라이는 과거 라자루스와 연관성이 있었던 콘토피 백도어와 악성코드를 공유하는 것으로 확인됐다.
이 시각 인기 뉴스
윤광택 시만텍코리아 최고기술책임자(CTO)는 “과거 라자루스 그룹의 공격에서 볼 수 있었던 정치적 보복이나 체제 혼란이 목적이 아니라, 순수하게 금전적 목적을 위해 감행된 전형적인 사이버 범죄 캠페인 활동으로 분석된다”고 밝혔다.