'소니 픽처스에 대한 공격은 북한의 소행'이라는 FBI 발표에 대한 남아 있는 의문점

지난 19일, FBI는 공식적으로 소니 픽처스(Sony Pictures)에 대한 공격을 북한의 소행이라고 발표하면서, 이런 결론에 도달한 3가지의 증거를 제시했다. 하지만 FBI가 옳은 것일까? 아니면 무언가 빠뜨린 부분이 있을까?

확실한 것은 소니 픽처스에 대한 공격이 엄청난 여파를 몰고 왔다는 점이다. 현재까지 공격자는 230GB 이상의 데이터를 유출시켰다. 네트워크 전체가 해킹당했으며, 각 사업부가 영향을 받았다.

게다가 공격자들이 물리적인 공격에 대한 위협을 암시하자 소니(Sony)는 영화 <더 인터뷰(The Interview)>의 개봉을 포기해 공격자들의 요구사항 가운데 하나를 충족시켜줄 수 밖에 없었다.

지난 금요일에 발표된 성명에서 FBI는 다른 미 정부 부서와 기관과 협력한 결과, 소니 픽처스에 대한 공격이 북한의 소행이라는 결론에 도달할 만한 충분한 정보를 확보했다고 밝혔다.

불과 1주일 전만 해도 FBI는 해당 공격에 대해 북한과 관련된 부분이 전혀 없다고 밝힌 바 있다.

'민감한 출처와 방식'을 보호할 필요성을 언급하면서 FBI는 증거를 명확하게 밝히지 않은 대신에 이런 결론에 도달하게 된 3가지 사항을 발표했다.

FBI는 "이 공격에서 사용된 데이터 삭제 악성코드의 기술분석을 통해 FBI에서 북한 공작원들이 예전에 개발한 것으로 파악된 다른 악성코드와의 연관성을 발견했다. 예를 들어, 특정코드, 암호화 알고리즘, 데이터 삭제 방식, 해킹된 네트워크의 유사성이 발견됐다"고 밝혔다.

문제는 코드가 유사하다고 해서 출처가 같다고 보기 어렵다는 점이다. 범죄자들은 항상 코드를 재활용하며, 누구든 다크서울(DarkSeoul, 남한에 대한 공격에 사용된 악성코드)의 코드를 잘라 붙여 새로운 공격에 사용할 수 있다.

게다가 소니 악성코드에 대한 FBI의 자체기술 메모에 따르면, 공격자들이 공개된 툴들을 이용했는데. 이 툴들은 누구든 사용할 수 있는 것이다. 또한 와이퍼(Wiper) 악성코드는 예전부터 존재했었다.

또한 FBI는 "이번 공격과 미 정부가 북한과 직접적으로 연관지은 다른 악성 사이버 활동에서 사용된 인프라의 상당 부분이 중첩된다는 사실을 발견했다"고 밝혔다. 예를 들어, FBI는 이번 공격에 사용된 데이터 삭제 악성코드에 하드코딩(Hardcoding)된 IP 주소와 통신한 것으로 알려진 북한의 인프라와 관련된 여러 IP(Internet Protocol) 주소를 발견했다.

IP 주소를 항상 출처의 속성으로 보기는 어렵다. 대부분의 경우, 범죄자들은 근원지를 숨기면서 프록시(Proxy), 해킹된 시스템, 기타 공격을 위한 수단을 사용할 수 있기 때문에 신뢰성이 떨어진다.

또한 월스트리트저널에 따르면, 소니의 시스템에서 악성코드가 북한과 연락한 인스턴스(Instance)는 단 1회뿐이었다. 이런 공격에서 IP 1개는 아무런 의미가 없다.

언급한 다른 인프라의 경우, FBI는 별 다른 말이 없었지만, 공격에 대한 메모에서 이탈리아, 태국, 폴란드 등 C&C 활동이 관찰된 다른 여러 국가가 언급됐다.

어떻게 보편적이면서 빈번한 출처인 다른 국가를 무시하고 한 국가로만 국한시킬 수 있었는 지는 명확하지 않다(초기에 구성된 설명이 들어맞는 부분이 있음에도 불구하고 말이다).

FBI는 "이와는 별개로 SPE 공격에서 사용된 툴은 2013년 3월 북한이 수행한 남한의 은행과 매스컴에 대한 사이버 공격과 유사하다"고 밝혔다.

다시 한번 말하지만, 대부분의 코드는 재활용이 가능하며, 소니에서 와이퍼 악성코드가 사용한 툴은 공개된 툴이라고 해당 사안에 대한 FBI의 자체 보고서에서도 밝히고 있다. 이로써는 북한의 관련성을 전혀 입증하지 못한다.

FBI의 성명을 읽고 현재까지 소니 픽처스 해킹의 이야기를 살펴보면 FBI는 임대한 봇넷(Botnet), 재활용 코드, 프록시의 존재 등을 부정하고 있다고 볼 수 있다.

쉽게 말해서 보안과 합법 및 불법 해킹에 대한 전문지식이 있는 사람들은 FBI의 결론에 동의하지 않는다.

트러스티드섹(TrustedSec) CEO 데이브 케네디는 트위터에서 FBI가 사용한 언어가 "대전제를 설정하고 있다"고 말했다. 케네디는 "소니 사태가 백만 군대를 보유한 북한의 소행이라는 주장은 무분별한 것"이라고 비판했다.

케네디는 생각의 나래를 확장시켜 "제공된 증거는 공개된 것과 별반 다르지 않았으며, 여러 지표를 볼 때 북한의 소행이라고 단정짓기 어렵다. 내부 정보를 어떻게 입수했고 소니를 대상으로 하는 악성코드를 개발했는지 또는 증거를 뒷받침하기 위해 사건 대응 가운데 취한 조치에 대한 분석 보고서가 존재하지 않는다"고 설명했다.

따라서 FBI가 입장을 밝히긴 했지만, 이 사건이 끝났다고 보기는 어렵다. 소니 픽처스는 공격자들의 요구를 받아들여 <더 인터뷰>의 공식 웹 사이트와 소개 내용을 삭제했다.

멜웨어바이츠(Malwarebytes)의 악성코드 정보 책임자 아담 쿠자와는 "증거가 북한을 가리키고 있지만 사이버 세계에서는 무엇이든 위조가 가능하다. 북한의 추가적인 확인 또는 미 정부 발표 정보가 있을 때까지 여론은 중립성을 유지해야 한다"고 말했다.

그렇긴 하지만 FBI가 제공한 증거가 현재 충분한 설득력이 있고 확인된 북한의 전술 가운데 확보된 기존 자료에 기초하고 있다.

여기에서 문제점은 우리가 북한에 대해 알고 있기로는 북한은 원하는 것이 있을 때 문제를 일으키지만, 북한은 전 세계뿐 아니라 정보를 검열하는 자국 내에서도 자신들이 아무런 일도 하지 않았다고 발표했다.

쿠자와는 "공격의 배후에 북한이 있을 지도 모른다고 뉴스에서 보도하고 GOP 공격자들이 자신들이 원하는 것이 <더 인터뷰>라고 밝히기 전까지는 아무런 결론이 나지 않았다. 절대로 그럴 수는 없을 테지만 모든 사실을 파악하기 전까지 너무 쉽게 판단하는 것을 무분별한 조치다. 다시 한번 말하지만 인터넷 상에서는 자신의 신원을 위조할 수 있을 뿐 아니라 다른 사람에게로 관심이 쏠리게 하는 것이 충분히 가능하다"고 결론지었다.

앱리버(AppRiver)의 존 프렌치는 "악성코드가 소니 픽처스의 네트워크에 수개월 동안 발견되지 않은 상태로 잠복해 있었을 가능성이 충분하다. 분명 악성코드는 공격에 특화되어 있었으며, 악성코드가 처음에 네트워크에 진입했을 때 발견되지 않았다면 기본적으로 백신 소프트웨어를 차단하는 악성코드의 특성상 어느 날 갑자기 발견될 가능성은 희박하다"고 침투 방법에 대해 설명했다.

또한 프렌치는 "네트워크 문제 등 악성코드 감염을 다른 관점에서 볼 수도 있지만 감염 성공 후에는 네트워크의 규모 때문에 악성코드를 잡아 내기는 매우 힘들어진다. 이런 면에서 보안 커뮤니티와 악성코드를 공유하면 다른 개발업체들이 이를 감지하는데 도움이 된다. 공개하고 싶지는 않겠지만 주요 안티바이러스 업체들과 공유해 추가 감염을 방지하는 것이 좋을 것이다"고 조언했다.

미국 국토안보부(DHS) 사무국장 존슨은 "소니 픽처스 엔터테인먼트(Sony Pictures Entertainment)에 대한 사이버 공격은 단순히 회사와 직원들에 대한 공격이 아니었다. 이것은 표현의 자유와 삶의 방식에 대한 공격이기도 했다"고 밝혔다.

존슨은 "이 사건은 사이버 침임을 신속하게 감지하고 네트워크 전반의 회복력 향상을 위한 건전한 사이버보안 활동의 중요성을 여실이 드러내고 있다. 모든 CEO는 이번 기회를 통해 자사의 사이버보안을 평가해야 한다. 해당 국가의 모든 기업들은 사이버보안 모범 사례를 적용하기 위해 노력해야 한다"고 충고했다. editor@itworld.co.kr