트렌드

FBI 국장 “소니 해킹, 북한 소행 확실해”

2015.01.08

제임스 코미 미국 연방수사국(FBI) 국장이 소니픽처스 해커가 북한과 관련됐다는 확실한 증거가 있다고 발표했다. <와이어드> 등 외신이 1월7일(현지시각) 보도한 내용이다.

제임스 코미 미국 연방수사국(FBI) 국장

▲제임스 코미 미국 연방수사국(FBI) 국장

“소니픽처스 해킹범, 실수로 원래 IP 노출했다.”

제임스 코미 국장은 1월7일 미국 맨해튼 포드햄대학교 로스쿨이 마련한 사이버 보안 콘퍼런스 무대에서 북한이 소니픽처스 해킹에 관여됐다는 “아주 큰 확신”이 있다고 말했다. 그는 해커가 종종 프록시 서버를 활용해 원래 자기 IP 주소를 숨기는 데 실패했다는 것이다. 제임스 코미 국장은 이때 드러난 IP주소가 북한만 쓰는 주소라고 설명했다.

해커는 정체를 숨기기 위해 공격을 벌일 때 마치 다른 곳에서 공격하는 것처럼 여러 곳을 경유한다. 이때 해커는 프록시 서버를 쓴다. 프록시 서버란 사용자가 자주 접속하는 데이터를 저장해뒀다가 누군가 요청하면 더 빨리 제공하는 역할을 하는 중개 서버다.

북한 해커가 미국 업체를 공격한다고 치자. 북한 인터넷으로 접속해 바로 미국 업체를 공격하면 북한에서 공격했다는 증거가 고스란히 남는다. 접속 기록(log)에서 북한 IP 주소를 확인할 수 있기 때문이다. 그래서 보통 해커는 여러 프록시 서버를 경유해 원래 공격한 위치를 숨긴다. 제임스 코미 FBI 국장은 소니픽처스를 해킹한 범인이 정체를 숨기는 데 실패해 정체를 드러냈다고 풀이했다.

“거의 모든 경우에 (평화지킴이라고 알려진 소니 해커는) 프록시 서버를 써서 접속 위치를 숨겼습니다. e메일을 보내고 성명서를 올릴 때 말이죠. 그런데 그들은 종종 부주의했습니다. 실수인지 기술적인 문제 때문인지는 몰라도 해커들은 가끔 (정체를 숨기지 않고) 바로 접속하기도 했습니다. 그래서 우리는 해커가 사용한 IP 주소를 볼 수 있었습니다. 그건 북한만 사용하는 것이었죠. 해커들은 실수를 알아채자마자 접속을 끊었지만, 우리가 접속 위치를 확인한 뒤였습니다.”

“여러 정보기관이 거듭 확인해”

제임스 코미 국장은 소니픽처스 해킹이 북한 소행으로 확신할 수 있다고 여러 곳에서 확인받았다고 거듭 강조했다. 적의 문체나 행동을 분석하는 심리분석 전문 조직인 ‘행동분석팀(behavioral analysis unit)’뿐 아니라 다른 정보기관도 FBI 분석결과에 동의했다고 밝혔다.

“제가 살아오면서 확신해본 적이 드문데, 소니 해킹이 북한 소행이라는 점은 굉장히 확신합니다. 모든 정보기관도 그렇고요.”

FBI는 지난해 12월19일 공식 성명을 통해 소니픽처스 해킹이 북한 소행이라고 발표하면서도 제대로 된 근거를 내놓지 않았다. 그저 “특정 코드 줄과 암호화 알고리즘, 데이터 삭제 기법, 침투당한 네트워크에서 공통점을 발견했다”라고 밝혔을 뿐이다. FBI는 북한에서 벌인 공격 사례와 같은 IP 주소를 확인했으며 2013년 한국 은행과 언론사를 공격했던 수법이 활용됐다는 설명도 덧붙였다. 제임스 코미 국장이 이번에 내놓은 설명도 여기서 크게 나아가지 않은 수준이다.

보안업계는 제임스 코미 국장의 설명에 여전히 회의적인 반응을 보인다고 <와이어드>가 전했다. 해커가 가끔 프록시 서버를 경유하지 않아다손쳐도 그 IP 주소가 진짜라고 확신할 수 있냐는 지적이다.

해커가 돈을 요구한 점도 북한 소행이 맞느냐는 의심을 불러일으킨다. 소니픽처스 해커는 김정은 북한 노동당 제1비서 암살을 소재로 삼은 코미디 영화 ‘인터뷰(The Interview)’ 개봉을 취소하라는 경고를 던지기 전에 돈을 먼저 요구했다. 애초에 영화 개봉을 막는 정치적인 목적이 해킹 이유라면 돈을 요구할 까닭이 없다. 해커는 돈을 내놓으라는 협박이 먹히지 않자 나중에서야 영화 개봉 저지라는 명분을 내걸었다.

해킹이 소니픽처스 내부 직원 소행이라는 분석도 고개를 들었다. 보안회사 노스는 소니에 앙심을 품고 퇴사한 전직 IT 담당 직원 등 6명이 이번 사건을 벌였다는 조사 결과를 발표했다. 커트 스탬버거 노스 선임 부사장은 12월23일 <CBS>가 보도한 인터뷰에서 10년동안 소니에서 일한 ‘레나’라는 여직원이 해커 집단과 연결됐다는 정보를 확인했다고 말했다.

“이 여성은 아주 적확한 위치에 있습니다. 또 공격할 특정 서버를 알려줄 만큼 깊은 기술적인 이해도도 겸비했죠.”

미국 정부, FBI 분석 근거로 대북 제재 발동

미국 정부는 이런 지적을 해소할 증거를 내놓기보다 FBI가 내놓은 분석 결과를 믿고 움직였다. 북한 소행이 확실하다는 증거가 더 모이기 전에 보복에 들어갔다. 버락 오바마 미국 대통령은 지난 1월2일 정찰총국·조선광업개발무역회사·조선단군무역회사 등 북한 단체 3곳과 관련 인사 10명을 공식 제재 대상으로 지정하는 행정 명령을 내렸다.

북한은 확실한 근거도 없는 제재 조치를 철회하라고 미국에 요구했다. <연합뉴스>에 따르면 북한 국방위원회는 1월7일 성명을 내고 “해킹 공격의 배후가 우리라는 똑똑한 근거도 없이 제재 소동을 벌인다면 그보다 더한 날강도적인 도발행위는 이 세상에 없을 것”이라고 반발했다. 이어 “미국은 모든 대조선 제재 조치부터 전면적으로 철회해야 한다”라고 요구했다.

제임스 코미 국장은 더 많은 증거가 있지만 안보상 이유로 이를 공유하지 못 해 안타깝다고 말했다. “왜 이렇게 제가 확신할 수 있는지 미국 국민 여러분께 보여드리고 싶습니다. 하지만 공격 기법은 가능하면 적게 노출할 수밖에 없습니다. 우리의 소스와 대응 방법을 보존해야 하기 때문입니다. 이런 공격은 언제고 다시 일어날 테니까요.”

nuribit@bloter.net

기술의 중심에서 사람을 봅니다. 쉽고 친절하게 쓰겠습니다. e메일 nuribit@bloter.net / 트위터 @nuri_bit / 페이스북 facebook.com/nuribit0