블룸버그 보도…FP,소니 내부자 소행 가능성 제기

미국 영화사 소니 픽처스 엔터테인먼트(이하 소니 영화사)를 겨냥한 해킹이 태국의 한 고급 호텔 전산망을 통해 이뤄졌다고 8일 블룸버그통신이 보도했다.

블룸버그는 이번 해킹 수사에 정통한 소식통을 인용, 지난 1일 미국 캘리포니아주에 있는 소니 사 내부망을 공격한 세력이 태국 수도 방콕 시내 번화가에 있는 5성급 호텔 세인트 레지스의 초고속 전산망을 이용했다고 전했다.

이 소식통은 사이버보안 전문가들이 해커들이 남긴 흔적을 추적한 결과 이 호텔 안에서 사이버 공격이 이뤄졌을 가능성을 발견했다고 말했다.

해커들은 호텔 객실을 이용했거나 로비 등 다른 공간에서 인터넷망에 접속했을 수 있지만 더 멀리 떨어진 장소에서 작업하며 호텔 전산망을 경유했을 수도 있다고 소식통이 설명했다.

이 소식통은 또한 소니 영화사 해킹 당시 악성코드와 해커들 간의 연결 IP 주소 중 하나가 태국의 한 대학으로 돼 있다는 점도 발견했다고 덧붙였다.

이런 가운데 소니 영화사 해킹의 배후가 지난해 한국 기업과 정부기관을 공격한 세력과 동일 집단일 가능성을 지목하는 분석이 계속 나오고 있다. 당시 우리 정부는 해킹이 북한의 소행이라고 결론내렸다.

미국 전산보안업체 시만텍은 당시 한국을 겨냥한 ‘다크서울’ 코드와 이번 소니 영화사 해킹에 사용된 코드가 기법이나 구성요소 이름 등에서 유사한 부분이 많다고 지적했다.

시만텍은 또 볼리비아에 있는 명령제어(C&C) 서버 하나가 지난해 ‘다크서울’ 공격과 이번 소니 영화사 해킹에 모두 사용됐다면서 두 차례 사이버공격의 배후집단이 같다고 분석했다.

미국 보안기술업체 크라우드스트라이크는 지난해 한국에 사이버테러를 한 ‘다크서울’ 집단의 또다른 이름이 ‘침묵의 천리마’(Silent Chollima)이며 2006년부터 이들을 추적한 결과 북한 정부와 연계돼 있는 것으로 보인다고 전했다.

반면 이번 해킹이 북한 등 외부 세력이 아닌 소니 영화사 내부자의 소행이라는 분석도 나왔다.

미국 외교전문지 포린폴리시(FP)는 소니 영화사 해킹과 이전에 북한의 소행으로 의심되는 사례 간에 일치하지 않는다는 전문가들의 분석을 소개했다.

북한 첨단기술 관련 블로그 ‘노스코리아테크’를 운영하는 마틴 윌리엄스는 “이번 해킹으로 소니사 컴퓨터에는 요구사항을 들어주지 않으면 내부 문서를 폭로하겠다는 메시지가 떴다”며 “북한 해커들은 이런 공개 요구를 한 적이 없다”고 지적했다.

그는 또 ‘평화의 수호자’(GOP)라는 거의 알려지지 않은 해커 집단이 이번 해킹의 배후를 자처한 점을 지목하면서 북한 배후가 의심되는 이전 해킹 사례에서는 자신의 소행이라고 주장하는 집단이 나온 적이 없다고 덧붙였다.

보안업체 노스도 “북한이 배후로 지목된 것은 최근 소니 영화사에 반대하는 입장이었기 때문”이라며 “다른 영화는 빼내고 북한과 관련된 ‘인터뷰’는 남겨놓았는데 북한이라면 그렇게 하지 않을 것”이라고 말했다.

소니 영화사는 지난달 말부터 이달 초 자신들이 ‘GOP’(평화의 수호자)라고 주장하는 해커들에 의해 사이버 공격을 받아 할리우드 유명인사와 전현직 임직원 등 4만7천명의 신상, 미개봉 블록버스터 영화 등 기밀정보가 유출되는 피해를 봤다.

소니 영화사가 김정은 북한 국방위원회 제1위원장의 암살을 소재로 한 영화 ‘인터뷰’ 개봉을 앞두고 있다는 점 때문에 사건 초기부터 북한 배후설이 불거졌다.

북한은 그러나 유엔주재 대표부를 통해 이를 부인해왔으며 7일에는 국방위원회 정책국 대변을 통해 이번 해킹이 “우리를 지지하는 자의 의로운 소행”이라고 언급했다.

연합뉴스