미국 연방수사국(FBI)은 19일(현지시간) 소니 픽처스 엔터테인먼트(소니영화사)에 대한 해킹 공격이 '북한의 책임'이라고 규정하며 크게 두 가지 근거를 제시했다.
해킹에 사용된 악성코드의 유사성, 특히 지난해 3월 한국에서의 '3·20 전산대란' 때 쓰인 악성코드와의 유사성이 첫 번째 근거다.
이번 소니영화사 해킹에 쓰인 악성프로그램과 북한 연계 인터넷주소 사이에 교신이 이뤄졌다는 점은 두 번째 근거다.
FBI는 "이번 해킹에서 자료 삭제에 쓰인 악성코드와 이전에 북한에서 개발한 악성코드 사이에 특정한 명령어 문장, 암호화 기법, 삭제 방법 등에서 유사성이 있었다"고 19일(현지시간) 발표했다.
이어 "소니영화사 공격에 쓰인 도구와 지난해 3월 북한이 한국의 시중은행과 언론사를 상대로 한 사이버 공격 때 썼던 도구 사이에 유사성이 있다"고 지적했다.
전산보안 전문가들에 따르면 명령어 문장이나 삭제 방법 등의 악성코드 작성 방식이 유사하다는 점은 비록 사람의 지문만큼의 증거 능력은 없더라도 '강하게 추정할 수 있는' 수준의 근거로 충분하다.
일부 전문가는 개인이나 소수 인원이 만드는 프로그램, 특히 해킹용 악성코드에서 똑같은 기능을 수행하기 위해 어떤 명령어들을 쓰는지, 어떤 순서로 명령어들을 배열하는지를 토대로 제작자 또는 집단을 알 수 있다는 주장도 내놓고 있다.
소니영화사 해킹에 쓰인 악성코드에 저장된 인터넷프로토콜(IP) 주소와 북한 관련 IP 주소들 사이에 교신이 이뤄진 점 역시 이번 사건에 북한이 연루됐음을 보여주는 근거들로 제시된 것 중 가장 강한 범주에 든다.
해킹에 쓰이는 프로그램들은 피해 전산망에서 정보를 전송하거나 공격자로부터 지령을 받기 위해 반드시 공격자와 통신을 해야 하기 때문이다.
지난해 한국 민관군 합동대응팀이 '3·20 대란' 조사결과를 발표했을 때도 "북한 해커만 고유하게 사용하는 감염신호 소스프로그램 중 과거와 동일하게 사용한 악성코드가 18종이었다"거나, "지금까지 파악된 공격 경유 인터넷주소 49개 중 22개가 2009년 이후 북한에서 사용한 것과 일치했다"는 점을 북한의 과거 해킹수법과 일치하는 증거로 제시했다.
소니영화사 해킹사건에 대한 책임이 북한에 있다는 FBI의 이날 발표에도, 일부 전문가들은 이번 일을 북한 혹은 북한의 사주를 받은 사람들의 소행으로 단정짓기 위해 풀려야 하는 의문이 여전히 존재한다는 의견을 보였다.
이들은 대표적인 의문으로 해킹사건 초기 발송된 협박 이메일에 영화 '인터뷰'와 관련된 내용들이 없었던 대신 소니영화사 내부 경영에 대한 비판 내용이 있었다며, 해커들이 언론의 주목을 받기 위해 북한을 끌어들였을 가능성을 여전히 배제하기 어렵다는 입장을 보이고 있다.
공격에 사용된 IP주소나 통신경로를 변조하는 일이 전혀 불가능하지 않으며, 명령어 문장이나 암호화 기법이 제작자에 따라 다르다면 특정한 제작자에게 책임을 돌리려고 일부러 특정한 명령어 문장을 쓸 가능성이 있다는 점도 일부 전문가들이 여전히 제기하는 의문들이다.