미국 연방수사국(FBI)이 소니 픽처스 엔터테인먼트(SPE) 해킹의 배후로 북한을 지목함에 따라 이에 대한 명확한 증거가 앞으로 나올지에 관심이 쏠린다.
대형 해킹 사건 중 범인이 명확히 밝혀지거나 물증이나 진술 등 결정적인 증거가 나오는 경우는 거의 없다.
이번 사건 역시 적어도 당분간 미국 측이 북한의 소행이라고 주장하고 북한 측은 이를 부인하는 상황이 이어질 공산이 크다.
FBI는 지난 19일(미국 동부시간) 북한을 해킹 배후로 지목하면서 ▲ 데이터 삭제 맬웨어의 기술적 분석 결과 북한 측이 사용해 온 것으로 알려진 수법과 유사성이 있는 점 ▲ 북한과 연관된 것으로 알려진 인터넷 프로토콜(IP) 주소 등 인프라스트럭처가 겹친 경우가 많은 점 ▲ 작년에 한국의 은행과 언론사 등에 가해진 '3.20 침해사건'과 도구가 유사한 점 등을 크게 3가지를 제시했다. 이는 하우리연구소 보안연구원 사이먼 최가 지난 4일 발표했던 내용과 똑같다. 그러나 이는 모두 정황증거에 입각한 심증에 불과하며, 과거에 북한이 사용했던 사이버 공격 수법이나 도구 등도 명확히 드러난 바는 없다.
◈ 상당수 언론·전문매체 회의적 반응 영국 BBC 뉴스의 테크놀로지 전문기자 데이브 리는 FBI 공식 발표가 나온 19일 '북한이 해킹 공격을 했다는 FBI의 증거는 무엇인가?'라는 제목의 기사에서 FBI 발표에 관한 보안 전문가들의 회의적 반응을 전했다.
같은 날 로스앤젤레스타임스(LAT)는 '소니 해킹: 만약 북한이 아니라면?', 크리스천사이언스모니터(CSM)가 운영하는 보안전문뉴스매체 '패스코드'는 '미국 관리들이 북한을 지목했으나 소니 해킹을 확실히 누가 저질렀는지는 찾기 어려울 수도 있다'는 제목의 기사를 실었다.
이에 앞서 와이어드가 '북한이 소니를 해킹했다는 증거는 빈약하다'는 기사를 내보내는 등 정보기술(IT) 분야 전문매체 상당수가 "미국 정부가 SPE 사건의 배후로 북한을 지목했다"는 보도가 미국 정부 관계자를 인용해 흘러나온 이달 17∼18일부터 전문가들의 회의적 의견을 전했다.
특히 악성코드는 분석을 위해 공개되기 마련이므로 어떤 공격자든 이를 입수한 후 자기 목적에 맞게 변형해서 쓸 수 있고, 따라서 도구나 수법을 분석하는 것만으로 범인을 특정할 수는 없다는 지적이 나온다.
BBC는 역사상 가장 유명한 악성코드 중 하나인 '스턱스넷'의 경우를 예로 들었다.
스턱스넷은 원래 미국이 개발한 것으로 보이지만, 나중에 이를 개조해 다른 목표물을 공격한 사례가 나왔는데 이는 러시아인들이 한 일로 보인다는 것이다.
◈ IP 주소 조작 가능…북한 내는 아닌 듯 FBI가 또 다른 증거로 제시한 IP 주소 등 '인프라스트럭처의 겹침'도 역시 결정적 증거와는 거리가 멀다.
해킹을 할 때 여러 가지 속임수와 우회 경로를 통해 이런 흔적을 조작하는 것은 기본 중의 기본이다.
게다가 FBI는 "이번 공격에 쓰인 인프라스트럭처와, 미국 정부가 북한에 직접적으로 연관시킨 바 있는 다른 악성 사이버 활동 사이에 상당히 많은 겹침이 있다"고 언급했으나, 이 인프라스트럭처가 북한 내의 것이라거나 북한이 쓰고 있는 것이라고 발표하지는 않았다.
발표 내용만으로는 구체적으로 어떤 연관이 있다는 것인지 파악할 수 없는 것이다.
이 때문에 중국이나 일본 등 북한 외에 있는 해커들이 북한의 청부를 받고 했을지도 모른다는 추측이 나돌고 있으나, 현재로서는 아무런 근거는 없다.
오바마 미국 대통령은 다른 국가가 개입했다고 생각할만한 증거는 없다고 지난 19일 밝힌 바 있다.
일부 전문가들은 이 사건 해커가 지난달 21일 처음으로 전달한 요구사항이 북한이나 코미디 영화 '인터뷰'와 무관했던 점에 주목하고 있다.
해커가 영화 '인터뷰'를 상영하지 말라는 등 북한과 관련된 요구를 내세운 것은 12월 8일부터로, 12월 초 언론매체들이 북한 연루설을 대대적으로 다룬 지 한참 후였다는 것이다.
정황상 해커가 주의를 돌리고 SPE를 조롱하기 위해 북한 연루설을 활용하고 있을 가능성이 있다는 것이다.
해커가 빼내 공개한 자료의 성격을 보면, 어떤 자료가 어디 있는지 해커가 알고 있었으리라는 추측도 나온다. SPE 내부인이 협조했을 개연성을 시사하는 대목이다. 그렇다고 이번 사건을 북한이 저지르지 않았다고 단정하는 것도 무리다. 일단 북한이 이런 일을 했을만한 '동기'가 상당히 있기 때문이다. 해킹 사건의 범인이 잡히거나 정체가 밝혀지는 경우는 거의 없다. 그만큼 추적하기가 힘들다는 것이다. 이 때문에 북한 소행이라고 단정하기도 무리지만, 아니라고 단정하기도 무리일 수밖에 없다.
◈ 과거 사례서도 명확한 증거 찾기 어려워 대형 해킹 사건의 범인이 특정되는 경우는 빼낸 정보를 가지고 협박·갈취하는 과정에서 꼬리가 밟히거나, 공범·방조범이 수사기관에 붙잡혀 자백한 사례가 대부분이며, 그런 경우조차 흔치는 않다.
기술적 추적만으로 해킹 범인을 특정하는 일은 거의 모든 경우 불가능하며, 시간도 엄청나게 오래 걸린다.
미국이 올해 5월 중국 인민해방군 소속 장교 5명을 산업스파이로 기소한 적이 있는데, FBI가 해킹 증거를 수집하는 데 자그마치 8년이 소요됐다.
이들은 중국에 거주하고 있어 미국 수사기관이나 법원이 신병 확보나 피의자·피고인 신문을 할 방법이 없다. 또 중국 정부와 당사자들은 혐의를 전면 부인하고 있다.
악성코드 '스턱스넷'을 이용한 이란 핵시설에 대한 사이버 공격의 경우 2011년 4월 이란 정부가 공식 조사 결과 발표에서 미국과 이스라엘을 배후로 지목한 바 있다.
2010년 6월 처음 발견된 스턱스넷은 산업시설을 감시·파괴하는 악성 소프트웨어로는 세계 최초였는데, 기술적 수준이 매우 높아 "악성 소프트웨어 역사상 최대의 기술적 블록버스터"라고 불리기도 했다.
러시아의 카스퍼스키 랩과 핀란드의 에프시큐어 등 유력 보안 업체들은 이 정도로 정교한 공격은 "국가적 규모의 지원" 없이는 이뤄질 수 없다고 평가한 바 있다.
보안업계에서는 배후로 미국, 혹은 미국과 이스라엘을 꼽는 관측이 파다했다. 다만 미국이나 이스라엘 정부가 이런 관측의 진위를 명시적으로 언급한 바는 없다.