[단독입수] 미 FBI가 북한의 소니 픽처스 해킹 막후(幕後) 파헤친 비밀문건 : 월간조선

컴퓨터 모니터를 켜자 악마를 연상케 하는 붉은 해골은 당신을 노려봤다. 그 흉측한 해골 바로 밑에는 〈우리는 분명 너희들에게 경고했고, 이건 시작에 불과하다(we’ve already warned you and this is just a beginning)〉라는 문구가 적혀 있었다. 지난 2014년 11월 24일 북한에 해킹당한 소니 픽처스 엔터테인먼트(Sony Pictures Entertainment, 이하 소니 픽처스)의 컴퓨터 이야기다.

이날 소니 픽처스 직원들은 사무실의 컴퓨터를 켜자 모니터 속에 등장하는 해골를 보고 흠칫 놀라지 않을 수 없었다. 소니 픽처스의 컴퓨터가 북한에 의해 해킹된 것이다. 이후로 소니 픽처스는 아직 개봉하지 않았던 일부 영화와 사내 직원들의 이메일 내용이 온라인으로 유출됐다.

소니 픽처스가 해킹당한 이유는 북한 정권을 코미디 형식으로 묘사해 만든 영화 〈인터뷰〉 때문이다. 이 영화에서 북한의 지도자, 김정은을 우스꽝스럽고 정신나간 지도자로 묘사해 관객들의 웃음을 자아낸다. 특히 북한의 지도자인 김정은의 암살이 이 영화의 핵심 내용이다. 영화는 북한의 독재정권을 풍자하고 있는 셈이다. 지난 2014년 6월 경 소니 픽처스가 영화 〈인터뷰〉의 예고편을 공개하자, 북한은 극도의 불쾌감을 표출하며 미국에 대한 공격 등을 시사하는 내용을 조선중앙통신을 통해 발표했다.

북한, 〈인터뷰〉 예고편 공개되자 對美공격 암시하는 성명 발표

소니 픽처스가 해킹당했던 컴퓨터 모니터 화면의 모습. 사진=구글 서치 캡처

다음은 북한 조선중앙통신이 2014년 6월 25일 발표한 대변인 성명의 일부다.

〈조선민주주의인민공화국 외무성 대변인 성명〉

우리 공화국의 최고존엄을 감히 어째보려는 적들의 비렬한 책동이 도수를 훨씬 넘어선 극악한 범죄적 단계에서 감행되고 있다. 국제테로의 왕초이며 총본산인 미국에서 백주에 우리의 최고수뇌부를 모독하고 암살하는 각본의 영화예고편이라는 것이 공공연히 나돌고 있는 치떨리는 현실앞에… (중략) 우리의 최고수뇌부를 모독중상하거나 어째보려고 달려든다면 가차없이 짓뭉개 버리는 것이 우리 군대와 인민의 확고한 결심이며 기질이다. 이번에 우리의 최고수뇌부를 모독중상하고 반공화국 적대행위를 저지른 범죄자들은 법에 따라 이 세상 그 어디에 있든 준엄한 철추를 면치 못하게 될 것이다. 만일 미 행정부가 영화상영을 묵인, 비호한다면 그에 해당한 단호하고 무자비한 대응조치가 취해지게 될 것이다. 주체103(2014)년 6월 25일

북한의 성명을 보면 말미에 북한의 대미(對美) 공격을 시사하는 부분이 연거푸 나온다.

“누구라도 북한의 수뇌부를 건드리면 짓뭉개 버리겠다. 반공화국 적대행위를 저지르면 철추(鐵椎)를 면치 못할 것. 미 행정부가 영화상영을 묵인하면 단호하고 무자비한 대응조치가 취해질 것.” 특히 말미에 언급한 ‘대응조치’는 김정은 정권의 전례로 볼 때 북한의 직접적인 공격을 암시하는 부분이다. 《월간조선》은 지난 4월호에서 미 중앙정보국(CIA)의 분석을 토대로 김정은 정권의 비정상적인 위협 징후를 설명했다. 이 징후 중 하나는 북한의 비방발언 중 공격을 암시하는 추상적 단어 선택이다. 가령 ‘특별행동’에 돌입한다는 식이다. 북한은 이와 유사한 ‘대응조치’라는 추상적인 단어를 소니 픽처스 공격에 앞서 비방문 안에 사용함으로써 공격을 암시했다. CIA는 북한의 이런 공격 암시는 실제 공격으로 이어진다고 분석한 바 있다.

이번에 《월간조선》은 2014년 북한이 소니 픽처스를 해킹한 막후(幕後)를 모두 밝힌 미 연방수사국(FBI)의 비밀문건을 입수했다. 문건에서 적을 이롭게 하는 내용을 최소화해 그 내용을 공개하기로 결정했다. 세부적인 문건의 제목과 비밀등급 등은 본 기사에서 보안상 공개하지 않는다.

문건을 공개하기로 판단한 근거는, 첫째 국민의 알권리를 보장하는 미국의 정보공개법(FOIA)이며, 둘째는 최근 국내에서 증가하는 북한의 대남 사이버 공격 때문이다. 지난 3월 중순 국정원은 “우리 외교안보 고위공직자 40여명의 스마트폰 등이 북한의 사이버 공격에 해킹됐다”고 발표한 바 있다. 이번에 입수한 문건에는 북한의 컴퓨터 해킹과 관련된 기술적인 세부 소스코드(source code) 등이 모두 포함됐다. 관계당국이 이런 내용을 분석한다면, 향후 북한의 사이버 공격을 추적하고 대비책을 강구하는 데에 도움이 될 것이다.

해킹이 활성화한 시점은 감시 허술한 새벽시간

FBI는 소니 픽처스 공격에 사용된 악성코드인 멀웨어(malware)를 분석했다. 이 악성코드는 피해자의 컴퓨터에 침투하면 마스터 부트 레코드(MBR, Master boot record)의 내용을 점거하여 덮어쓰는 오버라이트(overwrite) 기능을 가졌다. 마스터 부트 레코드는 컴퓨터의 구동에 핵심적인 역할을 하는 장치로 자동차로 치면 엔진에 속한다고 볼 수 있다. 북한이 이번 공격에 사용한 컴퓨터망(CNE. Computer Network Exploitation)은 과거에는 알려지지 않았던 루트였다. 이 새로운 루트를 활용해 침투한 것을 확인했다.

FBI는 북한 발(發) 악성코드 구분을 위해서는 다음과 같은 사안을 확인할 것을 권고했다. 다음은 FBI가 소니 픽처스의 컴퓨터에서 검출한 악성코드의 기술적인 특징이다. 악성코드를 구동하는 프로그램의 파일명 등이 포함됐다.

File: d1c27ee7ce18675974edf42d4eea25c6.bin
Size: 268579 bytes (262.3 KB)
MD5: D1C27EE7CE18675974EDF42D4EEA25C*
PE Compile Time: 2014-11-22 00:06:54
Language pack of resource section: Korean

이 내용을 보면 악성코드가 포함된 프로그램의 언어 팩(pack)이 한국어라는 점을 눈여겨볼 필요가 있다. 이는 분명 북한의 배후를 뒷받침해 주는 대목이다. FBI에 따르면 최초 악성코드가 가지고 있던 파일명은 diskpartmg16.exe였으며, 이 파일이 드로퍼(dropper) 역할을 했다고 한다. 드로퍼란 특정 바이러스 프로그램이 컴퓨터 내부에 설치되기 위한 구성파일을 뜻한다.

사전에 컴퓨터 안에 트로이목마 같은 프로그램을 설치하는 것을 말한다. 이 드로퍼는 자가(自家) 복제 기능은 없으나, 컴퓨터를 바이러스에 감염시키는 데 핵심적인 역할을 하는 것으로 알려졌다. 드로퍼가 시행되면 즉각 igfxtrayex.exe 라는 악성코드가 구성되면서 바이러스를 확산시킨다. 구동과 동시에 각 명령어 동작에 -i(argument)를 붙여 나가는 행태를 보였다는 게 FBI의 설명이다. 이후 발생한 두 번째 동작 파일인 WinsSchMgmt가 시행되면, 명령어 뒤에 -k가 따라붙게 됐다.

소니 픽처스의 컴퓨터들은 바이러스가 퍼져나가면서 컴퓨터가 접속된 네트워크의 특정 트래픽 포트를 찾았다. TCP port 445와 139가 그것이다. 이 포트에 피해를 당한 컴퓨터의 IP 주소가 따라붙는 특성을 보였다고 FBI는 설명했다. 대부분의 공격 시점은 새벽 4시부터 6시 사이에서 시행됐음을 확인했다. 아무래도 근무자가 없는 야간을 공격시간으로 설정했을 가능성이 있다.

다수의 심리학자들에 따르면 새벽 4시는 인간이 신체적으로 가장 피로함을 느끼는 시기로 잠을 쫓아내기 어렵다고 알려졌다. 이 때문에 군사적인 작전시점을 보통 이 시간대에 설정하는 것으로 알려졌다. 과거 한국의 6·25전쟁도 새벽 4시 무렵 시작됐다. FBI가 발견한 해킹파일 중에는 2009년 제작된 것도 있는데, 전문가에게 분석을 의뢰해 보니 북한은 소니 픽처스 공격에 2009년과 2014년에 제작된 해킹파일들을 사용한 것으로 확인됐다. 북한이 오래전부터 해킹관련 기술을 준비했다는 증거다.

북한, 대부분의 윈도우 운영체제 공격 가능해

소니 픽처스가 만든 북한 풍자 영화, 〈인터뷰〉의 한 장면. 사진=유튜브 동영상 캡처

다음은 FBI가 북한의 해킹 프로그램에서 식별해 낸 드로퍼 파일들이다. 시행 파일들과 함께 스크립트(script)를 스트링(strings)으로 엮은 내용을 포함하고 있다. 스크립트는 컴퓨터 언어체계로 그 묶음은 각각의 명령어를 구성한다. 이 스크립트는 편집 없이 그 자체적으로 파일을 시행할 수 있다. 자바스크립트(JavaScript)가 대표적인 예다.

스트링은 컴퓨터 프로그램에 사용되는 글자(character) 혹은 수치(variable)로 나열된 배열(sequence)이다. 이 배열에 따라 프로그램의 내용은 변경되고 증식하는 등의 기능을 만든다. 이것은 인간에 비유하자면 DNA의 나선 배열 구조에 비교될 수 있으며, 그만큼 복잡하고 컴퓨터 바이러스 구성의 기초이자 중요한 기반이 된다.

- - - BEGIN STRINGS - - -
recdiscm32.exe
taskhosts64.exe
taskchg16.exe
rdpshellex32.exe
mobsynclm64.exe
comon32.exe
diskpartmg16.exe
dpnsvr16.exe
expandmn32.exe
hwrcompsvc64.exe
cmd.exe /q /c net share shared$ /delete
\\%\admin$\syswow64
\\%s\admin$\system32
cmd.exe /q /c net share shared$ =%SystemRoot%
cmd.exe /q /c net share shared$ =%SystemRoot% /GRANT:everyone,
FULL
RasSecurity
RasMgrp
cmd.exe /c wmic.exe /node: ”%s” /password: “%s” PROCESS CALL CREATE “%s” 〉%s
WinsSchMgmt
Windows Schedule Management Service
- - - END STRINGS - - -
File: net_ver.dat
Size: 4572 bytes (4.5 KB)
MD5: 93BC819011B2B3DA8487F964F29EB934

위 내용들은 컴퓨터 전문가에 따르면 컴퓨터 내부 프로그램들을 삭제하는 기능을 한다고 전했다.

이외에 FBI가 발견한 파일과 관련된 기술적 내용들은 다음과 같다.

File usbdrv3_64bit.sys
Size: 28120 bytes (27.5 KB)
MD5: 86E212B7FC20FC406C692400294073FF
PE Compile Time: 2009-08-21 06:05:35

File: igfxtrayex.exe
Size: 249856 bytes (244.0 KB)
MD5: 760c35a80d758f032d02cf4db12d3e55
PE Compile Time: 2014-11-24 04:11:08
Language pack of resource section: Korean

FBI는 북한이 사용한 해킹 프로그램은 대부분의 윈도우(Windows) 컴퓨터 운영체제를 공격할 수 있다고 분석했다. 윈도우 운영체제 중에서도 비교적 최신 프로그램인 윈도우 2000, 2003, 2008, XP, Vista(비스타)이다. 북한이 해킹에 사용한 시스템 파일 구성요소 등은 시중에서 구할 수 있다. 앞서 언급한 윈도우 체계상에서 디스크(raw disk) 안에 들어가 읽고 쓰기(read and write)를 할 수 있는 특성이 있다고 했다. 이렇게 시중에서 유통되는 프로그램을 해킹에 사용할 경우, 해킹 툴(tool)을 개발하는 북한의 입장에서는 저비용으로 운영할 수 있다. 또 대중에게 많이 사용되는 컴퓨터망의 접근에도 유리하다는 게 업계 관계자들의 전언이다.

FBI는 소니 픽처스 해킹에 사용된 컴퓨터 관련 기술들을 종합 분석해 본 결과, 북한이 감행했던 다른 사이버 공격과 기술적 양상이 매우 유사하다는 점을 찾아냈다. FBI에 따르면 북한의 바이러스는 컴퓨터의 내용을 지워 버리고 탈취해 가는 기능을 한다고 했다.

2012년 미 국방부(DOD)가 의회제출용으로 제작한 〈북한의 군사 및 안보적 발전〉 보고서에 따르면 북한은 미국뿐 아니라 남한을 향해 여러 차례 사이버 공격을 감행했다. DDoS 공격이 대표적이다. 북한이 이런 사이버 공격을 하는 이유로는 비용대비 효과(cost-efficient) 때문인 것으로 분석했다. 북한은 인터넷망이 널리 보급되지 않은 폐쇄국가이기 때문에 주로 제3국의 인터넷망을 사용해 사이버 공격을 주도하는 특성을 보인다고 했다. 북한은 이런 공격의 목적 중 하나가 정보의 탈취라고 했다. 요약하자면 저비용으로 정보를 탈취하는 데 사이버 공격이 유용하다는 것.

2013년 對南해킹과 2014년 對美해킹 공통점 다수 발견

이번에 입수한 FBI의 2014년 소니 픽처스 해킹 분석내용은 미 국토안보부(DHS)의 2013년 북한의 대남(對南)해킹 분석내용과 여러 부분이 일치했다. 미 국토안보부 산하 사이버 전담팀, CERT는 2013년 남한에서 발생한 일련의 해킹 사건, ‘다크서울(DarkSeoul, 해킹 작전명)’을 분석한 바 있다. 2013년 공격 패턴도 2014년 소니 픽처스와 동일하게 악성코드인 멀웨어가 마스터 부트 레코드를 장악하고 내용을 삭제했다는 것. 전체적인 해킹의 설계가 간단하면서도 높은 피해를 안기는 ‘저비용 고효율 구조’를 띠었다는 점 등이 일치했다. 이런 해킹의 공통점은 북한이 소니 픽처스 해킹의 배후라는 점을 더 명확하게 만드는 대목이다.

FBI가 소니 픽처스 해킹 배후를 북한이라고 지목하자, 북한과 일부 종북단체 등에서는 미국이 사건을 조작했다고 주장했다. 그러나 이번에 입수한 FBI의 비밀문건에서 기술적인 단서들이 공개되면서 분명 그 해킹의 배후가 북한이었다는 점이 확인됐다.

FBI의 제임스 코미(James Comey) 국장은 지난 2015년 1월 8일, 소니 픽처스 수사 결과를 공식 발표했다. 코미 국장은 “FBI가 추적한 해커들의 IP 주소는 보기 드문 형태로, 북한만이 사용하는 주소”라고 말했다. 이 IP 주소로부터 악성코드가 심어진 다수의 이메일이 소니 픽처스로 보내졌다.

코미 국장은 소니 픽처스의 해킹 직후 대처는 좋았다고 평했다. 소니 픽처스는 사이버 공격을 받았음을 확인한 즉시 FBI에 신고한 덕분에 FBI가 곧장 수사에 착수할 수 있었다. 이에 FBI는 유사시 각 기관 등은 즉각 관계당국에 신고할 것을 당부했다. 향후 북한의 사이버 공격에 당한 전례가 있는 한·미 당국은 머리를 맞대고 북한의 사이버 공격에도 반격할 수 있는 사이버 교전규칙과 사이버 테러방지법을 제정해야 할 것이다.⊙