소니픽처스 해킹 사건은 북한의 사이버 테러리스트가 아니라 이 회사의 퇴사한 직원의 소행이라는 미국 언론의 보도가 이어지고 있어 눈길을 끈다.

블룸버그는 31일 “최소 한 명 이상의 전현직 소니 직원이 소니 해킹을 도운 것으로 드러났다”는 보안전문 업체 노스(Norse corp.)의 말을 인용해 보도했다. 커트 스탬버거 노스 부사장에 따르면 소니 출신 전문가가 포함된 6명의 그룹이 유력한 용의자로 지목된 상황이다. 커트 부사장은 블룸버그와 인터뷰에서 “유출된 소니의 인사 자료와 해커들의 채팅 자료를 교차 검증하고 자체적인 모니터를 통해 2개 그룹이 가담한 사실을 확인했다”고 밝혔다.

노스는 사이버 공격이 김정은을 암살하는 내용을 다룬 영화 ‘인터뷰’의 상영을 중지하기 위한 북한 정부의 조직적인 테러라는 미국 정부의 주장에 의문을 제기했다. 노스는 소니의 직원이나 지난 5월 구조조정으로 해고된 직원이 해커들과 협력해 해적판 영화들을 유통해 왔던 것으로 의심하고 있다. “스스로를 평화의 수호자(Guardians of Peace)라고 불렀던 그룹의 1차적인 목표는 영화 상영 중단이 아니라 갈취(extortion)였다”는 이야기다.  

블룸버그 12월31일 온라인 기사 캡춰.

노스에 따르면 지난달 소니픽처스의 컴퓨터를 공격한 바이러스는 지난 7월부터 움직임을 추적할 수 있다. 노스는 해커들을 유인하기 위해 800만개 이상의 소프트웨어 트랩을 설치하고 이상적인 움직임을 추적하고 있다. 노스는 이 같은 사실을 FBI에 보고했으나 관련해서 답변을 받지 못한 상태라고 밝혔다. 소니의 내부 조사에서는 ‘다크서울’이라고 알려진 조직의 소행이라는 결론을 내린 바 있다.

스탬버거 부사장은 “사이버 공격이 알려진 뒤 며칠만에 FBI가 그렇게 빨리 배후를 밝힌다는 것은 거의 전례 없는 일이어서 놀랐다”고 밝히기도 했다. 뉴욕포스트도 “FBI가 공개하지 않은 북한과 연루된 다른 정보를 갖고 있을 수 있다”면서 “만일 정보가 있다면 해커들의 공격을 조사하는 민간 사이버 전문가들에게 공개해야만 한다”고 지적했다. 해커들은 소니가 ‘인터뷰’의 상영 계획을 철회한다고 발표한 16일 이후에도 조용한 상태다.

블룸버그는 보안 소프트웨어 개발사 트랜드마이크로의 분석을 이용해 “소니의 컴퓨터를 공격한 바이러스가 한글 환경에서 작성됐고 지난해 한국의 은행과 언론사들을 공객했던 수법과 유사하다는 이유로 북한과 연결시킬 수는 없다”고 지적했다. 이번 해킹에 사용된 멀웨어는 블랙마켓에서 구할 수 있고 높은 기술 수준이 필요한 소프트웨어도 아니다. 특정 안티바이러스 소프트웨어를 집중적도록 커스터마이징돼 있는 것으로 확인됐다.

커트 부사장은 “대부분의 멀웨어는 룸바처럼 이리저리 떠돌아다니면서 부딪히고 빙글빙글 도는 등 무작위로 움직인다“면서 ”마지 크루즈 미사일과 같다“고 설명했다. 커트 부사장은 “그러나 이번 공격에 사용된 멀웨어는 특정 서버 주소와 아이디, 비밀번호, 인증서를 갖고 있는데 이건 특정 대상을 집중적으로 공격하기 위한 목적에서 만들어졌고 내부자가 개입됐다는 강력한 근거라고 할 수 있다”고 말했다.

노스에서 운영하는 블로그에 29일 올라온 “노스 조사단은 전 소니 직원이 포함된 소그룹에 집중하고 있다(Norse Investigation Focusing on a Small Group, Including Sony Ex-Employees)”는 글에서 “북한의 공격이 불가능하지는 않지만 북한의 공격이라고 보기에는 의심스러운 부분이 많다”고 지적하고 있다. “내부자가 북한의 소행처럼 보이기 위해 꾸몄을 거라고 보는 게 합리적”이라는 이야기다.

실제로 해커들이 보낸 초기 메시지에는 ‘인터뷰’에 대한 언급이 전혀 없는 대신 소니의 불공평한 정책에 불만을 표시하면서 협박과 동시에 불법적으로 현금을 인출하려 시도를 보였다. 스탬버거 부사장은 지난 24일 CBS와 인터뷰에서 “레나(Lena)라는 이름의 전직 소니 영화사 직원이 연루돼 있다”고 주장한 바 있다. 스탬버거 부사장은 “우리가 가진 자료에서는 북한이 해킹을 주도했다는 결론을 낼 수 없었다”고 밝혔다.