2014년 미국 소니픽처스 해킹과 2013년 3월20일 한국 사이버테러가 동일범 소행이라는 분석이 나왔다. 미국 정부는 2014년 당시 북한을 소니픽처스 해킹 주범으로 지목했다.
노베타(Novetta), 카스퍼스키랩, 엘렌발트(AlienVault) 등 사이버보안 기업 3사는 ‘오퍼레이션 블록버스터’ 보고서에서 이 같이 밝혔다.
보고서는 소니픽처스 해킹 조직을 ‘나자로 그룹(Lazarus Group)’으로 명명했다. 그룹은 2009년부터 활동을 시작했으며 역할을 분담해 일사분란하게 움직이는 체계화된 조직이다. 이들은 개발과 정찰, 침투, 파괴를 나눠 수행한다. 공격에 쓰인 악성코드 패밀리는 최소 7년 넘게 각종 사이버테러에 쓰였다.
나자로 그룹은 주로 미국과 한국 정부와 미디어, 국방, 항공, 금융, 주요기반시설을 노린 사이버 공격을 일삼았다. 소니픽처스 해킹 사건에 쓰인 악성코드 분석 결과 암호를 푸는 35개 문자 비밀번호가 3·20때 발견된 것과 같았다. 악성코드가 외부와 통신할 때 쓴 메시지에서도 동일한 철자 오류가 발견됐다.
소니픽처스 공격에 쓰인 악성코드는 45종이 넘었다. 보안업체는 나자로 그룹이 인도, 중국, 프랑스, 러시아 등에서 발생한 수십 건 공격에도 관여한 정황을 포착했다.
국내 보안전문가는 2014년 소니픽처스 해킹 사건 직후 한국에 피해를 입힌 것과 같은 악성코드가 쓰였다고 분석했다. 관련기사 본지 2014년 12월 3일자 (www.etnews.com/20141203000268)
당시 전문가는 소니픽처스를 공격한 악성코드에서 한글코드까지 발견되며 북한 연관성을 강조했다. 국내 보안 전문가는 “지난해 국내은행과 2개 방송사 PC 공격과 매우 유사하다”며 “북한 소행이다”고 설명했다.
소니픽처스는 김정은 북한 국방위원회 제1위원장의 암살을 소재로 한 영화 ‘인터뷰’를 제작해 2014년 12월 25일 개봉할 예정이었다. 소니픽처스는 영화 개봉전 사이버공격을 받아 사내 PC가 다운되고 블록버스터급 영화와 기업 기밀을 해킹당해 온라인상에 유출되는 피해를 입었다.
김인순 보안 전문기자 insoon@etnews.com
