2014년 11월 25일, 영화를 제작하고 배포하는 영화사 ‘소니 픽처스 엔터테이먼트(SONY pictures entertainment)’가 자칭 ‘평화의 수호자(Guardians Of Peace, GOP)’라고 부르는 해커 그룹에 해킹당했다. 당시 이 사건의 배후가 누구인지 말이 많았는데, 그들의 메시지나 공격 패턴으로 보아 북한의 소행일 것이라고 FBI는 결론을 내렸다. 하지만 다른 한편으로는 거듭되는 적자로 회사 사정이 안 좋아 구조조정을 하면서 해고당한 이들이 회사에 악의를 품고 해킹했다는 이야기도 있었다.

소니 픽처스는 일본 소니 기업의 자회사로 할리우드에 있는 여러 영화사 중 유일하게 일본 소유의 영화사이며 할리우드 6대 스튜디오에 속하는 대형 스튜디오다.^[1] 소니 픽처스는 콜롬비아 픽처스와 트라이스타 픽처스가 소니에 합병되면서 만들어졌다.^[2] 소니 픽처스의 유명한 영화로는 스파이더맨, 맨인더블랙, 언더월드, 레지던트 이블, 다빈치코드 등이 있지만 최근 계속되는 흥행 실패로 회사 분위기가 좋지 않다고 한다.

소니 해킹 사건은 2014년 11월 24일에 일어난 사건으로 자칭 ‘평화의 수호자(Guardians of Peace)’라고 말하는 해커 그룹이 소니 픽처스의 전산망을 해킹했다. 그들은 이메일을 통해 회사 내부망에 들어가 악성코드를 설치하였고 공유 네트워크에 연결된 다른 시스템을 감염시키며 범위를 넓혀갔다.^[3] 감염된 시스템은 악성코드를 전파하면서 시스템에 있는 파일을 삭제하고 MBR(Master boot record)를 파괴하거나 자체 웹 서버를 운용하는 등의 공격을 순차적으로 진행했다.^[4]

이번 해킹사건에서 사용된 악성 프로그램은 여러 개가 있지만 주 악성코드는 diskpartmg16.exe, net_ver.dat, igfxtrayex.exe, iissvr.exe, usbdrv3.sys로 5개다. 각각의 악성 파일이 하는 일은 달랐고 악성코드 하나가 설치되면 다른 악성코드를 드랍하여 설치하는 구조였다. 먼저 diskpartmg16.exe가 메일을 통해 사용자 시스템에 들어와 설치되면 이 악성코드는 igfxtrayex.exe과 net_ver.dat 파일을 드랍했다. 드랍된 두 개의 악성코드가 사용자 컴퓨터에 설치되면 이 중 igfxtrayex.exe 파일이 issver.exe과 usbdrv3.sys 파일을 드랍하여 시스템에 설치했다.

사용자 시스템에 들어와 가장 먼저 움직이는 파일은 diskpartmg16.exe로 net_ver.dat과 igfxtrayex.exe를 드랍한다. 악성코드가 설치되어 실행되면 설정된 IP 범위 내의 특정 IP주소와 ‘USSDIX[시스템 이름]’ 형식의 컴퓨터 이름으로 설정된 컴퓨터를 찾아 연결한다. 이는 무차별적인 대상을 노린 것이 아니라 특정 대상을 공격하도록 설정된 것으로 보인다. 공격 대상과 연결이 되면 diskpartmg16.exe은 igfxtrayex.exe를 드랍한다. igfxtrayex.exe 파일은 원격으로 연결된 시스템 드라이브에 있는 파일을 삭제하고 파티션 테이블을 수정한다. 더불어 igfxtrayex.exe은 issvr.exe을 드랍한다. Issvr.exe은 8080과 8000 포트로 연결하고 80 포트로 수신을 기다리는 백도어를 설치한다.^[5] 함께 드랍된 usbdrv3은 물리 디스크의 데이터를 덮어씌우는 작업으로 총 3번의 과정으로 이루어지며 이를 통해 물리디스크의 핸들을 얻는 데 이용된다. 가장 먼저 ‘0xAA’로 물리 디스크의 데이터를 덮어씌우고 이어서 ‘0x55’로 다시 데이터를 덮어씌운다. 이어서 랜덤 바이트를 이용하여 물리 디스크의 데이터를 또 한 번 덮어씌운다. 이렇게 되면 컴퓨터는 부팅 과정에서 운영체제를 인식하지 못하고 MBR 영역도 다른 데이터로 덮어 씌워져 있어 완전하게 컴퓨터를 사용하지 못한다.^[6]

이번 사건으로 소니 픽쳐스는 기업 정보, 회원들의 개인정보, 미개봉 영화에 대한 정보, 배우들의 후일담이나 회사 내부에서 오갔던 대화 내용 등이 유출되었다.^[7] 해커들은 자신들을 알아내려 하거나 영화를 개봉하려 들면 탈취한 정보를 네트워크에 풀 것이라며 협박 메시지를 남겼다.^[8] 이에 소니 픽쳐스는 영화의 개봉을 미뤘지만 이후, 12월 25일 영화를 개봉하면서 해커들은 자신들이 가진 정보를 토렌트로 더 풀어버렸다. 실제로 풀린 데이터는 소니 피쳑스의 회원 정보, 기업에서 일하는 직원들의 개인정보나 회사 내에서의 대화 내용이 풀렸다. 또한, 당시 미개봉이었던 브래드 피트의 주연 영화 ‘퓨리’가 DVD버전으로 유출되었고 2015년도 개봉 예정이었던 007 스펙터의 각본의 사본이 유출되었다.

이번 해킹 사건의 배후는 두 분류로 나누어진다. 먼저 이 해킹 사건의 범인은 북한이라고 주장한다. 이런 주장에 가장 핵심적인 이유는 해커들이 특정 영화의 개봉을 막는 뚜렷한 목적이 담긴 메시지를 남겨놓고 갔기 때문이다. 해킹사건이 일어날 당시 영화사에서는 한 영화의 개봉을 앞두고 있었다. 영화의 이름은 ‘디 인터뷰’라는 영화로 북한의 김정은 노동당의 제1비서와 인터뷰를 하며 김정은을 암살하려는 내용의 코미디 영화였다. 이러한 영화의 개봉을 앞둔 상태에서 GOP라는 해커 그룹은 이 영화의 개봉을 막기 위해 영화를 개봉하면 자신들이 탈취한 정보를 인터넷에 풀 것이라는 협박 메시지를 남겼다.

범인을 북한으로 보는 또 다른 이유는 이번 해킹 사건에서 보인 공격 패턴이 전형적으로 북한이 보이는 공격패턴이라는 것이다. 코드 라인, 암호화 알고리즘, 데이터 삭제 방법, 감염된 네트워크 등은 보통 북한의 공격패턴으로 많이 알려져 배후가 북한이라고 주장한다.^[9] 더군다나 이러한 공격패턴은 국내 방송사와 은행 해킹사건과 유사한 공격패턴을 보여 같은 사람의 소행일 것으로 보고 있다.^[10] 마지막으로 그들이 이 소니 해킹 사건의 배후로 북한을 지목한 이유는 악성코드 안에 한글로 추정되는 말이 나왔다^[11]며 이러한 정황으로 봤을 때 이번 해킹 사건의 범인은 북한이라는 의견이다.

하지만 반대로 북한 보다는 내부자의 소행으로 생각하는 이들도 있다. 미국의 한 보안업체에서는 북한은 그 정도의 실력 있는 해커가 없을 것이다고 말하기도 했다. 오히려 북한보다는 내부자의 소행일 가능성이 크다는 것이다. 먼저 그들 또한 해킹할 적절한 동기를 가지고 있었다. 당시 소니는 회사 내에서 계속되는 적자로 내부 인사조정이 있던 시기였다. 정확히 말하면 이미 내부조정이 끝난 후라 분위기가 뒤숭숭했다. 이런 상황에서 회사에서 해고당한 이들이 마음에 앙심을 품고 해킹했다는 것이다.^[12]

더군다나 이번에 사용된 공격패턴으로 회사 내부 사람이 아니면 알기 힘든 특정 시스템을 노린 다거나 회사 내부망에 대해 너무 잘 알고 있어 사고의 순서가 정확히 맞아떨어진다는 것이다. 그들이 사용한 악성코드의 공격패턴도 이미 전 세계에 너무 많이 알려져 다른 누군가가 사용해도 전혀 이상할 것이 없을 것이라고 보고 있다. 추가로 이번 사고는 여러 국가 IP를 통해 동시 다발적으로 일어났고, 이런 국가 아이피를 이용해서 북한이 공격했다는 뚜렷한 증거도 없다는 것이다. 그들이 북한이 아닌 내부자들의 소행이라고 보는 또 다른 이유는 해커들이 남긴 20개의 영어 메시지다. 이 영어 메시지와 여러 국가의 언어를 비교하면 15개는 러시아의 언어 구조와 유사하고 9개는 한국어의 언어 구조와 비슷한 것으로 분석되었다. 더불어, 문법이 맞지 않은 5개를 포함한다면 러시아는 3개, 한국어는 1개의 언어구조가 일치했다. 이런 정황을 봤을 때 이번 해킹 사건의 범인은 회사에서 해고당한 지 얼마 안 된 러시아인으로 보고 있다.^[13] 이렇듯 보이는 것은 북한이지만 계속해서 보고 있다면 북한이 아닐 수도 있을 것 같다는 생각이 든다. 이번 사건에서 나오는 범인이 북한이라는 증거는 배후를 북한으로 보이려는 의도가 다분해 보였다.

이 사건의 범인은 확실하지 않지만, 북한일 것이라는 FBI의 말에 대통령 버락 오바마도 북한에 곤두선 입장으로 이러한 공격에 가만히 있지는 않고 맞대응할 것이라며 못을 박았다.^[14] 이러한 미국 측 반응에 북한 측에서는 이러한 미국의 사건 보고서와 상황을 보고 자신들은 아니라며 적극적으로 부인했다.

사건의 보고서는 이미 제출되어 사건종료 되었지만, 아직도 누군가의 소행인지는 정확히 밝혀진 바는 없다. FBI에서는 북한의 소행이라고 단정 짓고 몇몇 보안 업체들은 FBI의 말에 신뢰하지 않으며 내부자들의 소행이라 말한다. 다른 한 편으로는 스파이더맨과 관련한 메일 내용도 엄청나게 풀려 이번 해킹 사건의 범인으로 굉장한 스파이더맨의 팬이 아닐까 하는 의견도 있다. 사실 객관적으로 보면 나오는 정황상 북한의 소행이 보이지만 너무 확연하게 드러나 오히려 북한의 소행으로 보이려는 누군가의 의도처럼 보이기도 하다. 과연 누구의 말이 옳은지 모르겠지만, 판단은 알아서 하길 바란다.