해커가 소니에게 요구했던 사항은 무엇일까? 여전히 비밀...

멀웨어 분석하니 남한 공격 때 등장했던 볼그머와 조크라 흔적 있어

[보안뉴스 문가용] 아직도 오리무중이다. 자폭하는 멀웨어를 가지고 소니 픽처스를 공격해 시스템을 망가트리고 그날 훔쳐낸 정보를 조금씩 단계별로 공개하는 것이 누구인지 말이다. 하지만 그렇다고 아예 모든 것이 안개 속에 갇혀 있는 건 아니다. 느릴지 몰라도 조금씩 부연 것이 걷히고 있는데, 이번에는 공격자들이 소니의 IT 인프라를 손바닥 보듯 알고 있었다는 사실이 밝혀졌다.

보안 전문가들은 소닉 픽처스 사건과 깊은 관계가 있는 것으로 보이는 자폭 멀웨어를 데스토버(Destover)나 위팔(WIPALL)이라고 이름을 붙였으며, 멀웨어 안에 소니 네트워크에 연결되어 있는 서버 이름들과 로그인 정보가 고스란히 하드코드되어 있는 것을 발견했다. 그러는 와중에 공격자들은 새로운 파일 1만 1천여 개를 유출시켰는데, 한 보도에 따르면 이 파일들은 소니에서 매일 매일 일 처리하는 데에 꼭 필요한 것들만 쏙 빼놓은 것이다.

소니는 현재까지 복구 작업에 여념이 없다. 11월 24일 모든 클라이언트 기기들이 갑자기 멈추고 해골이 바탕화면에 깔리면서부터 스스로를 평화의 수호자(Guardians of Peace)라고 밝힌 그룹에게 장악당한 것이나 마찬가지였다. 당시 평화의 수호자는 소니 시스템을 다운시킨 이유로 ‘요구를 들어주지 않아서’라고 했는데, 이 요구 사항은 아직까지도 비밀에 부쳐지고 있다.

또한 평화의 수호자들은 보란 듯이 소니의 민감한 정보를 페이스트빈(Pastebin)에 조금씩 업로드하고 있다. 유출된 파일에는 직원들의 급여 정보, 사회보장번호, 범죄 기록, 업무 기록 일지 등의 정보 뿐 아니라 미공개 영화 등의 지적 재산까지도 포함되어 있다. 아직도 테라바이트 단위의 정보가 남았다고, 해커들은 경고를 남긴 상태다.

중요한 건 자폭 멀웨어가 소니의 내부 시스템을 전부 파괴시켜 버렸다는 것이다. FBI는 이번 주초에 몇몇 기업들에 긴급 경고를 전달했다. 소니를 직접 언급하지는 않았지만 시스템에서 자폭하는 멀웨어가 있으니 조심하라는 내용이었다. 마스터 부트 기록까지 전부 삭제해 버리기 때문에 심각한 액수와 규모의 피해가 발생할 가능성이 다분할 뿐 아니라 데이터를 영영 찾지 못할 수도 있다는 걸 언론도 급히 타진했다. 이런 공격에 당했을 때 어떻게 대처해야 하는가에 대한 전문가 의견도 다양하게 쏟아졌다.

그렇다면 정말로 어떻게 대처해야 할까? 아예 모든 걸 다 갈아엎고 새롭게 시작해야 할까? 처음부터? “일단 모든 스위치를 내립니다.” 파이어몬(FireMon)의 조디 브라질(Jody Brazil)의 조언이다. 모든 걸 지우고 새롭게 시작한다는 건 미련한 방법이라는 게 그의 의견이다. 하지만 더 큰 공격이 일어나기 전에 외부와의 통신을 차단하고 인터넷을 전부 끊어내서 ‘지금 상태를 유지’하는 건 중요하다. 그리고 한 번에 하나씩이란 마음으로 천천히 복구를 시켜야 한다. 하나하나 암호를 새롭게 바꾸고, 컨트롤 설정을 바꾸고, 시스템에 대한 평가를 해야 한다. 내일 당장 사업을 재개하는 게 아니라 다음 주에 재개해도 늦지 않을 거라는 마음으로 해야 한다. “다음 주도 빠릅니다. 수주 안에 복구할 가능성이 더 높습니다.” 물론 그 시간 동안 잃는 것도 많을 것이지만, 이게 정석이라고 그는 주장한다.

소니는 아직까지도 어떠한 채널을 열어두고 있지 않은 상태다. 전화도 안 되고 이메일에도 답이 없다. 정말 모든 것을 닫고 차단한 채 일을 하고 있는 모양이다. “사실 우리가 바깥에서 보고 느끼는 것보다 그 안은 훨씬 더 심각하고 난리일 겁니다.” 무엇을 본 것인지, 멀웨어 샘플을 한참 분석한 에얼리언볼트(AlienVault)의 제이미 블라스코(Jaime Blasco)의 짐작이다. “저희가 입수한 샘플을 분석했을 때 가장 확실했던 건 공격자들이 소니의 네트워크 사정을 환하게 알고 있었다는 겁니다. 서버의 이름과 로그인 정보가 정확하게 하드코드 되어 있었으니까요.”

이는 곧 멀웨어가 소니만을 위해 제작된 고도의 타깃형 공격 툴이었다는 의미가 된다. 즉 이 공격이 있기 전에 이미 소니의 IT 인프라 정보를 낱낱이 훔쳐갔다는 것이다. 그렇다면 그런 정보들을 애초에 어떻게 얻어낸 것일까? 일부 전문가들은 해커들이 다단계로 공격을 감행했을 것이라고 본다. 네트워크의 어떤 지점을 뚫은 후 여기저기를 찔러보면서 정보도 훔치고 사용자 권한 설정도 내리거나 올려보는 등 말이다. 혹은 누군가 내부에서 정보를 유출했을 가능성도 제기되고 있다.

이 점에 대해선 블라스코도 말을 아꼈다. 하지만 해커라고 스스로를 밝힌 어떤 인물이 “소니는 문을 걸어 잠그지 않는다. 그것도 물리적으로 말이다. 그래서 잘 훈련된 우리 편 사람 하나를 안으로 들여다보낼 수 있었다”라고 밝힌 것을 봤을 때 내부 위험 역시 쉽게 배제할 수는 없는 가능성이다. 또한 이들은 “우린 평등을 원한다. 하지만 소니는 그렇지 않은 것 같다. 언젠가 벌어질 전쟁이었다”고 자신들의 동기를 밝히기도 했다.

문제는 이 ‘우리’가 누구냐는 것이다.

많은 전문가들이 북한 해커를 가장 유력한 용의자로 꼽았다. 정부가 그랬든 누군가의 독립적인 의지이든 말이다. 그리고 그 근거로 이번에 소니에서 개봉하기로 한 <더 인터뷰>라는 북한 관련 영화를 꼽았다. 심지어 이를 소니발 소식처럼 보도하는 매체도 있었는데, 가장 정확한 상황은 소니에서는 이와 관련해서 아무런 확인을 해준바가 없다는 것이다. 더 정확히 말하면 그런 소식들이 ‘정확하지 않다’고 한 바 있다.

블라스코는 자신들이 입수한 멀웨어는 “이탈리아, 싱가포르, 폴란드, 미국, 태국, 볼리비아, 사이프러스 등의 IP 주소와 통신하는 기능을 가지고 있”다며 “이 역시 원래 위치를 숨기기 위해 해킹한 시스템 혹은 VPN 프록시일 가능성이 높다”고 했다. 또한 “시스템에서 한국어가 사용된 것을 발견하기도 했다”라고 밝혔다. 컴파일러에 한국어의 흔적이 남아있다는 건 북한발 공격을 증명해주는 가장 직접적이고 유일한 증거라며 “이는 해킹하거나 위장하기 힘든 부분입니다”라는 블라스코의 목소리에는 확신이 담겨 있다.

카스퍼스키와 시만텍 역시 북한을 지목하고 있는데 이유는 블라스코와 다르다. 시만텍은 데스토버 멀웨어가 사용하는 C&C 서버가 볼그머 트로이목마(Volgmer Trojan)가 사용했던 서버이며 조크라(Jokra)라는 멀웨어에서 발견된 테크닉과 요소를 데스토버에서도 발견할 수 있다는 걸 그 근거로 들었다. 볼그머와 조크라 모두 남한에 대한 사이버 테러에 사용된 것으로 유명한 멀웨어다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>