"3·20 사이버테러와 소니픽처스 해킹은 동일범 소행"

[김국배기자] 2013년 국내에서 발생한 이른바 '3·20 사이버테러'와 2014년 미국 소니픽처스 해킹이 동일범의 소행이라는 분석이 나왔다.

노베타(Novetta), 카스퍼스키랩, 엘렌발트(AlienVault) 등 사이버보안 기업은 합동조사 보고서인 '오퍼레이션 블록버스터'를 통해 이같이 밝혔다.

다양한 악성코드의 공통된 특징을 근거로 수십 3·20 사이버테러가지의 사이버 공격을 그룹화한 결과 악성코드 간 연결점을 발견, 모두 같은 해킹 조직에서 시작된 것으로 파악된 것이다.

감염된 시스템의 해킹 흔적을 지우기 위해 사용한 특수한 방법과 백신(Anti-Virus) 제품의 탐지를 피하기 위한 기법도 각 공격간 연관성을 찾는 단서가 됐다.

'나자로 그룹(Lazarus Group)'으로 명명된 이 해커 조직은 소니픽처스 해킹이 일어난 2014년보다 무려 7년이나 앞선 2009년부터 활동해왔으며 여전히 활동중인 것으로 조사됐다.

카스퍼스키랩은 "나자로 해커 조직은 안정적이고 오래 유지되고 있는 해커 조직임을 뜻한다"고 말했다.

보고서는 이 해커 조직이 사용한 대부분의 악성코드가 대한민국 표준시간대(GMT+8–GMT+9 사이)에 제작된 것으로 분석했다.

카스퍼스키랩 관계자는 "악성코드에서 한글코드가 발견되고 악성코드를 제작한 시간대도 대한민국 표준 시간대"라며 "북한이 증거는 없지만 한국어를 구사할 줄 아는 사람이 악성코드 제작했을 가능성이 크다"고 말했다.

3·20 사이버테러는 2013년 3월 20일 국내 방송사와 금융사 전산망을 마비시킨 사이버 공격이다. 소니 픽처스 해킹은 2014년 12월 25일 북한 김정은 암살을 소재로 한 영화 '인터뷰' 개봉을 앞두고 소닉 픽처스가 사이버 공격을 당한 사건을 말한다. 우리 정부와 미국 정부 모두 북한을 해킹 주점으로 지목했었다.