[보안뉴스 호애진] 그리스에 있는 소니BMG 웹사이트가 해킹 당했다. 이로 인해 해당 사이트에 등록된 9천명의 이름과 유저명 및 이메일 주소를 담고 있는 데이터베이스 정보가 탈취됐다고 보안전문업체 소포스가 22일 밝혔다.

이번 경우, 공격자는 SQL 인젝션 취약점을 공략해 공격을 감행한 것으로 알려졌다. 이는 한달 만에 네 번째 일어난 해킹 사고로 개인정보가 유출된 것은 이번이 세 번째다.

18일에는 공격자가 소니의 자회사인 소네트 엔터테인먼트 시스템에 침투해 128명의 계정에서 약 10만엔(약 133만원) 상당의 사이버 머니를 훔쳐간 사실이 밝혀졌다. 이번에 피해를 입은 사이버 머니는 해당 사이트 내에서 결재를 할 수 있는 포인트로 소네트는 해킹 발생 이후 포인트 교환을 중지시켰다.

이 두 번의 공격은 지난 달 소니 플레이스테이션 네트워크와 소니 온라인 엔터테인먼트가 해킹당해 1억명 이상의 이용자 개인정보가 탈취된 사건에 비하면 작은 규모다. 하지만 계속되는 해킹 사고로 인해 소니의 신뢰도는 추락하고 있다.

아울러 24일에는 소니뮤직재팬 웹사이트가 해킹을 당한 사실이 확인됐다. 다섯 번째 해킹인 셈이다. 그러나 이는 Lulz Security라고 알려진 단체가 SQL 인젝션 취약점을 이용해 해킹을 시도한 것으로 정보를 유출시키거나 다른 범죄를 일으키려 한 것은 아닌 것으로 전해졌다. 그러나 해킹 자체를 정당화 시킬 순 없다는 비난이 일고 있다.

한편 소니는 해킹 사고 해결을 위해 프로티비티, 가이던스 소프트웨어, 데이터 포르테 등 컨설팅 기업과 보안전문가들을 고용했으며 미국 연방수사국(FBI)과 함께 전직 미해군 범죄수사대 출신 수사관이 이끄는 자체 보안팀을 중심으로 해킹 사고에 대해 조사하고 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>