• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[연말기획 시리즈] 소니 해킹 그 이후...반성은 커녕 ‘꼼수’만 2011.12.29

최악의 해킹 사고로 기록돼...그러나 매출은 오히려 늘어


[보안뉴스 호애진] 2011년은 굵직한 보안 사고가 많이 발생한 한해였다. 그 중에서도 소니 해킹 사고는 역대 최다 개인정보가 유출된 최악의 해킹 사고로 기록되고 있다.


소니는 지난 4월부터 수십차례에 이르는 해킹 공격을 받았다. 해커들로부터 집중적인 포화를 맞은 것.


시발점이 된 것은 무엇일까. 지난 1월, ‘지오핫’이라는 닉네임의 해커 조지 호츠가 소니 플레이스테이션3을 해킹했다. 탈옥을 통해 기기를 보다 자유롭게 활용하고자 했고 관련 정보를 다른 이들과 공유하기 위해 온라인에 공개했다.


이에 소니는 지적재산권 침해로 그를 고소했다. 그러자 해커들은 소니 제품 불매 운동을 벌이는 한편, 소니 관련 웹 페이지에 대한 소규모 해킹을 감행했다.


3월, 소니는 지오핫과 합의했지만 해커들의 반감은 누그러들지 않았다. 소니에 대한 각종 해킹 사고가 끊이지 않았다. 그리고 4월 대형 사고가 터진 것이다.


크고 작은 사고 발생...1억명의 개인정보 유출되기도

4월, 소니의 게임기 PS3와 PSP를 지원하는 네트워크에 해커가 침입해 7,700만여 회원의 개인정보가 탈취됐다. 해킹으로 4월 19일 서비스를 중단했지만 사건이 발생하고 나서 일주일이나 지난 26일 개인정보 유출 사실을 공개해 늑장 대응에 대한 비론 여론이 들끓었다.


5월 소니온라인엔터테인먼트도 해킹을 당해 2,500만 명의 개인정보가 추가로 유출됐다 이로써 약 1억여명의 개인정보가 유출되는 초유의 사태가 발생한 것이다.  뿐만 아니라 5월 한달간 소니 에릭슨, 소니뮤직 엔터테인먼트 등 7개의 자회사 및 지사가 해킹 공격을 받았다.


이에 많은 사용자들이 해킹으로 인한 피해 보상을 위해 소송을 제기하고 나섰고 현재까지도 소송이 진행 중에 있다. 소니는 보안을 강화하기 위해 보다 많은 노력을 기울이겠다고 밝혔고 해커들의 공격도 조금 잠잠해지는 듯 했다.


그러나 6월, 소니픽처스가 해킹돼 100만명의 개인정보가 탈취됐으며 일부 사용자들의 정보가 온라인으로 공개됐다. 이들 정보들은 암호화되지 않은 것으로 알려져 소니는 또다시 비난을 받게 됐다.


이어 같은 달 소니컴퓨터엔터테인먼트의 개발자 네트워크 소스코드와 소니 BMG의 내부망 지도가 공개됐다. 지난 4월 이후 16번째 사이버 공격이었다. 소니로서는 악몽의 연속인 셈이었다.


이처럼 소니에 대한 해킹 공격은 끊이지 않았다. 10월에도 PSN과 소니엔터네인먼트네트워크(SEN). 소니온라인엔터테인먼트 등의 웹사이트가 공격을 받은 것으로 알려졌다.


해킹 사고 이후에도 여전히 승승장구....‘꼼수’까지 써

그렇다면 현재 소니는 어떤 대책을 마련하고 있는 것일까. 스스로 문제를 점검, 관련 조치를 취하고 보안을 보다 강화하기 위한 정책을 적용하는 것이 우선일 것이다.


그러나 보여지는 것은 소니의 ‘꼼수’ 뿐이다. 소니컴퓨터엔터테인먼트는 PSN 이용자가 집단소송을 하지 못하도록 하는 약관 조항을 만들었다. 이 약관 조항에 따르면 집단소송을 하지 않는 조건에 동의하지 않으면 최신 게임 콘텐츠 다운로드, 제품 주문 등을 할 수 없게 된다.


이는 해킹 사고로 인해 계속되는 집단소송을 막기 위해서다. 더욱이 이러한 조항은 이용 약관 끝부분, 눈에 잘 띄지도 않게 명시돼 있다. 이에 따라 논란은 더욱 가중되고 있다. 현재 이러한 소니의 정책에 불만을 품은 사용자들이 이 사안을 문제 삼고 소송을 제기했다. 아직 어떠한 판결도 나오지 않은 상태이기 때문에 사용자들은 해킹 사고에 울고 소니의 정책에 또 한번 울게 된 셈이다.


보통 해킹 사고를 겪으면 기업들은 경제적인 손실 뿐만 아니라 기업 신뢰도 하락이라는 수순을 밟게 된다. 심지어 파산에까지 이른 기업도 있다. 네덜란드의 SSL 인증기관 디지노타가 그 예다. 해킹 공격을 받아 수백개의 허위 인증서를 발급한 디지노타는 결국 지난 9월 파산했다.


당연한 결과인지도 모른다. 보안을 소홀히 하는 기업은 응당 그 대가를 치러야 하고 일반 기업들은 이러한 기업을 통해 교훈을 얻고 보안을 보다 강화해야 하는 것이 상식적인 논리다.


그러나 소니는 이러한 논리를 따르지 않았다. 해킹 이후 PSN의 매출이 오히려 14% 증가한 것으로 나타났다. PSN을 전혀 모르는 이들 조차 해킹 사고 이후 관심을 갖고 해당 서비스를 이용하는 결과를 초래한 것.


현재 진행되고 있는 소송결과를 봐야 하겠지만, 그리고 피해보상액을 어느 정도 지급하게 될지는 모르겠지만, 씁쓸하게도 소니는 아직까지 건재하다.

[호애진 기자(boan5@boannews.com)]

 

소니 해킹 사건을 끝으로 보안뉴스 연말기획 시리즈를 마무리할까 합니다. 올해는 이외에도 보안과 관련해 수많은 사건사고, 그리고 다양한 보안이슈가 있었습니다. 그 가운데서도 대표적인 7가지를 꼽아 그 당시 사건을 되돌아보고 현재 상황을 되집어 봄으로써 향후 보안강화 노력에 교훈을 삼고자 했습니다. 부족한 부분도 많았지만 앞으로도 많이 격려해 주시고, 2012년 새해 새로운 기획으로 또 다시 찾아뵙도록 하겠습니다. 감사합니다. [편집자 주(editor@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>