• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

2년 전 소니픽처스 해킹 사건을 되돌아보니 2016.08.13

콘텐츠 제작하는 입장에선 ‘안티’ 생성이 불가피
일반 기업들 하는 보안 실천사항도 접목하고 엔터테인먼트에 맞게 조정하고

[보안뉴스 문가용] 2014년 후반부를 강타한 소니픽처스 해킹 사건은 사실 예견된 일이었다. 사이버 공격이 본격적으로 물살을 타고 한껏 위용을 뽐내던 한 해였기 때문이다. “뭔가 큰 일이 터져도 이상할 것이 없는 때였죠”라고 리스크 관리 전문업체인 스트로즈 프라이드버그(Stroz Friedberg)의 창립자인 에릭 프라이드버그(Eric Friedberg)가 회고한다.


“또한 그 사건으로 인해 엔터테인먼트 업체들이 ‘사이버 보안의 위협’을 피부로 느끼기 시작했습니다. 그저 IT에 종사하는 사람들끼리 나누는 지겨운 전문용어라고만 생각했다가, 그게 아니라는 걸 깨달은 것입니다. 그러나 깨달음과 느낌만 가지고 ‘엔터테인먼트 산업이 단단해졌다’고 말하기는 힘듭니다.”

엔터테인먼트 산업 업체들 역시 귀중한 자산을 가지고 있다는 것이 드러났다는 것 자체는 괜찮은 한 걸음이다. “개봉되기 전 영화나 콘텐츠들 자체도 그렇지만 세간의 관심을 독차지하는 유명인들의 이메일들도 꽤나 가치가 높은 정보죠. 큰 돈이 오가는 엔터테인먼트 산업에서의 사업 전략 역시 마찬가지고요.” 그러므로 이런 엔터테인먼트 산업만의 독특한 자산을 위주로 보안 전략을 마련해야 한다는 인식이 마련되기에 이르렀다.

개봉 안 된 영화나 TV 방영물은 해적판을 유통하는 사람들에게나 공격자들, 경쟁사에게 매우 가치가 높은 데이터다. 그래서 영화제작사 등은 해당 데이터에 대한 접근을 철저하게 통제한다. “하지만 정책과 현장은 상당한 차이를 보입니다.” 프라이드버그의 설명이다. “아마 침투 테스터가 투입되면 손쉽게 이런 콘텐츠에 손댈 수 있을 겁니다.”

하지만 개봉이 안 된 콘텐츠라고 해서 모두 가치가 높은 건 아니다. “왕좌의 게임과 같은 경우 단 몇 시간만 풀려도 해커가 어마어마한 수익을 올릴 수 있을 겁니다. 하지만 아무도 모르는 무명 배우들로 구성된 신인 감독의 데뷔작이라면, 위험을 무릅쓰고 해킹할 이유가 거의 없다고 봐도 되죠.” 즉 ‘보안을 강화한다’는 개념이 모든 콘텐츠에 똑같이 적용될 필요가 없다는 뜻이다.

그럼에도 개봉되지 않은 콘텐츠는 기본적으로 매우 중요한 자산이다. “콘텐츠를 훔쳐서 돈을 벌 요량이 아니라 소니 엔터테인먼트의 경우처럼 회사 가치를 하락시키거나 공개적으로 모욕을 하는 게 주된 목적이라면 얘기가 달라집니다. 개봉 안 된 콘텐츠가 유출되었다는 사실 하나만으로도 공격에 성공했다고 볼 수 있으니까요.”

게다가 이런 식으로 ‘악의를 가진 공격’은 단순히 콘텐츠 탈취로만 국한되지 않는다. “디도스 공격도 꽤나 큰 효과를 발휘하죠. 표적을 오랫동안 노려온 핵티비스트들에게 디도스 공격은 굉장히 간단한 일이기도 합니다. 이를 막기 위해선 보다 ‘공격적’ 혹은 ‘능동적’으로 대처해야 합니다.”

디도스 공격의 파괴력은 생각보다 엄청나다. 2014년 4월, 프랑스의 방송사인 TVMonde5가 디도스 공격을 받은 적이 있는데, TV 방송이 수시간 동안 중단되었다. 웹 사이트와 소셜 네트워크 전부 디페이스 공격에 당했다. IS에 친화적인 해커들의 소행이었던 것으로, 뭔가를 훔치는 것이 아니라 TVMonde5의 이름값에 손상 주는 것이 목적이었으며, 실제로 꽤나 성공적이라고 평가된다(러시아 해커들이 여기에 관여되어 있다는 주장도 있다).

많은 엔터테인먼트 기업들이 간과하고 있는 방법들 중에 제작용 네트워크와 방송용 네트워크, 행정 사무용 네트워크를 분리시키는 것이 있다. 하지만 프라이드버그는 “본질적으로 콘텐츠를 다루는 업체는 반대 세력을 만들 수밖에 없다”며 핵티비스트 및 반대자들의 악의적인 공격에서부터 영원히 자유로울 수 없다고 강조한다.

“콘텐츠를 만들 때 반대편의 입장에서 점검을 하는 과정이 필요하지 않을까 합니다. 눈치 보고 하고 싶은 말을 자제하라는 게 아닙니다. 내가 이런 콘텐츠를 만들면 어떤 세력이 불편하게 느끼겠고, 그러므로 이런 저런 공격이 들어올 수도 있겠다고 미리 예상해서 전략을 짜라는 말이죠.”

보안 업계에서 하는 화이트리스팅 및 블랙리스팅 작업도 도입할 필요가 있다고 프라이드버그는 주장한다. “날 싫어하는 모든 사람들, 즉 안티들이 누구인지 명단을 작성하고 위협 정도에 따라 분류해야 합니다. 그 자료를 기준으로 현재의 위협을 최대한 정확하게 판단해야지요.” 중요한 건 사이버 보안 업계에서 이미 실행되던 일들을 엔터테인먼트 산업에 맞게 적용시켜야 한다는 것. “그밖에 암호 관리, 정책 컴플라이언스, 소셜 네트워크 계정 관리 등 다른 일반 기업들이 하는 것들을 엔터테인먼트 업체들도 해야 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>