지난 4월 Sony의 PSN(PlayStation Network) 해킹 소식은 일본 대지진과 함께 Sony를 더욱 힘들게 만드는 뉴스였다. 거의 이번 주에야 거의 한달 가량 중지 되었던 PSN 서비스의 재개가 가능하다고 밝히고 있다. 여전히 우리나라는 서비스는 언제 재개될지 모르는 상태에 있다.

그런데 이번엔 LulzSec(LulzSecurity)라는 해커팀이 Sony(USA)의 자회사인 Sony Pictures Entertainment의 홈페이지를 해킹해서 약 1백만 온라인 고객의 정보를 빼냈다고 주장했다. 여기에는 아이디, 이메일, 패스워드, 전화번호, 주소, 생일 등 중요한 개인정보가 모두 포함되어 있다고 한다.

LulzSec에 따르면 이번 데이터베이스 해킹은 Sony Pictures의 실망스러운 보안 문제를 지적하기 위함이라고 하는데, Sony Pictures의 온라인 회원 정보는 모두 암호화가 되어 있지 않은 일반 텍스트(Plaintext)로 되어 있다고 한다.

LulzSec이 공개한 일부 사용자 이메일과 패스워드 (원본은 모자이크 처리 없음)


LulzSec은 그 증거로 자신들이 해킹한 sonypictures.com의 사용자 데이터베이스 일부를 그대로 공개했다. 여기에는 쿠폰정보, 음악 코드 데이터베이스, 사용자 데이터베이스 테이블, 실 사용자들의 일부 개인정보 등을 텍스트 형태로 그대로 노출시켰다.

만일 이들의 주장이 사실이라면 PSN에 이어 Sony에게는 상당히 치명적인 보안 사고로 기록될 것 같다. 특히 Sony Pictures같은 큰 기업이 사용자들의 개인정보를 평문 텍스트 형태로 보관하고 있었으며, 쉽게 해킹을 당했다는 점에서 상당히 심각한 문제로 비화될 사안이다.

해커팀의 이같은 주장에 대해 Sony Pictures Entertainment 부사장 Jim Kennedy(짐 캐네디)는, LulzSec의 주장에 대해 내부적으로 조사를 진행하고 있다고 밝혔다. 만일 해킹 사실이 맞다면 사용자 정보 유출에 대해 전혀 인지하지 못했을 가능성이 높다.


LulzSec의 홈페이지는 현재로 연결이 가능하며, 여기에는 Sony Pictures뿐만 아니라 PBS.org 등의 해킹 정보도 함께 공개하고 있다. 전체는 아니지만 일부를 샘플 형태로 제공하여 자신들의 해킹 사실을 홈페이지와 Twitter, The Pirate Bay(TPB) 등으로 공개하고 자료를 올렸다.

통신사 AP는 이렇게 유출된 개인정보를 통해 실제 사용자와 접촉을 시도하였다고 하는데, 인터뷰한 사용자의 개인정보가 LulzSec이 공개한 정보와 일치한다는 것을 확인했다고 보도했다.

단순하게 LulzSec이 해킹을 증명하기 위해 개인정보를 노출시켰는지는 모르지만, 공개된 정보가 진본인 경우 2차, 3차의 추가적인 피해가 우려된다. 누구나 접속할 수 있는 웹페이지에 텍스트 형태로 그대로 개인정보가 보이기 때문이다.

AP의 취재결과 아직 Sony Pictures로부터 공식적인 해킹 사실을 통보받은 사람은 없었다고 한다. 그만큼 이번 해킹이 전격적으로 이루어졌으며, Sony는 내부적으로 상당히 당황하고 있는 것으로 보인다.

앞으로 추가적인 사실이 시간을 두고 공개되겠지만, 이번 Sony Pictures의 사용자 정보 유출은 PSN 사고에 이어 Sony의 신뢰성에 큰 타격을 줄 것 같다.

이미 한달이 훌쩍 넘은 사고에도 불구하고 Sony 그룹의 다른 계열사인 Sony Pictures는 고객의 개인정보 관리에 소홀했다는 비판을 피할 수 없게 되었다. 결국 이는 Sony 전체의 개인정보 관리에 대한 불신으로 확대될 수 밖에 없어졌다.

Anonymity; and the Internet.
Anonymity; and the Internet. by Stian Eikeland 저작자 표시비영리동일조건 변경허락

Sony뿐만 아니라 국내에도 크고 작은 보안 사고가 계속 발생하고 있다. 농협 전산망 사고, 현대케피탈 고객 정보 유출, 세티즌 개인정보 유출 사건 등 사이버 범죄에 대한 잠정적인 사용자 피해 우려가 계속 늘어나고 있다.

더 많은 사용자의 정보를 수집하기 위해 혈안이 되어 있는 기업들의 행태도 문제다. 서비스 이용을 위해 꼭 필요한 정보 외에 추가적인 정보를 수집했지만, 이를 안전하게 지킬 수 있는 능력이 없다면 심각한 문제를 초래할 수 있다.

특히 비용의 문제를 들어 기업들은 보안과 IT 전반에 대한 투자를 줄이는 경향이 있어 고객의 중요한 개인정보가 유출될 우려는 점점 높아지고 있다. 개인정보의 유출은 피싱이나 또 다른 형태의 사이버 범죄에 악용되기 때문에 사회적인 문제로 커질 수 있는 중요한 사안이다.

사고가 터질 때마다 대응 인력을 늘이거나 예산을 늘이겠다는 원론적인 대책만 내놓는 수준이 아니라, 실제 어떠한 위협에 어떻게 대처해야 하는지, 비용을 크게 늘이지 않고서도 보안 수준을 높이는 방법을 강구해야 한다.

가족의 안전과 재산을 보호하기 위해 담장을 치고, 잠금장치를 하는 것에는 인색하지 않지만, 온라인 공간의 안전과 재산을 지키기 위한 노력은 너무나도 부족한 현실이다. 사이버 보안에 둔감한 사회분위기가 계속된다면 계속해서 개인정보 유출과 이에 따른 범죄가 늘어날 것이다. 

Posted by 까칠한 킬크

댓글을 달아 주세요

  1. err. 2011.06.04 13:23  댓글주소  수정/삭제  댓글쓰기

    궁금한게 한 가지 있는데, 법적으로 이러한 행위를 하는 것이 문제가 안되는 건가요? 보안은 회사의 생명과 관련된 이슈기에, 이 사건은 굉장히 흥미롭네요.

  2. Favicon of http://cdmanii.com BlogIcon 씨디맨 2011.06.06 00:12  댓글주소  수정/삭제  댓글쓰기

    시간이 흐를수록 데이터는 한곳에 더 많이 모이게 될텐데 좀 걱정이긴 하네요.