전대미문의 소니 개인정보 유출 사건의 모든 것

 

 

전대미문의 소니 정보 유출 사건의 전말

 

소니 그룹의 온라인 서비스에서 최대 1억건 이상의 개인정보가 유출했을 가능성이 있다는 기사는 과장된 것일까 아니면 사실인가?

 

▲2011년 5월 6일 19시 경에 발표된 소니의 사과문 
(정보유출을 공표하는 소니의 사이트. 정보공개가 늦었다는 비판을 면치못하고 있다.)

소니그룹의 온라인 서비스로부터 무려 1억건 이상의 개인정보가 유출했을 가능성이 있다는 사건. 대한민국 국민 5천만의 두배 가량이나 되는 막대한 양으로 사실로 밝혀진다면 그 후폭풍이 거셀 듯 하다. 소니의 최고 경영책임자의 추궁은 당연하고 앞으로 출시될 소니의 테블릿 단말기와 네트워크 제품전략에도 악영향이 번지지 않을까 전전긍긍하고 있다. 그정도로 이번 사건은 사상 최악의 규모의 개인정보 유출이라 그 여파가 엄청나다.

이 글을 읽는 다면 글로벌기업이나 된다는 소니의 어처구니 없는 대응과 고객보다는 이익에 치중하는 대기업의 이면을 조금이나 알게 될 것으로 믿는다. 아울러 현재 한국에서 벌어지고 있는 농협 전산망 사태, 저축은행의 도덕적해이(모럴해저드), 한국 대기업에 만연한 배짱식 대응이 전세계에서 일어나는 지극히 평범한 일임도 절감할지도 모른다. (삼성의 옴니아폰 보상 역시 고객보단 이익 그것도 부당이득이다.)

사실 이번 사건의 시발점은 무려 1년 반 정도 전으로 올라갈 수 있다. 지금부터 소니 사건의 전말을 1년 반 전부터 일목요연하게 사건 일지식으로 정리하였다.


(본 글은 http://www.itmedia.co.jp/news/articles/1105/06/news052.html 를 참고하여 작성하였으며 사실관계외에 견해는 필자의 견해임을 밝힌다. 아울러 전문 용어가 많아 중간 중간에 용어의 해설을 달았으니 참고)

▲닉네님 'GeoHot'으로 알려진 해커 George Hotz, 가만히 얼굴을 보라.


낯이 익지않은가?? 아이폰 해킹을 하신분이라면 아시는 분도 꽤 있으실거다.

2009년 하반기 :  닉네임 ‘geohot’ 로 알려져 있고  2008년에 아이폰의 보안을 뚫어버린 미국인 해커 George Hotz(이하 ‘지오핫’ 나이 23살)가 플레이스테이션3 해커에 도전하는 것으로 소니의 해킹사건은 조용히 막을 올린다. 그러나 소니의 대응은 그저 냉담하기만 하였고 설마하는 마음으로 안일하게 대처하였다. 지오핫에 대한 자세한 내용은 위키백과(http://en.wikipedia.org/wiki/George_Hotz)

 

2010년 1월 : 지오핫은 불과 5주간에 걸쳐 플레이스테이션3의 보안을 파괴하는 것에 성공했다고 본인의 블로그에 게재하여 논란이 일기 시작하였다.(이하 플레이스테이션3를 플스3로 줄임)

2010년 4월 : 소니는 3개월 후에 플스3에 리눅스 등의 다른 OS를 설치하는 기능을 4월 1일자 펌웨어 업데이트로 무효화 시키는데 성공한다. 그러나 지오핫 은  “복구 가능하다.”라고 말했다. 여기서 그치지 않고 플스3에서 인정받지 않은 소프트 이외의 프로그램도 작동시키는 것이 가능하다며 엉뚱하게도 ‘탈옥(Jailbreak)’의 해커들의 도전 심리에 불을 붙이는 결과에 이르게 되었다. 결국 벌집을 쑤셔놓은 결과로 해킹 좀 한다는 해커들에게 소니가 좋은 먹이감이 되어 버린 것이다.

2010년 8월 : 호주에서  USB 덩글(dongle ; 개인용 컴퓨터에서 소프트웨어의 무단복제를 방지하기 위해서 부가하는 장치의 별명으로, 일반적으로 프린터 포트에 이 장치를 부착하여 이 장치가 없으면 그 소프트웨어는 수행되지 못하게 함.)에 있는 PS3의 탈옥버전인 ‘PS Jailbreak’가 발매되었지만 호주와 뉴질랜드의 재판소에서 판매금지를 명령하였다. 사법당국의 발빠른(?) 대응으로 미수에 그치게 되었으며 소니의 펌웨어 업데이트를 통해 탈옥 프로그램의 사용이 불가능하게 되었다. 해프닝으로 끝났지만 결론적으론 해커들에게 보안이 허술하게 무너짐을 보여준 사건이었다.

2011년 1월 2일 : 지오핫이 플스3을 탈옥하여 임으로 프로그램을 작동하도록 하는 코드(루트키)를 공개하였다. 일주일이 조금 지난 11일에 소니 컴퓨터 엔터테이먼트(SCE)의 미국 자회사 Sony Computer Entertainment America（SCEA）가 지오핫과 해커 그룹’FAIL0VERFLOW’를 디지털 밀레니엄 저작권법 위반 등으로 미 연방지방법원에 제소하였다. 가만히 있지 않겠다는 대응책이었다. 소니는 플스3 해킹 코드의 공개 정지를 요구하였다. 이에 대해 지오핫은 “해적행위가 아니다.”라며 반론을 펴 법적 공방으로 비화되기에 이른다.

2011년 2월 : 소니엔터테인먼트(SCE)가 “탈옥 프로그램을 사용하여 PlayStation Network에 접근할 경우 블록으로 차단한다.”고 유저들에게 경고하였다. 같은 시기에 해외정보 사이트에서는 플레이스테이션 네트워크(PSN)를 분석했다고 하는 익명의 해커가 PSN 에서 “신용카드 정보가 ‘플레인텍스트(plane text  ; 문자의 장식성 등을 배제한, 순수한 텍스트 데이터)  로 발송되고 있다.” 고 전한 것이 기사화되어 논란의 쟁점이 급속도로 정보유출로 바뀌게 되었다. 이제 소니의 해킹 문제가 해커들과 일부 유저들에서 선량하게 사용하는 불특정 다수의 개인 유저들의 소중한 개인정보 유출로 논란의 불씨가 급속도로 확산되게 된다.

2011년 3월 : SCEA는 지오핫의 사이트에 접근한 유저들의 IP 주소 공개를 연방지방법원에 요청하여 인정 받게 된다. 그러나 이러한 소니의 행위들은 오히려 어나니머스( Anonymous)의 분노를 사게 된다.

▲ 어나니머스가 보내는 선전포고문(서두에 웁스 소니가 인상적이다. 아울러 축하한다는 비꼬는 말투로 시작해서 용서하지 않겠다 지식은 자유롭고 무료여야 한다며 우릴 기대하라며 마구마구 쏟아내고 있다)

2011년 4월 3일 : 지식은 자유(Knowledge is Free)를 게재하여 인터넷 상의 언론의 자유를 지키기 위해 싸울 전투단을 지칭하는 해커들의 집단 Anonymous가 소니에 대응하여 공격을 선언하게 된다. Anonymous가 보내는 선전포고!  어나니머스는 2010년 12월 위키리크스의 서버를 정지했던 PayPal이나 Visa 등에 항의하여 서비스거부(DoS) 공격을 감행한 것으로 알려진 해커 그룹이다. 한마디로 소니가 상대를 잘못 본 것이다. 



  그 다음날 한국시각으로 9시가 지나고 PSN에 접속하기 힘든 장해가 발생한다. 사이트 공격을 받은 것이라 한다. 선전포고 바로 다음날에 공격을 감행하였으니 그야말로 전광석화 같은 반응이다. 이에 비해 소니의 미온적인 대응은 걷잡을 수 없으며 돌아올 수 없는 사태로 치닺게 된다. 시저(카이사르)가 루비콘 강을 건너면서 “이미 주사위는 던져졌다.”라고 한 것처럼 말이다.

4월 11일 SCEA는 지오핫 등과의 소송과 관련하여 3월말까지는 화해에 도달한 상태였다고 밝혔다. 이에 대해 지오핫은 SCEA가 코드 공개를 영원히 멈춰줄 것을 요구하여 승낙했다고 하였다. 또한 그는 Anonymous와 관계가 없다고 부정하였다. 다만 지오핫은 소니 제품의 불매운동을 공식적으로 표명하였다. 정황을 미뤄 살펴볼 때 소니가 강압적인 방법으로 지오핫에게 종용을 강요하였으며 화해에 도달했다기 보단 합의에 도달한 것으로 보는 것이 옳타고 생각한다. 화해했는데 불매운동을 하는 것은 언어도단이기 때문이다.

이후 4월 16일부터 17일 사이에 ‘애버퀘스트(EverQuest)’등 PC용 온라인 게임을 운영하는 미국 Sony Online Entertainment（SOE）의 시스템에 해커가 침입하여 약 2460만 명분의 계정 정보 등이 유출되었을 가능성이 제기되었다. 이때까지도 소니의 대응은 그야말로 천하태평이였다. 흡사 한국의 농협전산망 장애의 임직원들이 고객은 발만 동동 구르는데 “걱정마시라, 피해 전액 보상해주겠다.”라고 한 것과 무엇이 다른가. 사건의 본질을 보지 못한다면 리더로서 경영자로서는 실격이다.

4월 17일부터 19일 PSN 시스템에 해커가 또 침입하여 이번엔 무려 7700만 명분이라는 엄청난 개인정보가 유출된 것이 뒤늦게 확인되었다. 7700만 건은 PSN에 저장된 회원계정의 전체 수와 동일하다. 속된말로 개털린셈-_-;

이후 21일 오후 1시경에 PSN에 로그인이 어려워지는 장애가 발생해 서비스를 정지하기에 이른다. 이후 다음날 PSN의 장애복구는 ‘하루나 이틀정도 걸린다’라고 SCE가 통지하였다. 농협전산장애 때도 언제면 된다를 몇 번이나 번복했는지….천태만상이다.

4월 23일 외부요인으로 보여지는 영향에 의해 PSN에 장애가 발생하고 있다고 SCE가 통지하였다. 복구가 안되니깐 외부요인 탓으로 돌린다. 잘되면 내탓 안되면 남탓! 그 다음날인 24일 ‘네트워크 인프라 강화를 위한 시스템 재정비’ 를 핑계로 복구에 시간이 걸리고 있다고 밝혔다. 한편 Anonymous는 “우리는 하지 않았다. 소니는 무능하다.” 라고 하여 묘한 뉘앙스를 풍기게 하였다.

▲ 출시예정인 '소니 태블릿' 아이패드를 인식해서 인지 아이패드의 출시일과 비슷한 시기에 발표하였다. 이른바 물타기작전

4월 26일 오후 소니가 태블릿 단말기인 “Sony Tablet”을 발표했다. 발표회장에는 회사 부사장인 히라이 가쓰오(平井一夫)가 출석해 있었다. 다음날인 27일 PSN에서 약 7700만 건의 개인정보와 신용카드 번호가 유출되었을 가능성을 소니와 SCE가 공개적으로 발표했다.


그렇다 이미 사건은 알고 있었으나 소니 태블릿의 발표에 고춧가루를 뿌리는 것은 안되니 하루 미뤄 발표한 것이다. 아무리 기업이 이윤 추구를 최고로 한다지만 그 사이에 있을 고객들의 정보가 악용되면 그 피해는 농협처럼 100프로 보상해 줄 것인가? 해준다 해도 보상절차가 까다로워 대부분 포기할 것이다. 손바닥으로 하늘을 가리지 어처구니가 없는 대목이다.

▲소니의 임원들이 사죄를 하고 있다.

5월 1일 : 가정의 달로 어린이와 어버이 은사님에게 즐거워야할 5월이 4프로 넘는 물가인상으로 가격인상의 달이 되어 버렸다.(어린이날 전에 까까 가격 올려서 돈 많이 벌었소?) 암튼 SCE회장을 겸인하는 소니의 히라이 부사장이  소니 본사에서 회견을 하고 사죄를 하였다. “해커가 정상적인 방법으로 침입했기 때문에 인지하지 못했다고 설명하였다. 정보 공개가 늦어진 것에 대해서는 방대한 양의 데이터의 분석에 시간이 걸려버렸다. 가능한 정확도 높은 정보를 보고드리고 싶었다.” 라고 설명했으나 일본의 여론은 싸늘하기만 했다. 되지도 않는 변명이다. 어쩜이렇게 농협과 닮았는가! 농협에서도 복구가 지연될 때마다 회손된 데이터의 양이 많다. 정확한 것은 검찰에서 알려줄 것이다. 라고 발뺌하지 않았는가. 

다음날인 5월 2일 SOE 시스템에 해커가 침입과 2460만 명의 계정 정보가 유출될 가능성이 사실로 판명되었다. 우려가 현실이 되는 순간이다. 5월 3일에는 SOE에서 개인정보 유출의 가능성을 소니가 공식 발표했다. 뒷북의 종결자!

5월 4일 : 미하원 소위원회의 공청회에서 SCEA가 히라이 부사장 명의의 회답서를 제출하였다. Anonymous의 관여를 암시하는 파일이 시스템 내에서 발견되었다고 회답했다. 공화당 출신의 공청회의 위원장은 SCE에 의한 정보 공개가 늦어진 점을 강하게 비판했다는 후문이다. 또한 상원 사법위원회의 공청회에서는 미국의 FBI가 이번 사건을 조사 중이라고 밝혔다. 한국에서는 날씨도 화창한 5월 5일 어린이날(일본 역시 어린이날 ; 코도모노 히)에 소니의 최고 경영자 하워드 스트링어(Howard Stringer)이 깜짝 어린이날 선물을 전해주었다. 그 선물은 사건 후 처음으로 영문으로 논평을 작성하여 사죄한 것이다. 영어권 국가의 아이들에겐 슬픈 선물이 아닐 수 없다. 한편 Anonymous는 개인정보 유출사건에 대해서 관여한 바가 없다고 강력히 부정하고 있는 상황이다.

▲ 사진은 소니의 부사장인 히라이.

지금까지 소니와 ‘지오핫’의 1차 사이버 전쟁과 소니와 Anonymous의 2차 전쟁의 사건일지를 함께 살펴보았다. (물론 Anonymous가 협의를 부정하고는 있지만 공개 선전포고문과 정황으로 미루어볼 때 유력한 용의자임엔 틀림이 없다.)

현재는 소니는 사건해결에 만전을 기하는 모습을 보이고 있다. 만일 이번 사건이 잘못 번진다면 제2의 토요타 사건으로 불거질 여파가 크기 때문이다. 그러나 소니가 이번 사건의 해결을 잘 마무리 한다 손 치더라고, 범인을 색출하고 보안을 강화한다 하더라도, 회사의 이익을 위해 고객들의 재산을 위협한 것은 어쩌면 영원히 복구가 불가능한 신뢰성 상실로 이어질 것으로 생각한다.

 한국의 농협전산망 장애, 부산저축은행 사건, 현대캐피탈 고객 정보 유출 등의 사건에서 한국의 기업과 정부의 대응이 일본과 크게 다르지 않다는 것이다.

결국 머리카락 한 올 처럼 그나마 남아있던 신뢰가 이제는 땅에 떨어지다 못해 지하 암반수에 이르고 있다. 신뢰라는 것이 떨어지기는 쉽지만 쌓기는 어려운 것이기 마련인데 왜 그걸 모르는지 한심하기 짝이 없다.

사태 해결에 총력을 기울이는 한편 신뢰 회복을 위해 어떠한 일이든 백의 종군하는 마음으로 감당해야 한다. 기업이든 정부든 개인이든 사람을 무시하는 것은 곧 파멸로 귀결되기 때문이다.