최근 국내 금융기관 전산망에 대한 해킹 등이 사회적 문제로 대두되고 있는 가운데, 일본 소니사가 해커의 공격으로 1억 명이 넘는 고객정보의 대량 유출 우려와 지각 대응, 허술한 보안관리 등으로 온라인 서비스를 중단하는 등 사면초가에 처했다. 아사히신문, 요미우리신문, 니혼게이자이신문, 블룸버그 통신 등 외신이 전한 내용을 종합해 소니의 고객정보 대량유출 사고의 현황과 원인, 과제를 진단해 본다.

■ 사건의 발생…“해킹으로 7700만명 정보유출 우려”

소니는 4월 26일(현지시각) 회사 블로그에 “해커가 플레이스테이션 네트워크(PSN)와 큐리오시티(Qrioscity) 온라인 서비스에서 약 7700만명의 고객 정보를 빼갔을 가능성이 있다”고 밝혔다.

소니는 이날 “외부 침입자가 고객명과 이메일, 생일, 접속정보 등을 획득했고 콘텐츠 구매내역도 확보했을 수 있다”며 “현재까지 명확한 증거는 없지만 신용카드 정보가 유출됐을 가능성도 배제할 수 없다”고 말했다.

소니는 구매기록과 신용카드 청구 주소 등은 유출된 것으로 보이지만 뒷면의 3자리 보안코드는 유출되지 않았다며 아직 이번 해킹사건으로 인한 신용카드 사기 등은 보고되지 않았다고 밝혔다.

PSN은 플레이스테이션3 고객이 게임·영화·음악 등을 내려받거나 운영체제를 업데이트할 수 있는 서비스이고, 큐리오시티는 주문형비디오서비스(VOD)이다. PSN과 큐리오시티는 소니의 미국내 자회사인 소니컴퓨터엔터테인먼트(SCE)가 제공하는 서비스다.

해킹당한 PSN 서비스 사용자는 세계 59개국에 분포해 있으며 7700만명 중 3600만명은 미국 등 미주 지역에, 3200만명은 유럽, 나머지 900만명은 아시아, 주로 일본에 있는 것으로 알려졌다.

해커의 공격시점은 4월 17~19일이다. 당시 미국내에서 관리하고 있는 시스템에 해커의 침입 흔적을 발견했다. 회원정보가 일부 수정돼 있었다. 이에 따라 소니는 20일 서비스를 중단하고 자체 조사에 들어갔으며 고객명, 주소, 이메일주소, 생년월일, 패스워드 등이 유출됐을 가능성이 확인됐다.

■ 또다른 2460만명 유출 우려…암호화 안된 카드정보도 포함

7700만명의 고객정보 유출 가능성이 발표된지 엿새 후인 5월 2일, 소니는 또 다른 자회사도 해커의 공격을 받아 고객 정보 2460만명분이 유출됐을 가능성이 있다고 발표했다.

공격을 받은 곳은 미국 캘리포니아주에 있는 소니의 게임 자회사인 소니 온라인 엔터테인먼트(SOE)다. 컴퓨터용 온라인 게임을 제공하는 이 회사는 PSN을 운영하는 SCE와는 별개 회사다.

이 회사는 5월 1일 오후 시스템 이상을 발견했고, 이후 고객 정보 2460만건이 유출됐을 우려가 있다는 사실을 파악했다. 이 중에는 신용카드와 직불카드 정보가 일본내 4300건을 포함해 세계적으로 1만2700건 포함됐다. 아사히신문에 따르면 신용카드 정보는 암호화되어있지 않아 번호 등의 식별이 가능할 수 있다. 대부분 유효기간이 지났지만 유효기간 이내의 신용카드도 약 900건에 이른다는 것이다.

소니는 4월 10일쯤부터 SOE의 시스템에 해커가 침입한 흔적이 발견돼 4월20일 서비스를 정지했지만 개인정보 유출의 우려가 없다고 판단, 다음날인 4월 21일 서비스를 재개했다. 그러나 해커 침입 당시 개인정보가 유출됐을 가능성이 있다는 사실이 5월 1일 시점이 되어서야 확인됐다. 2일부터 서비스를 중단했다. SCE와 SOE, 두 자회사가 해커 공격을 받아 1억명 이상의 개인 정보가 유출됐을 우려가 제기되고 있는 가운데, 이번에는 실수에 의한 정보유출 사고가 추가됐다.

소니의 또다른 미국 자회사인 소니 일렉트로닉스가 10여년 전 고객 약 2500명의 개인정보를 웹사이트에 노출한 것으로 밝혀진 것. 2001년 상품 현상공모에 응모한 고객 약 2500명의 이름과 주소 등이 인터넷에 노출됐고, 3명은 이메일 주소도 포함돼 있었다는 것이다.

소니측은 “웹사이트를 옮기는 과정에서 이전 사이트에 실려 있던 개인정보를 삭제하지 않은 것 같다”고 설명했지만, 일본 언론은 “그동안 얼마나 허술하게 정보를 관리했는지 보여주는 또다른 증거”라고 지적했다.

■ “유출 100% 단정할 수 있는 상황은 아니다”?

소니는 대규모 개인정보 유출 사태를 빚은 허술한 보안관리이외에도, 사건발생 후 뒤늦게 유출 가능성을 밝힌데 대해 미국을 비롯한 각국의 비판에 직면했다. 해킹이 발생하고 조사를 시작한지 엿새후인 26일에야 유출가능성을 발표한 데 따른 것이다.

소니는 자사의 대표적 온라인 게임인 플레이스테이션 네트워크(PSN) 해킹 사태로 대규모 개인정보 유출 가능성이 제기된데 대해 5월 1일 공식 사과했다.

소니 게임사업부문의 히라이 가쓰오 부사장은 이날 도쿄 본사에서 연 기자회견에서 고객들에게 “초래한 불편에 대해 깊이 사과한다”면서 머리를 숙였다. 히라이 부사장은 “정보 유출을 100% 단정할 수 있는 상황은 아니다. 다만 가능성이 있다”고 말했다.

서비스 중단 시점에 정보유출 사실을 밝히지 않은 이유와 관련해서는 “부정침입이 있었던 시점에서 피해가 확산하지 않도록 서비스를 중단했다. 정보유출 가능성과 관련해 방대한 양의 정보를 해석했다. 시간이 걸린 것은 사실이지만 확실도가 높은 정보를 전달하고자 하는 과정에서의 판단이었다”고 이해를 구했다. 이번 공격이 ‘극히 교묘하게’ 이뤄져 분석하는데 시간이 걸렸다는 얘기다.

하워드 스트링어 소니 회장 겸 최고경영자(CEO)도 5월 5일 플레이스테이션 미국판 블로그를 통해 “해킹 공격에 의해 초래된 불편과 우려에 대해 사죄한다”고 공식 사과했다.

소니는 이번 사건 후 전 세계 고객들에게 “PSN의 정보는 물론 같은 아이디나 비밀번호를 사용하는 서비스의 계정 정보도 변경할 것”을 요청하는 한편, 피싱 사기, 명의 도용 등 2차 피해를 막기 위해 사용자들에게 각별한 주의를 당부했다. 이와 함께 미국 연방수사국(FBI)에 이번 사건의 조사를 요청했다.

■ 소니, PSN 해킹사태 피소…각국 조사 착수

소니의 해명과 진화 노력에도 불구하고 미국의 한 고객이 소송을 제기하고 독일 등 각국 정부도 조사에 착수하는 등 후유증에 시달리고 있다.

앨라배마주에 거주하는 크리스토퍼 존스 씨는 기본적 보안 절차를 무시한 채 이번 해킹으로 개인 계정정보가 유출될 수 있다는 점을 7700만 고객들에게 제때 알려주지 않았다면서 4월 27일 소니사를 상대로 샌프란시스코 연방 지법에 소송을 제기했다.

존스 씨는 또 PSN 보안 문제에 관한 이번 소송이 모든 피해자들을 대신한 집단소송의 지위를 확보토록 해야할 것이라고 주장했다.

소니 온라인망의 해킹사태와 관련해 독일 등 각국 정부도 조사와 비난의 목소리를 높이고 있다.

PSN 가입자가 가장 많은 미국의 하원 에너지·상업위원회는 4월 29일 “외부침입 사실이 고객에 전달되기까지 시간이 걸린 이유는 무엇인가” 등 13항목에 달하는 질의서를 SCE 아메리카에 보냈다. 리콜문제로 도요타를 강하게 비판했던 위원회다. 미국의 각 주정부 사법담당장관들도 서면 등으로 적절한 정보공개를 요구했다.

독일정부의 피터 샤르 개인정보보호 관리관은 소니사가 정보 손실 등 문제를 신속히 공개해야 한다는 법적 의무를 위반했다면서 피해 주장자들의 경우 소니의 발표가 너무 늦은 것이란 점을 입증해 나가야 할 것이라고 말했다.

일본의 경제산업성도 5월1일 SCE에 대해 개인정보보호법에 근거해, 소니에 개인정보 유출의 사실관계와 향후 재발 방지책을 요구하는 등 조사에 착수했다. 경제산업성은 PSN의 위탁처 정보관리를 어떻게 감독했는지, 유출사건 발생 단계별 대응기준과 책임자의 적절한 판단여부 등이 제대로 작동했는지 등을 파악하고 있다. 보고 및 안전관리 태세가 불충분했다고 판단되면 철저한 대책을 요구하는 권고나 명령을 내릴 방침이다.

소니는 하원 에너지·상업위원회의 질의에 대한 3일자 회신에서 SCE의 7700만명 개인정보가 절취당했다고 설명했다. 고객명, 주소, 국가명, 전자메일주소, 생년월일 등이 절취당했거나 적어도 정보의 일부가 유출됐다는 것이다. 또 7700만 중에는 전세계 1230만건(미국내 560만건)의 신용카드 정보가 포함되어 있지만 “유출은 아직 확인되지 않고 있다”고 답했다.

■ 소송 불만에 대한 ‘어나니머스’의 동조 해킹?

누가 어떤 목적으로 소니의 온라인망에 불법으로 침입했을까?

소니는 미국 의회에 제출한 회신에서 ‘어나니머스(anonymous)’로 불리는 국제 해커 집단이 이번 정보대량유출 사건에 관여돼 있을 가능성을 강하게 내비쳤다. SOE의 데이터가 유출된 서버에 ‘어나니머스’‘우리는 군단이다’라는 파일이 심어져 있었다는 것이다. 그러나 소니는 어나니머스를 공격의 주범이라고 명시하지는 않았다. 그들이 단순히 이용된 것인지 알 수 없기 때문이다.

이와 관련 어나니머스는 곧바로 "어나니머스가 연루됐다는 어떤 증거도 적들이 우리를 악명 높은 집단으로 몰기 위해 만든 것"이라고 강하게 부인했다.

소니가 어나니머스를 유력한 용의자로 지목한 데는 나름대로 이유가 있다. 아사히신문은 “이번 해킹 사건은 플레이스테이션3(PS3)의 결함을 간파한 해커를 대상으로 소니 측이 소송을 제기했던 사건이 배경이 됐을지 모른다”는 일본 정보보안전문가의 추측을 전했다.

한 젊은 해커가 PS3의 보안 장치를 해제하는 정보를 인터넷 사이트에 공개하자, SCE 아메리카는 지난 1월 이 사이트의 공개금지를 요청하는 소송을 제기했고, 양자 사이에 3월말 합의가 성립했다.

어나니머스는 지난 1월 이 소송에 대해 “인터넷 자유에 용서할 수 없는 공격”이라고 반발하며 동조하기 시작했다. 4월 초순에는 유튜브에 “어나니머스의 분노를 느끼게 될 것”이라는 내용의 동영상을 올렸으며, 이번 사건 발생 직전 PSN에 디도스 공격을 가하기도 한 것으로 알려졌다. 일본의 정보보안전문가는 “이 소송을 기억한 해커들이 동조해 소니의 시스템을 공격했을 가능성이 있다”고 말했다.

■ 속속 드러나는 소니의 보안관리 허점

일련의 정보유출 사건은 소니의 보안관리 허점을 속속 드러내고 있다.

소니는 약 7700만 명분의 개인정보를 미국 샌디에이고의 데이터센터에 두었다. 부정한 침입이 있으면 탐지하는 시스템을 갖추고 있었지만 관리소프트의 ‘취약성’이 허를 찔렸다. 그러나 이미 세상에 알려진 약점이었다. 침입자는 ‘정상적인 유저’를 가장해 외부에서 원격 조작할 수 있는 시스템을 소니의 네트워크 내에 심고, 알아채지 못하게 빠져 나갔다.

정보의 보관방법에도 취약점이 있었다. 서버 내 신용카드 번호를 보관하는 공간에서는 정보를 암호화했지만 고객명, 주소, 이메일주소 등은 암호화되어 있지 않았다.

5월2일 SOE 해킹건 발표에는 암호화되지 않은 신용카드 정보가 포함되어 있어 심각성을 더했다. SOE는 2007년 고객정보를 보다 안전성 높은 서버로 이전했다. 그러나 옛 서버에는 약 1만2700건의 신용정보와 현금카드의 번호정보가 암호화되지 않은 채 남아 있었다. 업계에서는 데이터를 이전할 때, 지난 데이터는 일정 시간이 지나면 삭제되도록 설정해 두는 것이 상식이라고 한다.

인터넷사업자에 불가결한 안전대책을 철저하게 감독할 ‘사령탑’의 부재도 지적받고 있다.

이번 사건 후 소니는 보다 안정성 높은 데이터센터로 고객정보를 이전하고 보안시스템을 강화하고, 그룹 전체를 총괄하는 정보관리책임자에게 자회사 담당자들이 세밀하게 보고하도록 하는 체계를 구축할 작정이다.

그렇지만 수개월전부터 해커의 공격을 받았다는 점에서 이번의 대규모 정보유출 사태는 소니가 보안관리에 지나치게 소홀했다는 비판을 면하기 어려울 것으로 보인다.

미국 최대 데이터베이스 보안소프트웨어업체 애플리케이션 시큐리티의 조시 숄 최고기술책임자(CTO)는 “간단히 말해 이번 해킹은 지난 수년간 발생한 것 중에서 최악의 사건 중 하나”라고 말하고 있다.

■ ‘신뢰위기’ …소니의 네트워크 전략 수정 불가피

이번 대규모 정보유출 사건은 소니의 새로운 성장동력의 중심축인 네트워크 사업에 막대한 타격이 불가피할 전망이다.

소니는 본래 전자기기의 벤처기업에서 출발해 음악과 영화, 게임 분야로 진출했다.

소니의 ‘큰집’격인 TV사업에서는 2010년도까지 7분기 연속 적자가 확실시되고 있다. 단순히 오디오비주얼(AV) 기기를 통째로 팔아 이익을 남기는 사업형태는 한국라이벌 기업 등과의 가격경쟁에서 더 이상 통용되기 어려워졌다.

이 때문에 인터넷을 통해 게임 등 자사의 풍부한 소프트웨어와 하드웨어를 연결해 상승효과로 이익을 창출하는 전략을 강화해 왔다. 최근 10여년은 네트워크 사업 전개에 진력했다. ‘하드웨어와 소프트웨어의 융합’. 이를 위해 소니는 네트워크서비스에 접속기능을 높인 TV와 차세대 휴대용 게임기, 아이패드에 대항할 대블릿PC를 잇따라 발표했다. 게임사업부문에 정통하고, 인터넷에도 강한 히라이 씨가 차기 사장후보로서, 4월 부사장으로 승격된 것도 네트워크 전략을 가속시킬 요량이었다.

히라이 부사장은 1일 기자회견에서 향후 경영전략에 대해 “네트워크 전략은 소니 그룹의 가장 중요한 전략의 하나다. 우선 한번 더 신뢰받을 수 있는 소니를 만들고 싶다”고 강한 의지를 보인 것도 그 때문이다.

그러나 이번 해킹 사건으로 네트워크 전략의 대전제조건인 시스템의 안전성이 심하게 흔들렸다.

해킹방지 대책으로 시스템을 강화하기 위한 비용부담도 만만치 않을 전망이다. 올해 3월기 연결결산에서 700억엔의 최종 흑자 전환이 전망됐던 영업실적에도 부정적인 영향을 미칠 가능성이 있다.

소니는 실추된 신뢰의 만회를 위해 보상프로그램을 마련하는 등 종합적인 대책을 서두르고 있다. 아직은 이용자들의 피해상황이 확인되지 않고 있어 예상하기 어렵지만 신용정보 유출 등의 피해상황이 구체적으로 확인되면 보상비용은 눈덩이처럼 불어날 가능성이 크다.

요미우리신문에 따르면 소니는 일단 미국 이용자들에 한해 구체적인 피해가 입증되는 경우 1인당 최대 100만달러(약 11억원)의 보험금을 지급하는 보상프로그램을 준비하고 있는 것으로 알려지고 있다.

여하튼 해킹으로 유출된 데이터에는 신용카드와 직불카드 번호 등 고객들의 금융정보까지 일부 포함된 것으로 알려져 파문이 쉽게 가라앉지 않을 전망이다.

사이버범죄에 정통한 일본의 한 변호사는 “설명은 신속하고 정확하고 알기 쉬워야 한다. 지금 상태대로 안심해도 좋은지 이용자가 전혀 판단할 수 없다”고 소니의 대응문제를 압축해 지적했다. 소니가 이번 ‘신뢰위기’를 어떻게 극복해야할지 그 ‘해답’이 될 것 같다.

/류수근 논설위원 ryusk@metroseoul.co.kr