[아이티투데이 성상훈 기자] 이메일을 사용할 수 없어 전화 연락망을 통해 업무에 필요한 최신 정보를 업데이트 한다. PC는 사용하지 못한다. 사내 필요한 서류는 종이와 연필로 대신 작성한다. 급여를 처리하는 재무 부서에서는 오래된 낡은 기계를 꺼내어 손으로 수표를 끊어준다.

수십년전 이야기가 아니다. 2014년 말 소니 픽처스 엔터테인먼트(SPE) 사무실 풍경이다. 7,000명이 넘는 SPE 직원들은 일대 혼란속에서 한해를 마감해야 했다.

■전대 미문의 해킹 사건

마이클 린튼 SPE 최고경영자(CEO)는 최근 미국 월스트리트저널과의 인터뷰에서 "이번 해킹 사건은 단순히 데이터를 훔친 수준의 것이 아니다"라며 "이번 사태가 1~2주일 만에 복수 할 수 있는 정도의 사건이 아니라는 것을 이해하는데 하루 반나절이 걸렸다"고 토로했다.

SPE를 해킹한 해커는 데이터 삭제를 넘어 이미 사내 컴퓨터 시스템 전체를 사용할 수 없도록 만들었다. 사상 초유의 보기 드문 사이버 해킹 공격의 희생자가 된 것이다.

미 연방수사국(FBI)과 함께 SPE 해킹 사태를 분석하고 있는 보안 기업 파이어아이는 이정도 수준의 피해가 발생한 것은 전례가 없는 일이라고 전하고 있다.

SPE는 이번 해킹공격을 받고 소니의 미공개 영화 5개, 대량의 내부 문서, 전현직 직원 및 프리랜서 직원 4만7,000명의 개인정보가 외부로 유출됐다.

데이터 유출만으로 이미 1억7,000만달러가 넘는 금전적 피해를 입었다. 유출된 개인정보나 내부 문서로 인해 야기될 잠재적 피해는 현재 추산조차 불가능하다.

케빈 만디아 파이어이 최고운영책임자(COO)는 "SPE는 너무나 많은 데이터가 파괴되어 있었기 때문에 공격경로와 방법을 찾는 것은 어려웠다"며 "이정도의 유출 사고는 전대 미문의 사건"이라고 전했다.

누가 어떻게 공격을 했는지는 현재까지 확실한 단서는 없다. 북한과 관련있는 IP주소와 악성코드로부터 핀 명령이 실행된 흔적을 토대로 북한이 공격 배후에 있을 것으로 추정될 뿐이다.

하지만 이미 FBI는 북한의 소행으로 결론을 지었고, 오바마 대통령까지 나서서 북한을 대테러 지원국으로 지정하는 것을 재검토 중이며 이미 제재조치에 들어간 상황이다.

소니 픽처스 해킹 공격자로부터 게재된 파일 내용들. 중요한 로그인 정보와 패스워드를 단순하게 문서화 해놓고 있었다는 사실만으로 보안의 허술함을 지적받고 있다.

■소니, 보안 수준은 어땠나

사실 소니 픽처스 이전에는 소니컴퓨터엔터테인먼트(SCE)가 사이버 공격의 단골 희생자였다.

SCE는 지난 2011년에도 플레이스테이션 네트워크(PSN)사용자 1억명의 계정 정보가 유출당했고 대규모 분산서비스거부(디도스) 공격을 받고 네트워크가 다운됐다. 이 당시 북미지역에서는 소비자들에게 1,500만달러(165억원)를 보상금으로 지급해야 했다.

이후에는 데이터센터 이동은 물론 소니 아메리카 전역을 커버하는 위싱턴 근교의 보안운영센터를 대대적으로 보강했다.

SPE 역시 보안 관련 직원을 늘리고 해킹 공격 방지를 위해 방화벽도 보강했고 특별한 시스템을 탑재해 사내 보안을 강화했다. 어떤 보안 제품인지는 알려져 있지 않다.

그러나 지난 9월 SPE 감사보고서에 따르면 소니는 지난 2013년 가을 사이버 보안 장비 모니터링 부문을 외부 기업에서 사내 팀으로 전환했다.

이 과정에서 네트워크 및 시스템 감시 인프라가 일부 없어졌다고 한다. 이같은 실수가 이번 해킹 공격의 뿌리가 되었는지는 알수 없지만 감사 보고서는 "이 네트워크가 인프라 장비가 없다면 보안 사고를 적절한 시기에 발견할수 없을 수도 있다"고 설명되어 있다. 참고로 이 보고서 역시 해킹 공격에 의해 유출됐다.

개인정보 유출로 인해 소니 픽처스를 제소한 전 직원인 크리스티나 매티스, 마이클 코로나는 SPE 사내 보안 의식 수준은 평균 이하였다고 전했다.

소니 픽처스 정보보안 책임자인 제이슨 스펠트로는 "100만달러의 손해를 막기 위해 1,000만달러를 투자할 생각은 없다"고 공공연하게 언급했던 것이 이를 증명하고 있다.

■남은 의문점

이번에 SPE를 해킹한 공격자는 자기들에게 순종할 것을 명령했지만 자신들의 정체성과 요구는 분명히 하지 않았다. 대신 최대한의 혼란을 야기시켰다.

그리고 누가 왜 무슨 목적으로 해킹을 했는지는 여전히 의문점으로 남는다. 하지만 많은 보안 기업들은 역시 북한이 배후에 있음에 무게를 두고 있다.

미국 보안기업 시만텍과 러시아 보안기업 카스퍼스키는 이번 소니 공격에 사용된 악성코드가 '데스토버 와이퍼'라 불리는 강력한 악성코드라고 분석했다.

커트 바움가트너(Kurt Baumgartner) 카스퍼스키랩 수석 보안 연구원은 "이번 소니 공격과 지난 2012년 사우디아라비아 사우디 아람코 공격, 카타르 라스가스 공격, 2013년 한국의 320 사이버 테러(다크서울) 공격간의 유사성을 발견했다"며 "하지만 공통점들이 있다해도 이들 공격 배후가 동일하다는 것을 의미하지는 않는다"고 설명했다. 그러나 운영 및 툴셋 등과 관련해 두드러지는 유사성이 있음은 분명히 있다고 덧붙였다.

시만텍 역시 320 사이버테러를 위해 설계된 트로이목마 볼그머가 사용한 C&C 서버가 이번 소니 공격에서도 동일한 것이 사용된 것을 발견했다.

시만텍에 따르면 데스토버와 C&C 서버를 공유하는 볼그머 버전은 한국 내 특정 대상을 표적 공격하도록 설정되어 있고 한국어를 지원하는 컴퓨터에서만 공격이 진행되는 특성을 갖고 있다.즉, 기술적인 정황 증거도 소니 공격의 배후를 북한으로 지목하고 있음을 알려주고 있다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사