먼저, PSN 해킹사태에 대해 자세히 정리한 글이 있으니 이를 먼저 읽으시는 것이 도움이 될 것 같습니다.
* 주의 : 중간에 BGM이 있는 게시물이 있습니다. 주의 바랍니다.
1. http://goo.gl/8T9Gl
2. http://goo.gl/hW9v8
3. http://goo.gl/BvBsD
4. http://goo.gl/U1PBy
5. http://goo.gl/0sv30
6. http://goo.gl/1EjJj
7. http://goo.gl/fvhVt
8. http://goo.gl/0wc6Y
9. http://goo.gl/WhJUZ
10. http://goo.gl/KAi4J
11. http://goo.gl/zcKuD
12. http://goo.gl/p434b
13. http://goo.gl/MGQnT
번외. http://goo.gl/nQuxD
출처 : 루리웹 '일단은사람'님
2009년 지오핫이라는 미국의 유명 해커가 2010년 해킹 목표로 플레이스테이션 3을 지목을 했습니다.
이후 지오핫은 빠른속도로 PS3을 해킹하며 근황을 블로그에 공개를 했습니다. 하지만, 소니에서 과잉대응을 하자, 화가난 지오핫은 PS3을 지속적으로 해킹하며 소니를 조롱하는듯 싶더니 PS3의 메인 칩셋인 셀 프로세서의 장벽에 막혀 7월에 해킹을 중단하게됩니다.
하지만 얼마 못가 소니 내부에서 PS3 펌웨어 접근키가 유출되는 어처구니 없는 사고가 일어납니다. 8월에 개발용 펌웨어 3.41을 이용한 모드칩이 등장하게 되고 이는 판매되는가 싶더니 사법당국의 빠른 대처로 순식간에 판매가 중지되기에 이릅니다.
하지만, 지오핫은 이것을 놓치지 않고 재빨리 모드칩을 입수하여 모드칩 내의 펌웨어를 기반으로 셀 프로세서의 중추를 담당하는 SPU를 분석하기에 이릅니다.
그리고 올해 1월 2일 분석 결과를 바탕으로 루트키를 공개하기에 이르죠.
소니는 1월 11일 미 연방법원에 지오핫을 제소하였으나, 지오핫의 손을 들어준 법원의 판결에 못마땅한 나머지 2월 9일 해킹유저들을 대상으로 PSN 접속을 차단하기 시작하였습니다. 뒤이어, 각국 경찰력을 동원하여 PS3을 해킹 했거나 관련 자료를 유포한 사람들을 무차별적으로 사냥하기 시작합니다.
비슷한 시기 익명의 해커그룹이 소니에게 PSN의 보안수준에 문제가 있으며 이를 이용해 개인정보를 빼낼 수 있다고 경고하지만, 소니는 지오핫에게 정신이 팔린 나머지 그 말을 무시합니다.
미 연방법원의 결정과 소니의 압박에 상황이 불리해진 지오핫은 3월 27일 남미로 피신하기에 이르고, 뒤이어 PS3 해킹 관련 사이트들과 그룹이 문을 닫으며 소니가 승산을 보이는듯 보였습니다.
하지만, Paypal, VISA등 거대기업을 해킹한 전력이 있는 Anonymous라는 그룹이 등장하게 되고, 이 그룹은 4월 3일 23시에 소니에게 선전포고문을 발표하고 그 후 2시간 뒤인 4월 4일 1시, PSN 서버는 다운되기에 이르릅니다.
4월 6일 Anonymous의 PSN 서버 공격이 중지된 이후, FBI가 나서게 됩니다. 이번 소니 사건을 수사하기 위해서죠.
Anonymous는 FBI 수사에도 아랑곳하지 않고 소니에게 지오핫에 대한 소송을 모두 중단하라고 지속적으로 요구합니다. 3월에 있었던 일본 대지진과 각종 기업들과의 줄소송에 어려워하던 소니는 결국 4월 11일에 지오핫과의 합의를 통해 지오핫에 대한 공격을 중단하기에 이르릅니다.
하지만, Anonymous는 자신들의 목적이 달성되었음에도 불구하고 'Knowledge is Free'라는 자신들의 슬로건을 외치며 소니를 지속적으로 비난합니다. 전세계에서 소니를 부정적인 시각으로 보는 해커들이 이에 동참하기 시작했고 뒤이어 소니가 가지고 있는 전체 네트워크 망에 대한 공격이 개시됩니다.
결국 소니는 4월 21일, PSN을 닫고 기약없는 서버점검에 들어가게 됩니다.
닫힌 PSN은 다시 열릴 생각을 하지 않았고, 4월 24일에 소니에서 Anonymous의 2차공격으로 인한 피해가 발생했으며 이를 수습중이라고 발표합니다.
그리고, 4월 25일 영국의 Anonymous 회원 5명이 구속되고 미국에 있는 Anonymous 회원 40명에 대한 구속영장이 발부되기에 이릅니다. Anonymous에서는 자신들과 관계 없는 일이라고 주장하지만, 이를 믿는 사람들은 거의 없었습니다.
PSN 점검이 길어지면서 사람들 사이에서는 소니가 무엇을 감추고 있는것이 아닌가라는 의혹이 제기되었으나 4월 26일 소니에서 27일 서비스 재개를 목표로 복구작업에 전념하고 있다 라는 공지사항이 발표되었습니다만, 이를 믿는 사람들은 거의 없었습니다.
4월 27일, 혹시나 하는 마음에 관련 정보에 대해 공유하던 사이트에 접속한 사람들은 청천벽력같은 소식을 듣게 됩니다.
7700만명에 달하는 개인정보가 유출되었으니 다른 사이트의 계정관리에 주의하라는 이야기였습니다. 물론, 사람들은 패닉상태가 되어버렸습니다. 전세계의 언론사들이 이 사실을 대서특필 했고, 소니의 주가는 급격히 추락하기 시작했습니다.
소니측에서는 4월 17일부터 19일 사이에 계정정보가 해킹당했다고 발표했고, 뒤이어 애널리스트들과 미 상원의원의 질타가 이어졌습니다. 엎친데 덮친격으로 4월 27일에는 유출된 계정에 대한 보상을 요구하는 소송이 줄이었고, 소니는 그야말로 낭떠러지에 매달린격이 되었습니다.
심지어 일부의 사람들 사이에서 4월 26일 소니 태블릿 발표는 4월 27일 발표를 묻히게 하기 위하여 발표한 것이라고 음모론이 나돌 정도로 소니의 위상은 급격히 추락하게 됩니다.
4월 28일, 전날에 개인소송이 줄이은것을 시작으로 미국과 영국등지에서 집단소송이 이어지게 됩니다.
소니의 서버에는 단순 개인정보 뿐만 아니라 신용카드 정보까지 저장되어 있을 가능성이 제기되고, 이를 증명하듯 신용카드 부정 사용 사례가 속출하며 신용카드 회사들까지 곤경에 처하게 만듭니다. (물론, 이후 이것은 사실이 아님이 밝혀졌습니다. 하지만, 현대 금융보안의 문제까지 제기하게 만들었기에 큰 문제를 낳았다고 보는 것입니다.)
5월 1일 소니는 기자회견을 통해 이름, 성별, 주소, 국명, 메일주소, 생년월일, PSN 및 Qriocity 패스워드, PSN 계정명이 유출되었음을 확인하였으며, 구입 이력이나 청구서 주소를 포함한 프로필데이터, PSN 및 Qriocity 패스워드 조합시 지정한 질문과 답, 신용카드 정보가 유출되었을 가능성이 있다고 발표하였습니다.
기자회견 당시, 개인정보가 유출되었음을 공개하는데 왜 이렇게 많은 시간이 걸렸나 라는 질문에 소니는 PSN의 규모가 너무 커서 해킹당한 사실을 확인하는 정보분석에 시간이 너무 걸렸다는 답변을 내놓았습니다. 하지만 싸늘한 여론의 반응은 그대로였죠.
저는 PSN을 이용하지 않고 소니 기기도 없기 때문에 이번 사건과 관련이 없지만, 저도 싸늘한 시선을 보냅니다. 개인정보를 그런식으로 유출당해 놓고 변명만 하다 이 꼴이나다니..
5월 2일 SOE에서 2460만건의 개인정보가 유출이 되었다는 사실이 밝혀집니다. 이전에 4월 16일과 17일 사이에 2460만명 가량의 개인정보가 유출되었을 가능성이 있다고 제기가 되었습니다만, 이를 부인한 소니였었습니다. 하지만, 한순간에 이 사실이 밝혀지면서 소니는 더욱더 나락으로 떨어지게 됩니다.
이로써 소니에서 유출된 개인정보는 1억건에 달하게 됩니다.
5월 4일 미 하원에서 소니에게 개인정보 유출과 관련된 참고자료 제출을 요청했고, 소니는 Anonymous가 남겨둔것으로 보이는 파일을 제출하게 됩니다.
Anonymous는 끝까지 자신들은 잘못을 저지르지 않았다 라고 주장합니다만, 소니는 그것에 개의치 않고 5월 5일 해커 집단을 사냥할 팀을 꾸리기에 이릅니다. 이러한 행동은 해커 집단에게 상당한 자극제가 되었습니다.
FBI의 수사망이 좁혀져 가는 가운데에서도 Anonymous는 끝까지 자신들의 결백을 주장하고 있었지만, 소니는 개의치 않고 해커 사냥을 시작합니다.
하지만, 제 3의 해커그룹이 주말을 기대하고 있으라며 공개적인 해킹을 예고하기에 이릅니다. 하지만, 소니는 한곳에만 집중하는듯 이에 개의치 않고 해커 사냥을 계속합니다.
5월 7일 해커들의 공격이 시작되지만, 이미 여러번의 공격을 받으면서 대비책을 세워두고 있던 소니의 방어에 해커들이 패배하게 되고, 그들은 이를 인정하게 됩니다.
그 와중에 FBI의 수사망이 점점 좁혀져가면서 Anonymous는 내부에서부터 무너지는 듯한 모습을 보여주기에 이르죠.
5월 7일을 기점으로 소니가 승리한것처럼 보였지만,
5월 8일. FBI는 수사 결과를 발표합니다. 'Anonymous는 소니 개인정보 유출의 범인이 아니다.' 라고 말이죠.
이를 지켜보던 모든사람들이 충격에 휩싸였고, 소니와 소니의 해커팀은 목표를 잃은채 크게 당황한 모습을 보여주게 됩니다.
일단 이쯤에서 잠시 소니의 개인정보 유출이 어떻게 이루어 졌는지 정리하면 다음과 같습니다.
소니 서버에 저장되어 있던 개인정보 유출은 APT 수법을 이용해 이루어졌습니다.
APT 수법이란 무엇이냐, 서버내에 저장된 바이러스를 이용하여 개인정보를 빼내는 수법으로, 보통의 경우에는 소니의 서버에서는 성공하기 힘듭니다.
하지만, 4월 3일 Anonymous의 공격에 의해 서버의 보안에 허점이 생긴 틈을 이용하여 제 3의 해커팀이 침투하여 해당 바이러스를 심는데 성공하게 됩니다. 이 바이러스 파일은 잠복기간에는 정상적인 파일인것처럼 동작하기 때문에, 서버를 관리하는 관리인력이라도 이를 정확하게 파악하기 어렵습니다.
4월 16일에 해당 바이러스는 활동을 시작하게 되고, SOE에서 2460만건, 4월 17일에 PSN에서 7700만건의 개인정보가 제 3의 해커팀의 손에 들어가게 됩니다. 소니는 이 사실을 알고 서버의 전원을 내리고 조사에 착수하지만, 이미 해당파일과 흔적들은 모조리 삭제된 이후였고, 이 때문에 소니는 이를 파악하기 어려워지게 됩니다.
APT 수법이라는 것을 소니도 알았고, 그래서 그 누군가를 Anonymous로 지목하고 지속적인 공격을 했지만, 5월 8일 FBI의 수사발표에 충격을 먹게 된 것이지요.
5월 13일. 해커들의 역습이 시작되면서 스퀘어 에닉스가 해킹당하여 개인정보가 유출되었습니다.
한편, 소니는 PSN을 계속 닫아둘 경우 천문학적인 액수의 피해가 발생할 것이기 때문에 5월 15일 펌웨어 업데이트와 동시에 PSN을 오픈했으나, 다음달 다시 닫히게 됩니다. 우스운 일이죠. 이번에 닫힌것은 해커들에 의한것이 아닙니다. 내부 요인에 의한 점검이죠.
따라서, 많은사람들의 비웃음을 살 수밖에 없게 되었습니다. 저 또한 이 당시에 비웃을수밖에 없었습니다. 그동안 여러번의 공격을 받으면서도 그렇게 될 수밖에 없는 소니의 모습이 정말 우스웠습니다.
5월 17일, 소니 CEO의 개드립을 시작으로 5월 19일에 펌웨어에 중대한 문제가 있다는 외부의 발표를 일축하는 발언에 성난 해커들중 일부의 해커들은 소니의 자회사인 So-net에 침투하여 이용자들의 사이버머니를 빼가는 사건을 터트립니다.
5월 21일, FBI의 수사결과와 그간 소니의 행적 및 20일에 이루어진 해킹사고로 Anonymous는 다시한변 결속을 다지며 소니와의 전쟁을 다시한번 선포합니다.
5월 23일 익명의 해커에 의한 Sony Music의 개인정보 유출을 시작으로, 5월 25일 Sony Ericsson의 개인정보 유출, 5월 26일 codemasters의 개인정보 유출이 잇따라 발생하며 소니는 꼬리를 내리게 됩니다.
하지만, 최근의 소니의 개드립과 Anonymous의 선동으로 인해 사태는 돌이킬수 없는 지경에 이르게 되었지요.
5월 27일, 소니는 2011년 3월기 연결 결산을 발표하면서 5월 28일 한국과 홍콩을 제외한 나머지 국가들의 PSN 서비스를 재개하고 보안을 점차 강화시켜 나가겠다고 발표합니다. 이에 한국유저들과 홍콩 유저들은 굉장히 성이 났지요. 하지만 소니에 대한 공격은 개시되지 않았습니다.
5월 28일, 홍콩과 한국을 제외한 PSN 서비스가 재개된 그날, PSN에 대한 정전사태는 사실상 막을 내리게 되었지만 PSN 개인정보 유출사태와 대 새커들의 시대는 막을 내리지 않았습니다.
이는 같은날 미국의 군수업체인 록히드 마틴사가 공격을 받은것으로 증명이 되는데요. 5월 30일에는 미국의 공영방송인 PBS가 공격을 받았습니다.
5월의 마지막날인 5월 31일, LulzSec이라 밝힌 해커들이 지난번 소니 뮤직 해킹과 PBS 해킹은 자신들의 소행이라고 주장하며 다시한번 소니에 대한 공격을 예고했습니다.
6월 1일, 마이크로소프트, 야후, 구글이 공격을 받아 개인정보가 유출되었음이 밝혀졌고, 6월 2일 LulzSec에 의해 소니 픽쳐스가 공격받아 100만건이 넘는 개인정보가 유출되기에 이르릅니다.
LulzSec은 이로도 부족했던것일까요?
6월 3일 FBI를 공격하여 수사관 180여명의 개인정보가 유출되게 됩니다.
비슷한 시기, Anonymous는 IMF를 공격하겠노라 예고했고, 각국 정부는 해킹에 대해 입장을 바꿔 강경한 태도를 취하게 됩니다.
각국 국가기관이 적극적으로 해커 사냥에 나서기 시작했고, NATO 내부에서도 해커들을 소탕해야 한다는 목소리가 높아지기 시작했습니다.
이에대해 LulzSec은 '너희들의 도전을 받아들이겠다. 게임은 시작되었다.' 라는 성명을 발표하며 각국을 조롱하기 시작합니다.
6월 4일 'idach'이라는 해커에 의해 소니 유럽이 해킹을 당하고, 6월 6일 LulzSec에 의해 SCE가 공격받아 내부 네트워크망이 노출되었으나, 6월 7일 LulzSec의 멤버 중 한 명이 체포되기에 이릅니다.
하지만 LulzSec은 트위터를 통해 자신들은 아직 건재하다고 밝혔고, 6월 9일 미국의 금융회사인 시티그룹이 공격을 받아 20만명의 개인정보가 유출되었다는 사실이 밝혀지게 됩니다.
다음날인 6월 10일 IMF가 공격을 받았고, 이에 상황의 심각성을 인지한 NATO는 Anonymous에 공식적인 경고를 발표하기에 이릅니다. 뒤이어 스페인에서 Anonymous 멤버 3명이 체포되었고, 곧이어 Anonymous의 공격에 의해 스페인 경찰 서버는 마비되기에 이릅니다.
6월 11일 스페인 경찰은 체포한 3명의 Anonymous 멤버를 석방하기에 이릅니다. 이는 혐의를 입증하지 못하였기 때문으로, 이에 의기양양해진 Anonymous는 NATO를 포함한 각국을 대상으로 경고문을 발표하기에 이릅니다.
6월 13일, LulzSec에 의해 미 상원 의회 네트워크가 공격을 받아 일부 파일이 공개되었고, 뒤이어 다음날인 6월 14일 베네스다 게임 스튜디오가 공격을 받았으며, 같은날 에픽게임즈가 해킹을 당했고 그 외에 이브 온라인 등, 여러 게임업체가 공격을 받게 됩니다.
LulzSec은 점점 더 대범해졌는데, 6월 15일 CIA를 공격하여 CIA의 홈페이지가 다운되는 사건이 터집니다.
상황은 더욱 더 급박하게 흘러 6월 16일, 바이오웨어 코퍼레이션이 공격받아 1만 8천여명의 개인정보가 유출되는 사고가 터지고, 6월 19일 세가에서 공격으로 인해 180만여명의 개인정보가 유출되었다고 발표합니다.
6월 20일, 미 백악관이 직접 움직여 해커들에 대한 수감기간을 더욱 늘리는 입법안을 의회에 제출합니다.
LulzSec은 자신들의 건재함을 과시하고 싶었는지 FBI를 또 해킹하여 1천여건의 기밀문서를 유출하는 범죄를 저지르게 됩니다.
6월 21일, LulzSec과 Anonymous가 손을 잡고 AntiSec 이라는 해커연합이 창설되고, AntiSec은 전세계를 상대로 선전포고를 하게 됩니다. 그 직후 SOCA(영국 중대조직범죄청)공격 및 GEMA(독일 음악공연 및 복제권협회)의 서버가 다운되게 되지요.
6월 22일, 미 국방부에서 해킹에 대한 공격에 대해 미사일 공격등의 군사력을 동원할 수 있다라는 내용에 오바마 대통령이 서명했음을 발표합니다.
6월 25일, 외부 압력에 의하여 LulzSec이 해체되고, Anonymous의 멤버 일부가 체포되면서 아직도 사이버 전쟁은 계속되고 있습니다.
온라인상에서의 익명성은 좋습니다.
온라인상에서의 익명성은 언론의 자유를 위해 반드시 존재해야 합니다.
하지만, 그 익명성이 무조건적인 자유를 보장한다는 것은 아닙니다.
자유에는 반드시 책임이 따르기 마련이고, 그 책임을 질 수 있는 사람들에 한해, 익명성은 보장되어야 한다고 봅니다.
국가는 익명성의 문제를 방관했고, 기업은 이를 막기에만 급급했습니다.
이것이 PSN 해킹사태로 드러났고, 이는 대 해커시대의 막이 오르게 되는 결과를 가져왔습니다.
해킹이 울바른것은 아닙니다.
저도 해킹을 혐오하는 사람중 한명입니다.
일단, 제목에 맞추어 본격적으로 본론에 들어가보죠.
우리나라에서는 심심하면 보안관련 사고가 터집니다. 우리가 알고 있는 수준보다 훨씬 많은 수준인것으로 알고 있습니다.
개중에 그 수준이 강한것들에 한해 언론에 유출되는것이 현실이지요.
얼마전에 있었던 농협 해킹사태와 그 전에 있었던 현대캐피탈 해킹사태, 그 전에 있던 옥션 개인정보 유출 사고까지 포함해보면 우리나라는 절대 네트워크 보안에 안전한 국가가 아닙니다.
하지만, 우리나라 기업들은 어떨까요?
그저 사건이 터지면 그 뒷수습을 하기에 바쁜것이 우리나라 기업입니다.
우리나라 정부는 그저 이런 사고에 대해 별다른 대책과 예방책을 제시하지 못하는 방관자라는 생각이 듭니다. 그로 인해 국민들의 개인정보가 중국으로 팔려나가는데도 손을 쓰지를 못하는 것이고요.
물론, 정부에서 해킹사고와 관련한 문제를 인지하지 못하는 것은 아닙니다. 하지만, 적어도 국민들이 안심할 수 있도록, 국가적 차원에서의 대책을 마련하고 그를 홍보하는것이 옳은 일 아닌가요?
해커들이 국가를 상대로 승리를 거둘 수는 없습니다. 물리적인 힘을 동원할 수 있는 국가의 능력과는 차원이 다르지요. 하지만, 우리나라 정부가 이렇게 방관한다면 이보다 심각한 수준의 문제가 발생할 것이라고 생각됩니다.
이미, 바로 내 옆에 해커가 있을지 모릅니다.
우리가 아는사람중에 해커가 있을지 모릅니다.
우리가 보안에 대해 심각하게 생각하지 않는다면, 우리나라는 그저 해커들의 좋은 놀이터가 될 수밖에 없을 것입니다.
우리모두 보안에 대해 신경쓰고 철저히 예방하는 모습을 보여봅시다. 더러운 해커들에게 개인정보를 빼앗겨 여러분들의 재산이 해커들의 손에 넘어가지 않게 하시려면 보안에 신경을 써 봅시다.
