Offcanvas

보안

분석 : 데이터 침해 사태에 대한 소니의 대응

2011.05.17 Robert McMillan  |  IDG News Service

1억 만 명이 넘는 비디오 게이머들이 피해를 입었음에도 불구하고, 소니는 5월 첫째 주 미국 의회에서 열린 공청회에 모습을 드러내지 않았다. 그러나 매리 보노 맥 하원의원은 몇 주 전 소니와 유사한 데이터 침해 사태가 발생한 마케팅 회사인 엡실론(Epsilon)과 묶어 소니를 거세게 비난했다.

캘리포니아주 공화당 하원의원인 맥은 이날 "최근 일어난 데이터 침해 사태와 오늘 증언을 거부하기로 한 소니와 엡실론의 결정에 당혹감을 금할 수 없다. 이는 도저히 용납할 수 없는 일이다"며 "물어야 할 가장 중요한 질문은 이거다. 소니는 해킹에 대해 왜 고객에게 일찍 통보를 하지 않았느냐는 것이다"라고 지적했다.

소니 쪽에서 플레이스테이션 네트워크가 해킹되어 개인정보를 도난 당했다고 고객들에게 통보한 때는 지난 4월26일이었다. 해커의 공격을 인지한 지 일주일이 지나고서다. 그러나 온라인 게임이 중단되며 거세게 비난을 쏟아냈던 많은 게이머들의 생각과는 달리, 데이터 침해 및 보안 전문가들은 해킹의 규모를 감안했을 때 사실 꽤 빠른 대응이었다고 말한다.

데이터브리치넷(Databreaches.net)의 운영자 중 한 명은 "사실 며칠도 길다고 말하는 사람들의 반응에 놀랐었다. 1년 전만 하더라도 두 달 이내에만 통보가 이뤄지면 아주 빠르다고 여겨졌다. 그러나 지금은 대중들이 당장 통보를 받게 될 것으로 기대하는 것 같다"라고 설명했다.

4월 말경만 해도 소니가 할 수 있는 일은 없었던 듯싶다. 소니는 거센 비난에 직면해 문제를 해결할 방법을 완전히 파악하지 못한 상태에서 데이터 침해와 관련된 정보를 공개했다. 그리고 나서야 애를 먹어가며 일련의 문제들을 바로잡아 나가기 시작했다. 소니 온라인 엔터테인먼트(Sony Online Entertainment)는 또 다른 네트워크가 해킹을 당하고, 은행 신용 카드 번호가 도난 당했다는 사실을 발견해 이를 인정해야 했다. 앞서 발표와는 상반된 부분이었다.

해킹 피해가 처음 생각했던 것보다 위중하다는 사실이 드러나는 건 아주 일반적인 일이다. 보안 전문가들을 고용하고, 정식으로 범죄 조사 과정을 거치면서 밝혀지는 내용들이다. SANS 인스터튜트(Institute)의 컴퓨터 범죄 수사 강사인 로브 리에 따르면 소니는 운이 없었다. 그는 "사실 소니처럼 상황이 달라지는 건 흔히 있는 일이다. 대중적인 반응이 흔하지 않았을 뿐이다"라고 말했다.

예를 들어 구글은 2009년 해킹이 일어났을 때 1달을 기다린 후 세부 내용을 발표했다. 따라서 충분한 시간을 갖고 사고를 파악할 수 있었다.

프라이버시 라이트 클리어링하우스(Privacy Rights Clearinghouse)의 베스 기븐스 디렉터에 따르면, 소니가 가장 잘못한 부분은 준비가 갖춰지기도 전에 발표해 고객들에게 혼란을 초래한 것과 사용자 수만 명의 오래된 금융 정보들을 보관해둔 것이다. 아이러니하게도 더 심각한 해킹 사태에는 관심이 덜 쏠리기도 했다.

예를 들어 지난 3월 의료 서비스 제공업체인 헬스넷(Health Net)은 190만 명이나 되는 사람들의 의료 기록과 사회보장 번호, 금융 정보 등을 잃어버렸다. 사실 사회보장 번호는 한 사람의 생활 자체를 망가뜨릴 수 있는 정보다. 반면 소니의 사용자들은 이름과 이메일 주소 정도만 도난 당했을 뿐이다.

뉴욕타임스는 헬스넷의 데이터 침해 사태에 대해서는 별다른 뉴스를 내지 않았다. 그러나 소니와 관련해서는 소니가 1억 200만 명의 고객들에게 '신용 보고 중단(Security Freeze)' 서비스를 제공해야 한다고 보도했다. '신용 보고 중단' 서비스는 ID 도용자들이 은행 등에서 새로운 계정을 열 수 없도록 한다. 하지만 기븐스는 소니의 경우에는 사실 해당이 되지 않는다고 말했다. 소니에서 훔친 데이터만으로는 애초에 이런 계정을 열 수 없기 때문이다. 기븐스는 "소니가 도난 당한 정보에는 사회 보장 번호가 들어있지 않다. 신용카드와 현금카드 번호뿐이다. 따라서 신용 보고 중단은 과한 조치라고 할 수 있다"라고 설명했다.

물론 그럼에도 불구하고 이번 소니의 데이터 침해 사태에서 터득할만한 교훈이 있다. 고객의 프라이버시 정보를 소홀히 취급해서는 안 된다는 것과 고객들은 데이터 침해 사건이 발생하면 그 즉시 알고 싶어한다는 점이다.

네트워크 보안 툴 판매업체인 솔레라 네트워크(Solera Network)의 제품 관리 부문 피트 슈람프 부사장은 "우리가 나아갈 방향을 보여줬다. 대중은 즉시 알고 싶어한다는 것이다"라고 지적했다. ciokr@idg.co.kr
 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.