PSN사태, 우리나라는 안심할 수 있는 것인가?

소니는 해킹에 있어 특별하다. 이전에 내가 작성한 “소니는 해킹으로부터 자유로워질까?” 글은 하드웨어의 해킹을 연쇄적으로 설명한 글이었다. 내놓는 게임기는 모두 다 해킹당하여 소니와 해커사이의 창과 방패의 치열한 전투였던 만큼, 소니가 해킹으로부터 얼마나 특별한지 잘 알 수 있다.

소니에는 안드로이드 마켓, 애플의 앱스토어와 같은 컨텐츠 몰이 있다. 이를 정식명칭으로 PSN 이라 부른다. 그런데 얼마 전에 PSN 해킹사건이 있어 최근에 들어서야 PSN 서비스가 다시 재개 되었다. 몇 개월동안 PSN에 접속도 못하고, 개인정보까지 유출된 PSN사건. 그렇다면 PSN사건은 어떻게 시작되었을까? 간략하게만 보기로 하자.

PSN 해킹 사건의 근원은 PS3로부터 시작하였다. (PS3가 PSN 해킹의 직접적인 도구로 사용된 것은 아니다.) 한 해커 J(지오핫) 가 PS3를 해킹하겠다는 발언을 하여 행동으로 옮기고 소니는 이에 따라 대응을 하였다. 사실 소니는 PSP 또는 PS3에서 해킹의 위험성을 막고자 하는 대응은 언제나 떼우기 식 펌웨어 업데이트 이었다. 그저 하위버전에서 동작이 불안정하다는 명분으로 동작 안정성을 개선했다는 업데이트를 줄기차게 내보낸 곳도 소니처럼 드문 회사는 없을 것이다. PS3에서도 예외는 아니었다.

여튼 펌웨어가 업데이트 되고 나서 해커 J의 활동이 주춤거리자 곧 은퇴를 선언하게 되었다. 소니는 PS3 만큼은 해킹으로부터 지켰다고 안심을 하는 듯하였으나, 머지않아 또다시 사건이 터졌다. 소니 내부에서 개발자용 펌웨어가 외부로 유출이 된 것이다. 쉽게 말해 개발자용 펌웨어가 유출 되었다는 것은 PS3도 더 이상 해킹으로부터 자유로워 질 수 없다는 뜻이다. 해커 J는 개발자용 펌웨어를 분석하여 루트키를 공개하게 되었다.

PSN 사태의 발단은 여기서 부터이다. 소니는 방어적인 대응에서 공격적인 대응으로 해커 J를 고소하고 PS3 해킹과 관련된 사람들의 PSN계정을 모두 밴 시키거나 관련된 사람들을 모두 잡아들이기 시작하였다. 본래 해커 집단은 어떠한 단체로부터 억압받는 것을 굉장히 싫어한다. 소니의 이 같은 행보에 불편함을 느낀 것일까. 대규모 해커 그룹인 Anonymous 는 소니가 해커 J에 대한 소송과 PS3과 관련된 해킹 그룹을 모두 제거함에 따라 소니에 선전포고를 하였다. 선전포고 이후에 얼마 안 되어 PSN 서버가 다운되었다.

머지않아 서버는 다시 복구가 되었지만, 소니에 대한 반감을 가진 해커들이 Anonymous 로 모여 PSN이 아닌 소니 전 네트워크 망을 공격하기에 이르렀고, 때 마침 PSN 서버가 무기한적으로 다운이 되었다. Anonymous 가 소니의 네트워크 망을 공격하는 사이에 또 다른 알려지지 않은 해커그룹이 PSN 서버에 바이러스를 심어 약 7700만 건의 개인정보가 유출이 되었다. 서버에 저장되었던 신용카드의 정보도 마찬가지로 유출이 되었다. PSN 사태의 좁은 의미로는 여기까지 풀이되지만, 이후에 일어났던 일을 간략하게 첨가하자면 이 과정에서 FBI도 해킹을 당하여 약 160명의 개인정보가 유출되었다고 한다.

PSN은 북미, 유럽, 일본, 우리나라에도 있을 정도로 대규모 컨텐츠 몰이다. 그만큼 많은 사람들이 이용하는 PSN이 해킹을 당한 이번 PSN사태는 이제 해커 그룹이 자발적으로 기업이나 정부를 얼마든지 공격할 수 있다는 뜻을 의미한다. 즉 PSN사태가 전 세계에 있는 해커의 움직임을 활발하게 하였다 해도 과언이 아닐 만큼, 해외에서 벌어진 해킹문제라고 해서 우리나라가 넘어갈 수 없는 중요한 문제이다. 이미 우리나라도 해킹에 있어 안전하지 못한 나라이다.

그 예로 올해 들어서 크게 발생한 두 개의 해킹 사건을 들면 될 것이다. 이번 농협 해킹사건과 네이트 해킹사건이 대표적이다. 그런데 농협 해킹사건이 발생한지 약 4개월이 지난 지금 주위를 둘러보면 해킹이 언제 있었냐는 듯 아무도 사태의 심각성을 인지하지 못하고, 네이트 해킹 또한 마찬가지이다. 네이트온을 이용하던 사람에게 사태의 심각성을 얘기해도 “나만 아니면 돼“라는 식의 반응이다.

PSN사태로 보는 우리나라는 과연 안심하고 지켜보기만 하면 되는 것일까? PSN사태로 해커집단은 전 세계 모든 국가를 상대로 해커 집단이 이제 자발적으로 기업이나 정부를 해킹하는 이 시점에서 정부는 더 이상 방관하면 안 된다. 현재 정부에서는 농협 해킹사건과 네이트 해킹 사건을 모두 북한의 소행일 것 같다는 추측만 하고 있을 뿐이다. 아울러 뒤늦은 인터넷 실명제 폐지를 도입한다. 네이트 해킹에 대한 파문은 크게 일고 있어도 정작 해킹에 대한 실효성 있는 대안 및 대처법은 별로 나오지 않은 상황이다. 기껏해야 개인정보 지키기 안전수칙만 나왔을 뿐이다.

그렇다면 이 같은 일련의 해킹사건은 무엇을 의미하는 것일까? 네이트 해킹에서 이스트소프트의 알툴즈가 해킹사건으로 언급 되고 있는 이 시점 - 해킹사건의 공통점은 평소에 보안에 대하여 관리가 소홀하였으며 해킹에 대해 대응을 하였다고 하더라도 무기력한 모습을 보일 수밖에 없었다는 뜻이다. PSN 서비스를 운영하는 소니 전체의 해킹을 시작으로 하여 국내에서 발생한 농협 해킹이 발생하였음에도 불구하고 국내 정부 및 기업에서는 해킹의 심각성을 인지하지 못하고 또 다시 네이트에서 해킹사건이 터진 것이다. 어쩌면 이는 과거에 옥션 해킹사건이 있었음에도 불구하고 모두가 해킹의 심각성에 대해 쉬쉬한 것은 아닌지 모르겠다.

일련의 해킹사건을 통하여 우리나라 모든 사람들의 대부분이 해킹으로 개인정보가 유출 되었다. SK 컴즈 회장의 개인정보도 유출되었을 만큼 우리나라는 보안문제에 비상이 걸려있다. 네이트 뿐만이 아니라 NHN의 네이버도 얼마든지 해킹에서 자유로울 수 없다. 그런데도 사람들은 개인정보가 유출되거나 해킹사건이 터져도 이슈거리로 볼 뿐 별다른 대책은 세우지도 않고 그저 방관하기만 한다. 그 예로 네이트 해킹 보상카페인 네해카를 들어보겠다. 네이트 해킹으로 3500만명이 피해를 입었으나 정작 0.15% 만이 카페에서 활동하고 있다. 해킹뿐만 아니라 해킹의 피해에 대한 정당한 권리의 이행마저 적극적으로 행하지 않는 모습이다.

이번 일련의 해킹사건이 주는 의미는 세 가지이다. 첫째는 기업이나 정부가 해킹에 대한 보안의 중요성을 알지 못하였다. 단지 사건이 터졌을 때만 시끌벅적 하고 “북한의 소행” 발언과도 같은 남탓 돌리기 식으로 대처를 하였을 뿐이다. 둘째는 인터넷 실명제의 폐지이다. 그간 해킹사건으로 개인정보가 유출될 때마다 인터넷 실명제에 대한 논란이 불거졌는데, 인터넷 실명제가 해킹으로 이제는 개인정보가 하나의 휴지조각으로 되어버린 모습이다. 셋째는 사태에 대한 참여도가 부족하다. 내성이라는 말이 IT세상에서도 적용되는 것일까. 옥션 해킹사건, 농협해킹사건, PSN 사태, 네이트 해킹사건으로 사람들은 모두가 털렸으니 잃을 것도 없다는 것처럼 그저 지켜보기만 할 뿐이다. 이 얼마나 안타까운 일인가?

이런 사태가 일어남에도 불구하고 다른 기업의 포탈에서 비밀번호를 바꾸라는 공지라든지 개인정보에 대한 공지는 찾아볼 수 없었다. 정부에서는 북한의 소행이라는 입장만 밝힐 뿐 기업과 마찬가지로 해킹에 대한 대안은 내놓지 않는 모습이다. PSN사태로 해커 집단이 자발적으로 해킹을 하는 지금 이 시점, 어쩌면 파이어 세일이 도래할 지도 모르겠다. 영화 다이하드 <4.0>에서는 해킹으로 국가에 사이버 테러를 감행하여 파이어 세일의 모습을 보인다. 영화 속 스릴있는 이야기가 자칫하면 현실로 될 수 있는 상황이 올지도 모르겠다.