세기적 해킹 '소니 사건'의 전모 ②
소니 픽처스 Sony Pictures는 단 한 번의 사이버 공격으로 무릎을 꿇었고, 미국 기업들은 공포에 떨었다. 포춘이 사건의 전말, 그리고 소니가 일찌감치 해킹의 전조를 알아차렸어야 하는 이유를 파헤쳤다. BY PETER ELKIND
입력 2015.08.25 15:28:01
수정
2015.08.25 15:28:01
"단 한 번의 침투로 모든 것에 접근할 수 있었다."
뒤돌아 보면, 소니 픽처스가 사이버공격에 대해 그렇게까지 무방비 상태였다는 사실은 믿기 힘들다. 디지털 제품-영화, TV프로그램, 비디오게임, 음악-을 판매하는 기술업체는 당연히 온라인 범죄의 표적이 되기 마련이다. 지적재산권을 보호하기 위한 소니의 강력한 전술에 분노한 해커들은 오랫동안 소니의 다양한 사업부문을 주시해왔다. 사이버보안 분야의 선구자 브루스 슈나이어 Bruce Schneier-하버드대 ‘인터넷과 사회를 위한 버크먼 센터 (Berkman Center for Internet and Society)’의 연구원이다-는 “소니는 지난 10년 동안 해커들의 가장 큰 증오 대상이었다”고 지적했다.
이런 상황의 시발점은 2005년 일어난 ‘루트킷 스캔들 rootkit scandal’로 거슬러 올라간다. 당시 소니의 음악사업 부문은 온라인 해적행위를 소탕할 방법을 찾고 있었다. 그래서 비밀리에 사용자의 컴퓨터에 불법 복제 방지 소프트웨어를 설치하는 CD를 수백 만 장 생산했다. 그러나 이를 통해 사용자의 청취습관을 몰래 수집하기도 했고, 컴퓨터 속도를 저하시켰으며, 보안 취약점을 야기하기도 했다. 한 IT 블로거가 이를 폭로한 후, 소니는 지방 검찰청 소송, 집단 소송, 연방통상위원회로부터의 벌금(나중에 합의함)에 직면하게 됐다. 이 사건으로 분노한 소비자들(특히 온라인 해적행위에 관심이 많은 해커들)이 소니 제품 불매운동을 촉구하기도 했다.
그 후 몇 년 동안 적대감이 높아져 갔다. 소니는 2011년 자체적으로 ‘해커와의 전쟁’으로 지칭한 활동을 시작했다. 저작권보호법 및 컴퓨터 사기방지법을 내세우며, 당시 21세의 나이로 유명세를 타던 조지 호츠 George Hotz(‘지오핫 geohot’으로도 알려진 인물이다)라는 해커를 고소했다. 호츠가 자신의 플레이스테이션 3 콘솔을 ‘탈옥(jailbreaking)’시켜 불법으로 복제한 게임과 무료 소프트웨어를 구동하고, 그 방법을 보여주는 영상을 포스팅 했다는 게 고소의 이유였다. 소니는 호츠의 웹사이트 방문자를 확인할 수 있는 서버로그 제출명령도 요청했다. 회사는 독일에서 두 번째 해커를 고소했고, 경찰이 해커의 집을 급습해 컴퓨터를 압수했다.
그리고 곧 역풍이 불었다. 4월에 접어들어 해커들은 소니의 행위를 ‘절대로 용서할 수 없는 일’이라고 선언하고, 소니의 플레이스테이션 네트워크에 침입했다. 고객 7,700만명의 개인정보, 그리고 그 중 1,000만 명의 신용카드 기록을 유출시켰다. 이 사건으로 소니는 24일 간 네트워크를 폐쇄했고, 1억 7,100만 달러의 손해도 봐야 했다. 소니의 플레이스테이션 네트워크 책임자 팀 샤프 Tim Schaaff가 의회 청문회에서 한 증언은 몇 년 후 소니 픽처스가 했던 말과 놀라울 정도로 비슷했다. 샤프는 소니가 ‘아주 강력한’ 보안조치를 갖추고 있었으며, ‘규모 및 범위 면에서 전례 없이 매우 정교한’ 침입행위의 피해자였다고 주장했다.
그러나 외부 전문가들의 생각은 달랐다. 그들은 소프트웨어 보안 업데이트를 설치하지 않는 등 태만한 IT 업무관행을 일삼던 소니가 해킹에 무방비상태였다고 결론지었다. 영국 규제당국은 후에 개인정보를 보호하지 못한 부분에 대해소니에 39만 6,100달러의 벌금을 부과했다(당국은 침입 시도를 ‘예방할 수 있는 일’로 판단했고, 소니의 보안조치를 ‘그저 미비했던 것’으로 평가했다). 소니는 해당 사건에 대해 해킹그룹 아노니머스 Anonymous로 책임을 돌렸지만, 아노니머스 측-그 외 해킹은 자신들의 소행이라고 인정했다-은 이를부인했다. 결국 누구의 잘못이었는지는 결론이 나지 않았다.
2011년 말까지 소니는 여러 사업부문에서 20건의 추가침입 피해를 입었으며, 강력한 보안조치를 마련했다는 자신감도 조롱거리가 되고 말았다. 6월 발생한 소니 픽처스 해킹은 아노니머스의 분파인 룰즈섹 LulzSec이 일으킨 것이었다.
룰즈섹은 단순한 기술을 이용해 소니 픽처스의 네트워크에 침투했고, 몇몇 고객의 개인정보를 유출시켰다. 룰즈섹 측은 소니 고객 100만 명의 정보를 획득했다고 떠벌리며 해킹이 얼마나 쉬운지 보여주는 것이 목적이었다고 밝혔다. 룰즈섹은 “단 한 번의 침투로 모든 것에 접근할 수 있었다. 왜 사람들은 이렇게 단순한 공격에도 뚫리는 기업을 믿는 것인가?”라고 조롱했다. 인터넷 블로거들은 소니의 보안조치 수준이 너무 낮아 이를 조롱하는 말이 생겼을 정도라고도 했다. “소니처럼 완전히 제압당한”이라는 의미로 “소너지 Sownage”라는 용어를 사용하기도 했다.
플레이스테이션 해킹 사건 후, 소니의 게임 및 소비자제품 부문을 이끌던 히라이 카즈가 도쿄에서 기자회견을 열고 공식 사과를 했다. 그는 전사에 걸친 사이버보안 강화를 위해 새로운 방안을 마련하겠다고 약속했다. 2011년 9월에는 소니 자체의 글로벌 정보보안책임자를 처음으로 고용한다고 발표했고, 미 국토안보부 사이버보안 책임자 출신인 필립 라이팅거 Philip Reitinger를 영입했다.
“100만 달러의 손실 가능성을 피하려고 1,000만 달러를 투자하지는 않을 것이다.”
히라이의 약속 이후, 소니 픽처스가 정확하게 어떤 보안조치를 도입했는지는 여전히 알려지지 않고 있다. 회사 측이 명확한 사례를 제시하지 않았다. 하지만 그 어떤 노력과 관계 없이, 충분한 대비가 이뤄지지 못했다는 사실은 분명하다.
예를 들어보자. 스튜디오 이메일 시스템은 ‘ 2중 인증 (two-factor authentication)’ 이라는 기본적인 보안방식을 사용하지 않았다(다른 기업들은 이를 수년 째 채택하고 있다). 이 방식은 로그인하는 모든 사람이 두 가지 형태의 인증절차를 거치도록 하는 프로세스다. 개인 패스워드를 사용하면서도 휴대폰이나 전자 키체인에서 생성하는 일회용 패스워드를 사용하는 것 등이 여기에 속한다. 해커가 사용자의 정보를 훔쳐내기 훨씬 더 어렵게 만드는 방법이다.
소니의 방만한 이메일 사용 관행은 어제 오늘 형성된 것이 아니었다. 지난 2007년 IT 전문가들을 위한 전문지 CIO에 실린 ’확실한 규정준수를 위한 지침서(Your Guide to Good-Enough Compliance)‘ 기사에는 스튜디오 사이버보안 책임자 스팔트로의 인터뷰가 게재된 적이 있었다.
그는 “한 감사관이 개인정보 보호를 위한 사베인-옥슬리 Sarbanes-Oxley 규정을 언급하며 소니의 여러 가지 보안취약점을 지적했다”고 밝혔다. 그 중에는 느슨한 패스워드 정책도 포함돼 있었다. 그 감사관은 스팔트로에게 “당신 회사가 은행이었다면 아마도 망했을 것”이라고 경고했다. CIO 기사에 따르면, 스팔트로는 지적 받은 취약점에 대해 이렇게 반박했다. “직원들이 비직관적인 패스워드를 사용하면 대부분의 경우 포스트잇에 써서 모니터에 붙일 텐데, 그게 어떻게 안전하다는 것인가?”
스팔트로는 위험요소보다 비용을 더 두려워했던 듯하다. 그는 CIO에 “모든 것에 대비하려 한다면 문자 그대로 파산할 것”이라며 “100만 달러의 손실 가능성을 피하려고 1,000만 달러를 투자하지는 않을 것”이라는 입장을 밝혔다. 그리고 “위험을 감수하는 것도 합리적인 사업 결정 중 하나”라고 덧붙였다. 스팔트로가 이 말을 했던 시기는 8년 전으로, 소니가 해커의 단골표적이 되기 전이었다(그는 “소니가 여러 부분에서 규정을 과도하게 준수한다”고 주장했다). 상당한 세월이 지났는데도 소니의 태도는 달라진 것 같지 않다.
방만한 관행은 뿌리 깊게 박혀 있었다. 소니의 이메일 보관 정책은 7년 전 메시지까지 남겨두는 것이었다. 그러나 암호화를 하지 않아 알아내기 쉬웠다. 기본적으로 소니는 소송 발생을 대비해 사업기록, 계약서 및 문서를 장기 보관하는데, 이메일을 그 목적으로 사용하고 있었다. 2014년 가을, 소니가 이메일 보관기간을 2년으로 줄일 것이라고-여러 이메일을 확인해보면, 해킹위험이 아니라 시스템 성능향상을 위한 것이었다-발표하자, 스튜디오 측은 곧바로 반발했다.
일련의 중요한 정보-IT 관리자 사용자명과 패스워드등-가 ‘컴퓨터 패스워드’라는 이름의 스프레드시트나 워드파일로 보호장치 없이 저장돼 있었다. 소니 IT부서는 네트워크에 속한 모든 하드웨어 정보를 관리하는 데 어려움을 겪었다(네트워크에는 30개의 데이터센터가 포함돼 있었다). 유출된 문서 중에는 2014년 9월자 프라이스워터하우스쿠퍼스 PricewaterhouseCoopers의 감사보고서도 들어 있었다. 이 보고서에는 스튜디오 보안 감시업무를 외부 벤더로부터 소니 내부 팀으로 옮기던 2013년 가을의 사건이 기록되어 있었다. 방화벽 하나와 148개의 라우터, 스위치 및 웹서버가 몇 개월 동안이나 무방비 상태로 있었다는 내용이었다. 보고서는 ‘ 네트워크나 인프라 장비에 영향을 주는 보안사고가 발생할 경우, 감지가 안될뿐더러 적시에 해결할 수도 없을 것’이라고 경고했다. 감사 내용에 따르면, 10개월 간 이 스튜디오에선 보안 사고 경계보고가 무려 193차례나 있었다.
소니의 보안강화를 위해 합류했던 라이팅거는 2014년 8월 글로벌 인터넷 보안책임자 자리에서 물러났다. 소니 대변인은 그의 사임에 대해 “오랫동안 계획된 것으로 갑작스러운 것이 아니다”라고 말했다. 하지만 그 시기 이메일에 그려진 상황은 좀 다르다. 소니 픽처스의 법무자문관 베유는 이메일을 통해 보안책임자 스팔트로에게 ‘갑작스러운 결정인가?’라고 물었고, 스팔트로는 ‘그렇다’라고 답했다.
라이팅거는 정부에 있었을 때 ‘더 강력한 보안’을 지지했던 인물이다. 그는 포춘과의 인터뷰를 거절했다. 그러나 그를 존경하는 많은 이들은 소니에서 라이팅거가 성과를 낼 수 없었던 데에는 그만한 이유가 있었다고 확신하고 있다. 충분한 권한을 갖지 못했을 뿐만 아니라(소니는 이를 부인한다), 도쿄에서도 그에게 별로 주의를 기울이지 않았던 것이 원인이라고 그들은 주장한다. 지금도 라이팅거의 지지자들은 미국인 홀로 소니 도쿄 본사에 큰 영향력을 행사하기는 힘들다고 지적하고 있다. 사이버전문가 루이스는 “그가 무력감을 느꼈다”고 전했다.
“수익이 충분치 않은 것이 문제다.”
큰집 소니’의 걱정은 더욱 심각해지기만 했다. 2014년 5월, 히라이는 이듬해 3월 끝나는 회계 연도 기준으로 4억 8,900만 달러 손실이 예상된다고 발표했다. 또 자신과 40명의 다른 고위급 이사진이 연례 보너스를 포기할 것이라고 선언했다(린턴은 CEO에게 이메일을 보내 ‘단결의 표시로’ 자기부터 보너스를 포기하겠다고 말했다. 그의 입장에선 다행스럽게도 히라이가 그 제안을 거절했다. 린턴은 기쁜 나머지 친구에게 ‘그가 내게 보너스를 줬어. 도박이 성공했어’라고 이메일을 보냈다). 소니는 2014년 9월 상당한 추가 수익 하락을 예상하고, 기존에 발표한 예상손실을 21억 달러로 수정했다.
스트레스에 시달리던 린턴은 10월 3일 파스칼에게 이메일을 보냈다. ‘우리 회사는 사실상 공개기업이고 우리는 소니와 대중에게 앞으로 3년 동안 무엇을 해낼 것인지 약속했다.
이렇게 되길 원하진 않았지만, 상황이 우리에게 불리하게 돌아가 지금에 이르렀다. 때문에 위험이 크거나, 가망이 없어보이는 도박을 시도할 때 먼저 단단한 기반을 다지는 것이 정말로 중요해졌다… 다음 주에 소니 본사에 상당히 중요한 약속을 할 예정이다. 이를 반드시 지켜야 한다… 현재 압박을 심하게 받아 나의 인내심이 좀 부족하다. 그걸 당신이 알아줬으면 해서 이야기하는 것이다.’ 린턴은 5일 후 뉴욕에서 히라이와 예산회의를 진행하며 다시 파스칼에게 이메일을 보냈다. ‘회의가 상당히 어려웠다… 수익이 충분치 않은 것이 문제다… 유지비용은 너무 많이 들고, 히트작도 별로 없다.’
유출된 이메일을 보면 린턴이 어려운 시기를 보내고 있었음을 확인할 수 있다. 그는 9월 한 친구에게 보낸 이메일에서 ‘일이 고되다’고 토로했다. 또 다른 친구에게는 ‘한 달 동안 대본을 보지 못했다… 설명할 수 없는 이상한 상황이다’라고 말했다. 린턴은 개인적인 투자 프로젝트에서 오히려 즐거움을 찾고 있었던 것 같다. 그 중에는 스냅챗 Snapchat(린턴 부부가 시드머니를 제공하고, 그 자신이 이사로 활동했다)에 대한 투자와 음주측정기 형태의 마리화나 검사장치 개발사업이 있었다. 이메일 중에는 린턴이 억만장자 패트릭 순시옹 Patrick Soon-Shiong 박사에게 ‘상업성 높은 아이디어’를 설명하고, 그 개념에 관한 특허출원을 원했다는 내용도 들어있었다 (소니 대변인은 “마이클 린턴이 이러한 외부 일에 최소한의 시간을 투자했다”고 주장했다).
린턴은 캘리포니아에서 일련의 세무감사를 겪으며 만성불면증과 허리통증에 시달렸다(소니 대변인 로슨은 “유출된 이메일을 근거로 마이클의 건강상태와 세금문제에 대해 어떤 추측을 하든, 그것은 업무압박과 아무런 관계가 없다”고 주장했다). 소니 내부에는 알리지 않았지만, 린턴은 사실 가족과 함께 뉴욕으로의 이주를 계획 중이었다.
10월 21일, 소니는 마침내 기쁜 소식을 접하게 된다. 회사주가가 오르자 러브가 거의 20%의 수익률을 올리고 주식을 매각한 것이었다. 그는 그후 몇 개월 동안 우호적인 태도를 유지했다. 컬버시티를 개인적으로 방문해 린턴을 비롯한 다른 경영진과 점심을 먹기도 했고, 셀리그먼과 저녁식사를 했으며, 히라이에게 즐거운 하와이 여름휴가를 보내라는 메시지를 전하기도 했다. 겉으로 봐선 소니가 러브를 존경스러운 투자자로 여기는 것 같았다. 그가 발전적인 ‘개선사항’을 제시했다는 것이다. 하지만 그가 떠난 후 소니는 기쁨을 감추지 못했다. CFO 데이비드 핸들러 David Hendler는 “모두를 위해 샴페인을!!!”이라며 환호했다.
이직을 고민한 린턴과는 달리, 파스칼은 잔류를 원했다. 그래서 지지부진한 그녀의 새 계약협상에 대해 점점 불안감을 느끼고 있었다(계약은 2015년 3월 만료될 예정이었다).
그녀는 할리우드 에이전트 브라이언 루르드 Bryan Lourd에게 ‘당신은 마이클 린턴(ml)이 내게 최대한 무례하게 굴어 내가 꼭 필요한 존재라기보단 어색함을 느끼게 만들 것이라는 점을 알 것이다…’라고 이메일을 보냈다. ‘엠엘에게 다른 방식으로 접근할 방법을 알려달라. 손자병법이라도 읽어야하나?’ 파스칼은 이미 스튜디오 중역 및 ‘ 비전을 갖춘’ 컨설턴트들과 함께 작업을 하는 중이었다. 작품 부족으로 어려움에 빠진 영화 부문에서 작품 준비 계획을 개선하려는 것이었다.
그녀는 11월 12일 스튜디오 대표 벨그래드에게 ‘ 이곳을 우리회사라고 생각하기 때문에 그를 미워하는 것 같다. 난 아직도 그들이 침입자로서 회사를 파괴한다고 느끼고 있다’고 이메일을 보냈다. ‘ 바보 같지 않은가? 하지만 한 가지는 확실하다. 다른 모든 사람이 떠나도 우리는 끝까지 남을 것이다. 좋은 일인지 나쁜 일인지는 모르겠지만, 그렇게 될 것이다.’
“진짜 어려운 장애물은 없었다.”
FBI 국장 제임스 코미 James Comey는 소니를 공격한 해커들이 처음 스튜디오에 침입한 시점은 9월이었을 것이라고 말했다. ‘스피어 피싱 Spear phishing’이라 불리는 일반적인 방법-직원들이 이메일 첨부파일이나 링크를 클릭하도록 만들어 속이는 방식-을 통해 접근권한을 획득했다는 것이다.
소니의 평범한 바이러스 감지 프로그램은 해커들이 사용한 악성코드로부터 시스템을 거의 보호하지 못했다. 이미 확인된 침입 방식만을 차단하는 프로그램이었으며, 해커들은 그 코드 특징을 바꾸는 방법을 알고 있었다. 실제로 사이버 세계에선 해커들이 거의 모든 기업의 전면 방어체계를 무력화시킬 수 있는 것으로 알려져 있다.
때문에 중요한 건 침입자가 큰 피해를 입히기 전에 이를 감지해내는 일이다. 맨디어의 회사가 발간한 2015년 보고서에 따르면, 기업들이 침입사실을 발견하는 데는 보통 205일이 걸린다. 게다가 그들 중 스스로 침입사실을 알아내는경우는 3분의 1도 안 된다. 그렇다고 해킹을 막을 수 없다는 얘기는 아니다. 대부분의 기업이 충분히 주의를 기울이지 않는다는 것이다.
일단 소니에 침입한 해커들이 다음으로 취한 활동 단계는 ‘권한 확대(escalate privileges)’였다. 시스템 관리자의 권한을 탈취해 더 넓은 범위의 접근 권한을 얻는 것이었다.
해커들은 2개월 이상 네트워크를 자유롭게 돌아다니며 무엇을 훔칠지 물색했다. 이런 상황이 가능했던 건 스튜디오가 가장 중요한 기밀조차도 거의 예외 없이 별도로 보관하지 않고 추가 보안조치도 취하지 않았던 탓이 컸다. 침입자가 일단 네트워크 관문을 통과하면, 사실상 어디든 접근할수 있었다. 그 어떤 정보도 차단해 두지 않았기 때문이었다 (정보보안부서 사무실을 활짝 열어놓고 경비원 한 명 두지 않은 것과 마찬가지였다).
미시간대학교 컴퓨터공학과 제이 알렉스 홀더먼 J. Alex Halderman교수는 소니에 침입한 해커들이 엄청난 정보를 삭제했음에도 적발되지 않았다는 사실을 “믿기 어렵다”고 지적했다. 대부분의 기업 네트워크는 침입감지 소프트웨어를 사용한다. 일상적이지 않은 파일 전송(대용량 파일을 낯선 곳으로 이상한 시간에 전송하는 일)이 이뤄지는 경우, 혹은 시스템 사용자가 평소에 건드리지 않던 자료에 접근하는 경우, 경보가 울리도록 설계되어 있다. 소니 내부자가 해커를 도왔다는 의혹이 제기된 것도 이 때문이었다. 누군가가 인터넷을 사용해 기밀을 전송한 것이 아니라, 이동식 하드디스크에 기밀을 다운 받았을 것(에드워드 스노든 Edward Snoden이 미 국가안전보장국에서 이용한 방식)이라는 의혹이 일었다.
소니는 해킹 조사를 위해 저명한 범죄학자 케빈 맨디어를 고용했는데, 그는 그 같은 증거는 없다고 주장했다. 해커들의 행위가 감지되지 않은 이유는 따로 있다는 것이었다.
맨디어에 따르면, 해커들은 인내심 있게 몇 주에 걸쳐 소니의 여러 서버로부터 자신들이 제어하는 전 세계 서버로 데이터를 나눠 옮기는 방식을 이용했다. 미디어 기업 소니는 대규모 파일을 전송하는 일이 잦았고, 그래서 유출을 감지 할 수 없었다는 주장이다.
소니는 파이어아이 Fire Eye의 최고운영책임자 맨디어가 포춘과 인터뷰하지 못하도록 했고, 그에게 간단한 서면 답변만 제공하라고 지시했다. 소니는 맨디어가 린턴에게 제공했던 메모를 자주 언급했다. 그 어떤 기업도 해킹에 ‘완벽하게 대비할 수 없다’는 주장이 그 메모에 담겨 있었다. 하지만 이 메모에 사용된 표현은 매운 조심스러운 것이었다. 예를 들어, 메모에는 ‘업계 표준 바이러스방지 소프트웨어’로는 악성코드를 감지해낼 수 없었을 것이라는 내용이 들어 있었다. 사실 별 내용이 없는 것이나 마찬가지다. 사이버 전문가 입장에서 해킹을 총에 비유하면, 평범한 바이러스방지 소프트웨어는 구식 장총 밖에 막을 수 없다. 그러나 요즘 악당 해커들은 AK-47로 무장하고 있다.
실제로 몇몇 사이버보안 업체들-파이어아이도 포함된다-은 자신들의 제품이 소니 해킹을 막을 수 있었을 것이라고(혹은 최소한 피해를 상당히 줄일 수 있었을 것이라고) 주장한다. 파이어아이의 대변인 비토르 데 소자 Vitor De Souza는 “우리 솔루션을 사용했다면, 해킹에 사용된 악성코드를 감지해 낼 수 있었을 것”이라고 말했다. 소니에서 2중 인증 방식을 사용했다면 큰 차이가 있었을 것이라는 말도 덧붙였다. 그는 “해커들에게는 까다로운 장애물이 된다”며 “2중 인증을 갖추지 않은 상황에서 해커가 회사의 네트워크에 침입한다면, 회사는 큰 어려움에 빠지게 된다”고 강조했다. 그는 물론 2중 인증 방식으로 막아냈다 해도 해커들이 다른 방법을 동원했을 것이라는 점은 인정했다. 그는 “국가차원에서 침입한다면 뚫리게 돼 있다”고 말했다. “문제는 대응 속도다.
데이터 10 테라바이트가 아니라 1테라바이트만을 도난 당하고 막았을 수도 있다.” 소니 문서를 빼돌린 해커들은 스튜디오의 고위 임원진 5명의 이메일도 훔쳐냈다. 해커들이 공격을 감행하기 이틀 전 이메일까지 빼내갔다. 이 무렵엔 해커들이 시스템 관리자 권한 7개를 보유하고 있었고, 스튜디오 전체 네트워크의 구성도 파악하고 있었다. 이 정보를 파괴적인 악성코드에 ‘하드코딩(hard-coded)’ 방식으로 심어 IT 관리자만이 접근할 수 있던 모든 컴퓨터를 감염시킬 수 있었다.
11월 24일 월요일, 해커들은 소니 맞춤형 삭제 악성코드 igfztrayer.exe를 소니 네트워크에 풀어놓았다. 악성코드에 감염된 모든 컴퓨터는 하드드라이브의 모든 것을 삭제하고, 해골 이미지와 경고문구를 띄우는 위협적인 웹페이지를 설치했다. 이미 로그인한 직원들은 파일이 사라지는 것을 보고만 있을 수밖에 없었다. 악성코드는 컴퓨터 운영을 관장하는 소프트웨어 명령도 삭제했다. 2시간 후, 컴퓨터 재시동과 함께 화면에는 등골이 오싹한 메시지가 나타났다. ‘운영체제를 찾을 수 없음(Operating system not found).’
해커들은 추적을 피하기 위해 삭제작업 시작 직후 소니네트워크를 빠져나갔다. 악성코드는 사이버공간에 존재하는 ‘명령 및 제어(command and control)’ 서버들에게 보고 했고, 침입자들은-어디에 있든 상관 없이-디지털 파괴 피해를 확인할 수 있었다. 보통 해커들은 목적 달성에 필요한 단순한 수단을 사용한다. 전문가들은 소니 해킹에도 특별히 정교한 수단이 사용되지 않았다고 지적했다.
산스 연구소(SANS Institute)에서 기업 IT 전문가들에게 사이버방어 테스트를 교육하는 ‘화이트햇 white hat’ (*역주: 시스템을 해킹으로부터 보호할 수 있도록 취약점을 지적해주는 해커)에드 스쿠디스 Ed Skoudis는 소니 해킹에서 사용된 기술은 “ 평균” 수준으로 보인다고 설명했다. 그는 소니를 공격한 해커들의 수준이 자신의 강의로 따지면 중급 정도에 해당한다고 밝혔다. 스쿠디스는 “이는 소니의 방어수준이 그리 높지 않았다는 사실을 보여주는 것”이라고 지적했다. “진짜 어려운 장애물을 뛰어넘은 악당이 있었다고 보지는 않는다. 진짜 어려운 장애물이 없었기 때문이다.” 하지만 진짜 어려운 게 있었다. 파괴행위였다.
“손해를 배상하라. 그렇지 않으면 소니 픽처스가 집중 공격 당할 것이다.”
소니 픽처스의 임직원들은 처음부터 무슨 문제가 발생했는지, 그리고 무엇이 다가오고 있는지 몰랐다. 스튜디오는 11월 24일 처음으로 ‘IT문제를 조사 중’이라는 공식입장을 밝혔다. 놀라울 정도로 사태를 축소한 내용이었다.
해커들은 선홍색 해골과 함께 표시한 글을 통해 의도를 밝히고 있었다. “#GOP의 해킹(Hacked By #GOP)”이라고 쓰여 있었다. ‘이미 경고했고, 이는 시작일 뿐이다. 요구가 받아들여질 때까진 멈추지 않을 것이다. 비밀과 최고기밀을 포함한 모든 데이터를 확보했다. 우리에게 복종하지 않으면, 아래 나열한 데이터를 세계에 공개할 것이다.’
그러나 ‘우리에게 복종’한다는 것이 어떤 의미인지 분명치 않았다. 해커들은 첫 메시지를 통해 한 그룹을 지칭하며 ‘세계평화를 위해 크게 노력한 신의 사도들(God’sApstls)에게 감사한다‘고 표현했다(해커들은 후에 몇몇 기자들에게 스스로를 ’평화의 수호자(Guardians of Peace)‘라고 밝혔다).
‘신의 사도들’은 린턴, 파스칼, 그리고 3명의 다른 소니 이사진에게 공격 3일 전 이메일을 보내 보상을 요구한 것으로 드러났다. 이들은 ‘소니 픽처스 때문에 큰 피해를 입었다. 그에 대한 보상을, 금전적인 보상을 원한다. 손해를 배상하라.
그렇지 않으면 소니 픽처스 전체를 집중 공격할 것이다. 우리를 매우 잘 알 것이다. 오래 기다리지 않는다. 지혜롭게 행동하라’는 경고 메시지를 보냈다. 이 끔찍한 메시지에는 원하는 보상금액이 명시되어 있지 않았다. 대변인 로슨은 “소니 이사진이 이 이메일을 FBI에 전달했다”고 밝혔다.
그 후 ‘신의 사도들’ (이후엔 다시 이 단어가 언급되지 않았다)은 물론, GOP도 영화 ‘인터뷰’에 대해선 언급하지 않았다.
소니 컴퓨터들이 먹통이 되고 몇 시간이 지난 후, 니콜 셀리그먼이 FBI에 신고를 했다. 그날 오후, FBI의 로스앤젤레스 사이버수사대 팀이 스튜디오 단지에 도착했다. 회사는 범죄학자 맨디어도 함께 불렀다.
소니 픽처스 직원들은 펜과 종이로 업무를 봐야 했다. 스튜디오는 주요 직원들에게 190대의 블랙베리 BlackBerrys를 지급했다. 스튜디오 단지 내 매장에선 현금만 받았다. 스튜디오는 상점들을 대상으로 ‘현재 일어나고 있는 불편사항 중 일부분 또는 전체가 추수감사절까지 이어질 수 있다’고 전한 뒤 ‘대안을 찾기 위한 당신들의 노력에 감사한다’고 공지했다.
해커들은 여러 기자들에게 이메일로 사전 예고를 한 후, 12월 1일부터 다시 막대한 양의 문서-상당수가 개인신상에 대한 것이었다-를 파일공유 사이트에 올리기 시작했다. 처음 유출시킨 자료 중에는 소니 임직원 모두에 대한 비공개 실적평가, 가족의료기록, 범죄기록조회, 직장 내 문제 관련 징계문서, 여권정보, 급여세부사항 등이 포함돼 있었다. 소니는 명의도용을 노리는 범죄자가 좋아할 만한 민감한 정보도 그리 중요하게 관리하지 않고 있었다. 데이터보호업체 아이덴티티 파인더 Identity Finder가 파악한 바에 따르면, 패스워드가 없거나 암호화를 사용하지 않은 600개 이상의 파일에 있는 4만 7,426명의 사회보장번호가 유출됐다(수년전 소니에서 퇴사한 사람들도 다수 포함돼 있었다).
며칠마다 한 번씩 자료가 유출됐고, 그 때마다 새로운 위기가 찾아왔다. 기자들은 소니의 사업내용, 그리고 특히 치부(dirty laundry)를 파고 들었다. 스튜디오 단지의 한 이사는 “악몽이었다”고 당시 상황을 전했다. “하나를 극복했다고 생각하는 순간-조용하고 잠잠해지기 시작하는 순간-쾅하고 또 터지고, 더 난감한 문제에 봉착하곤 했다.”
파스칼이 제작자 스콧 루딘 Scott Rudin과 주고받은 이메일은 특히 민망한 내용이어서 언론이 많이 다뤘다. 그 중에는 앤젤리나 졸리 Angelina Jolie와 같은 유명인에 대한 험담(루딘은 졸리를 ’재능도 별로 없고 버릇 없는 아이‘라고 표현했다)도 있었고, 흑인을 주제로 한 영화에 대한 오바마 대통령의 취향을 무신경하게 추측한 내용도 있었다(파스칼은 ‘그에게 장고 DJANGO가 맘에 드는지 물어봐야 할까?’ 라고도 적었다). 영화계약에 대한 갈등도 드러나고 있었다(파스칼은 루딘에게 ‘나를 대놓고 위협하지 말라’며 욕설과 함께 경고를 한 적이 있다. 그리고 평소처럼 그녀는 이 내용을 린턴에게 전달했고, 린턴은 ‘이메일에 이런 내용을 쓰다니, 둘다 미쳤군’이라고 힐난했다).
끔찍한 언론보도 후 파스칼은 공개적으로 사과했다. 소니 직원 및 알 샤프턴 Al Sharpton 목사와 가진 미팅에서 용서를 구했다(샤프턴 목사는 오바마에 대한 발언을 언급하며 그녀의 사임을 요구하겠다고 위협했다). 그녀는 스튜디오를 방문한 누군가에게 “겁탈을 당했는데, 그 때문에 비난까지 받는 느낌이다”라고 개인적인 심정을 토로하기도 했다.
소니는 모든 것을 틀어막으려 했지만, 수포로 돌아갔다. 스튜디오는 12월 중순 변호사 데이비드 보이에스 David Boies와 계속 함께 일하기로 결정했다. 보이에스는 포춘을 포함한 40개 매체에 유출된 정보를 사용하지 말라고 요구하며, 그럴 경우 ‘모든 피해와 손실에 대해 책임지게 될 것’이라고 경고했다. 보이에스는 해당 문서들이 여러 가지 측면에서 ‘개인적’이고 ‘기밀’이며 ‘영업비밀’이기 때문에 일련의 미국법 및 외국법에 의해 보호를 받는다고 강조했다. 그럼에도 월스트리트 저널, 블룸버그, 로이터 등 수많은 언론매체들은 이메일을 바탕으로 기사를 보도했다(보이에스는 심지어 트위터 측에 이메일을 보내, 비키니 로봇아미 Bikini Robot rmy라는 인디밴드의 리더 발 브록스미트 Val Broeksmit의 계정을 차단해달라고 요청하기도 했다. 브록스미트는 유출된 소니의 이메일 캡처화면을 트윗해 1만 9,000명의 팔로워를 얻은 인물이었다. 트위터는 그의 계정을 단 하루만 이용 중단시켰다. 브록스미트는 보이에스로부터 연락이 왔을 때 이를 무시해버렸다).
하지만 이 모두는 사소한 문제였다. 소니 입장에서는 영화 ‘인터뷰’가 가장 큰 골칫거리였다. 언론에서는 우선 북한을 소니 해킹의 주범으로 거론했다. 해킹이 발생한 날로부터 4일 후인 11월 28일이 개봉 예정일이었기 때문이었다.
GOP 쪽에선 영화에 대해선 일절 언급하지 않았다. 그러나 12월 8일, 자신들의 조건을 소니가 ‘수용하지 않았다’며 ‘테러관련 영화 상영을 즉시 중단하라’고 요구했다. 한편, 로겐과 프랑코는 홍보투어를 계속했고, 스튜디오에서 조언한대로 영화 인터뷰에 대해 “어떤 방식으로든 논란을 일으킬 의도는 없었다”고 자신들의 주장을 되풀이했다(로겐은 12월 15일 굿모닝 아메리카 Good Morning America에 출연해 이처럼 밝혔다).
GOP는 위협의 강도를 높였다. 요구가 관철되지 않을 경우, 스튜디오 직원 가족들의 안전에 불길한 일이 발생할 수 있다고 이미 경고한 바 있었다. 12월 16일이 되자, 해커들은 ‘테러를 즐기려는 사람들’에게 ‘더욱 쓰라린’ 운명을 약속했다. ‘소니 픽처스의 끔찍한 영화’를 상영하는 극장이 공격 표적이라고 선언하며 ‘세상이 공포에 빠질 것’이라 경고했다. ‘2001년 9월 11일을 상기하라. 그 날짜에는-영화 개봉일을 말한다-극장으로부터 최대한 멀리 떨어질 것을 권유한다.’
막강한 힘을 과시할 것 같은 익명 단체의 경고는 터무니 없는 내용으로 채워져 있었지만, 의도한 효과는 거둘 수 있었다. 영화계는 공포에 휩싸였다. 5개의 주요 영화관 체인이 보안문제를 들어(물론 휴일 박스오피스 매출문제도 있었지만), 영화를 상영하지 않겠다고 소니 측에 통보했다. 영화 ‘인터뷰’는 원래 3,500개 상영관에서 개봉할 예정이었다. 불안감에 스스로 물러선 것이었다. 그러나 미 국토방위부(Department of Homeland Security)는 ‘영화관을 목표로 한 음모가 진행 중이라는 믿을 만한 정보는 없다’고 발표했다.
12월 17일, 소니는 ‘영화 한 편의 배급을 막는 이런 뻔뻔한 시도 때문에 크게 상심했다’는 입장을 표명하고, ‘우리 영화제작자들과 표현의 자유를 위해 함께 싸울 것’이라고 역설했다. 하지만 영화 자체와 함께 하려 하지는 않았다. 그들은 상영을 포기하려 했다. 스튜디오는 ‘대부분의 상영관이 영화 상영취소를 결정함에 따라 크리스마스 개봉을 백지화한다’고 발표했다.
린턴은 영화관 체인의 상영취소로 인해 자신에게 선택지가 없어졌다고 주장했다. 그는 “우리의 결정이 아니다”라고 호소했다. 사실 최소 150개의 독립 영화관들은 상영 의지를 보였다. 오스틴에 본사를 둔 앨러모 드래프트하우스 시네마 Alamo Drafthouse Cinema의 CEO 팀 리그 Tim League는 자신의 영화관 19곳에서 ‘인터뷰’를 상영할 의사가 있음을 소니 측에 재빨리 전달했다고 한다(전국에 영화관을 보유한 아트 하우스 컨버전스 Art House Convergence의 다른 회원사도 상영 의사를 밝혔다). 하지만 소니는 이를 거절했다.
12월 17일 늦은 오후, 기자들은 영화를 주문형비디오 (VOD)나 넷플릭스 Netflix 같은 스트리밍 서비스-영화관을 표적으로 한 위협으로부터 우회하기 위해서였다-로 출시할 수 있는지 여부를 물었다. 스튜디오 측에선 어떤 방식도 배제하겠다는 입장을 표명했다. ‘소니는 해당 영화에 대한 추후 출시 계획이 없다.’
그리고 다음 날, 해커들은 소니 측에 ‘예고편을 포함해 영화의 모든 것을 내리라’고 요구했다. 스튜디오는 이 협박에도 굴복했다. TV광고를 중단하고, 언론 시사회를 취소했으며, 홍보를 위한 페이스북과 트위터 계정도 삭제했다(소니 대변인은 “해커들을 달래기 위한 조치가 아니었다. 전국 개봉이 이뤄지지 않기 때문에, 신중하게 마케팅을 중단한 것이었다”고 해명했다). 언론에서는 영화가 햇빛을 보지 못하게 됐다고 보도했다. 해커들의 승리였다.
“그들이 ‘사탄의 시 (The Satanic Verses)’를 퍼뜨리지 않은 것이 다행이다.”
당시엔 분명치 않았지만, 소니의 여러 행보는 두려움 외에도 상업적 문제 때문에 결정된 것이었다. 이미 회사의 막대한 마케팅 예산을 거의 소진한 상황이었다. 린턴은 6,500만 달러의 추가 투자유치도 피하고 싶어했다. 혼란에 빠진 직원들도 안심시키고 싶었다. 그래서 린턴은 즉시 영화 개봉을 취소했다.
소니는 여러 대형 영화관 체인들이 결정을 번복해주길(혹은 개봉날짜 변경에 동의하길) 바라고 있었다. 때문에 소수의 예술영화 상영관 개봉을 허락하지 않고 있었다(박스오피스 매출에도 큰 도움이 되지 않는다). 소니가 혹시라도 주문형비디오 형태로 영화를 공개한다면, 독점 상영권을 주장하는 대형 영화관 체인들이 영화를 절대 상영하지 않을 것이 분명했다. 린턴은 “추후 출시 계획이 없다”고 발표하며 그들이 마음을 바꿀 시간을 벌고자 했다. 주문형비디오에 대한 소문으로 화가 났을 그들을 안심시키려 했던 것이다.
영화개봉을 취소하고 48시간이 지난 후, 할리우드와 워싱턴의 여러 비평가들이 소니 픽처스 스튜디오의 굴복에 우려를 표시했다. 소니는 다시 한 번 표적이 됐다. 저명한 작가 스티븐 킹 Stephen King은 ‘소니의 영화 인터뷰 상영취소 결정은 여러 측면에서 문제가 많다’고 트윗을 올리고 ‘그들이 사탄의 시를 퍼뜨리지 않은 것이 다행’이라고 덧붙였다.
12월 19일, 오바마 대통령은 소니를 비판하며 스튜디오가 “실수를 저질렀다”고 지적했다. 그는 “어딘가에 있는 어떤독재자가 이곳 미국에서 검열을 하게 해선 안 된다”고 강조했다.
이 무렵 소니의 ‘계산’에 변화가 생겼다. 영화관 체인 측에선 아무런 변화의 움직임이 보이지 않았다. 린턴은 크리스마스 개봉을 취소한 직후, 곧바로 비밀리에 주문형비디오 방식을 대안으로 검토하기 시작했다. 하지만 이를 수용할 업체가 없었다. 온라인 서비스 제공업체들은 해커의 다음번 표적이 되는 걸 꺼려했다. 소니는 영화 공개를 위해 자체 플레이스테이션 네트워크를 활용할 수도 있었다. 하지만 보안이 문제되기는 마찬가지였다(플레이스테이션과 마이크로소프트의 엑스박스 라이브 Xbox Live 모두 크리스마스 무렵 사이버공격의 표적이 됐다. 자칭 리저드 스쿼드 Lizard Squad라는 단체가 자신들의 소행이라고 주장했다).
해킹 이후 언론매체에 모습을 보이지 않던 린턴은 오바마 대통령의 담화가 나오고 몇 시간 후, CNN에 출연해 친구인 파리드 자카리아 Fareed Zakaria와 첫 ‘독점’ 인터뷰를 가졌다. 린턴은 이 자리에서 “우리는 굴복하지 않았다… 끈질기게 노력하고 있으며, 물러서지도 않았다”고 주장했다. 또 소니가 공급자를 찾는 즉시 영화를 배급할 예정이라고 덧붙였다. 그는 자카리아에게 “단 한 곳의 주문형비디오 공급업체나, 주요 온라인 판매사이트도 우리를 위해 영화를 공급하겠다고 나선 곳이 없었다”고 말했다.
12월 24일이 되면서 린턴은 전국 영화관 체인 쪽을 완전히 포기하고, 주문형비디오 서비스공급업체를 찾기시작했다. 소니는 크리스마스에 총 300관 이상의 예술영화관에서 영화를 상영하기로 결정했다. 또 가장 먼저 사이버보안을 강화했던 구글과 마이크로소프트의 주문형비디오 플랫폼에 영화를 공급하기로 했다. 크리스마스에 구글의 유튜브 YouTube와 구글 플레이 Google Play, 그리고 마이크로소프트의 엑스박스 비디오 Xbox Video에서 시청이 가능해진 상황이었다. 마이크로소프트에 따르면, 소니는 하루 렌털 기준으론 프리미엄 가격인 17달러에 이 영화를 판매하려 했다.
하지만 스튜디오는 결국 이것이 또 다른 홍보 실패로 이어질 것임을 깨닫고 가격을 5.99달러로 내렸다. 영화 개봉을 ‘우리 영화제작자들과 언론의 자유에 대한 의지 표명’이라고 홍보하기 시작했다.
북한이 주범이라는 “매우 강한 확신”
그렇다면 해킹은 정말 누구의 소행이었을까? 해킹 발생일로부터 25일이 지난 후, FBI는 소니를 공격한 주범으로 북한을 지목했다. 매우 신속한 결론이었다. FBI가 한 국가정권을 주범으로 지목하는 건 드문 일이었다.
FBI 관계자들은 서면 의견서와 공개발표를 통해 소니해킹과 다크서울 사건의 유사점을 제시했다. 소니에 사용된 악성코드가 한국어로 설정된 컴퓨터에서 만들어졌다는 점과 해킹에 이용된 인터넷 연결지점, 그리고-정말 흥미롭게도-‘민감한 출처와 방법’을 통해 획득했다는 첩보내용을 증거로 내놓았다. FBI국장 코메이는 포드햄 대학교 (Fordham University) 사이버보안 회의에서 해당 결론에 대해 “매우 강한 확신이 있다”고 말했다(후에 뉴욕 타임스는 ‘북한을 감시하고 있는 미국의 첩보 조직을 통해 증거를 찾은 것’이라고 보도했다).
하지만 많은 전문가들이 아직 의구심을 거두지 못하고있다. 해커에게 거짓 증거를 심는 것이 쉽다는 점을 지적하고 있다. 해커의 목표가 정말로 로겐의 영화였다면, 왜 곧바로 이를 밝히지 않았을까? 북한이 어떤 데이터를 유출시킬지 어떻게 알았을까? 어떻게 그만큼 능숙하게 소니 네트워크를 헤집고 다닐 수 있었을까? 그리고 왜 영화 개봉 후에는 아무런 반응이 없는 걸까?
사이버보안업체 사일런스 Cylance의 CEO 스튜어트 매클루어 Stuart McClure는 “조잡한 검색결과나 마찬가지다. ‘그것은 북한이 했고, 이것은 그것과 비슷해 보이니까 북한이 한게 틀림없다’라는 식이다. 객관적인 증거가 하나도 없다”고 지적했다.
무엇보다 에드워드 스노든이 정부의 비밀스러운 데이터수집 활동을 공개한 이후, 정부의 말을 그대로 믿지 않는 인터넷 사용자가 크게 늘어났다(FBI는 증거 공개를 거부했다). 정보기술학자인 포드햄 대학교의 조엘 라이덴버그 Joel Reidenberg 법대교수는 코메이의 연설을 직접 들었다.
그는 “마치 ‘우리를 믿어라, 하지만 검증을 허락하진 않겠다’는 것과 다름 없었다”고 비판했다.
이 모든 것이 또 다른 가설을 부추겼다. 내부소행으로 발생하는 사이버공격이 전체의 4분의 1 정도를 차지하는데, 소니 해킹사건 또한 그 중 하나라는 것이다. 이 주장을 가장 논리적으로 펼친 곳이 해킹 전 제품설명을 위해 소니를 방문했던 사이버보안 업체 노스였다. 노스는 자체 조사를 통해 ‘소니에서 근무하다가 해고당한 IT 전문가 중 악의를 품었을 인물 몇몇을 발견했다’고 밝혔다. 12월 29일 노스 이사진은 워싱턴 FBI 본부를 방문했고, 3시간에 걸친 미팅에서 자신들의 주장을 피력했다. FBI는 곧바로 공식 입장을 밝히고, 북한을 제외하고 의심할 만한 ‘그 어떤 믿을 만한 정보도 없다’고 강조했다.
북한의 소행이라는 주장에 의구심을 제기한 인물 중에는 에이미 파스칼도 있었다. 그녀는 자신이 지지한 영화가 이 정도의 피해를 일으켰다는 사실을 믿고 싶지 않았다. 1월 21일, 그녀는 노스 관계자와 개인적인 미팅을 가졌다. 그녀는 로스앤젤레스에 위치한 자택에서 남편과 함께 스티안센의 설명을 자세하게 경청했다. 파스칼은 나중에 방문한 누군가에게 “오랜 동안 소니 직원일 것이라고 생각했다”고 말했다. 그 이후 파스칼은 친구들에게 어떻게 생각해야 할지 모르겠다고 고백했다. 현재 노스 관계자들은 북한이 해킹을 실행해 옮겼고, 예전 소니직원으로부터 ‘어느 정도의 도움’을 받았을 것으로 보고 있다.
파스칼의 입장에선 스튜디오 책임자로서의 일이 상당 기간 즐겁지 않았다. 그러나 전 세계가 그녀의 이메일을 읽었다는 대중적인 망신을 겪은 후에도 일을 포기할 순 없었다. 12월 말, 버몬트 가족여행에서 돌아온 그녀는 새로운 계약을 위해 노력하기 시작했다. 회사에는 자신의 마지막 계약이 될 것이라고 이야기했다. 파스칼은 지난 4년 동안 4,700만 달러를 벌었고, 그와 비슷한 계약을 원하고 있었다. 이미 6월부터 소니와 새로운 계약을 위해 협상을 진행 중이었다.
하지만 린턴은 파스칼과 계속 함께할 생각이 아니었다. 제작한 영화 숫자-파스칼의 성과에 대한 궁극적인 측정수단이다-가 지난 2년 간 기대에 미치지 못했다. 또 다른 문제도 있었다. 린턴이 보기에는 해킹에 따른 일련의 사건이 파스칼에게 큰 상처를 입힌 것 같았다. 그녀는 크리스마스 이후 스튜디오에 잘 나타나지 않았다. 다른 사람들에겐 “감정적으로 힘든 시기”라고 말하고 다녔다. 린턴이 보기에는 이런 식의 리더십 부족이 파스칼의 문제였다. 직원들이 생각하는 그녀의 위상에 회복할 수 없는 상처를 입힌 것으로 인식됐다(파스칼은 개인적으로 이런 발언에 대해 “말도 안 된다”고 일축했다).
1월 말 파스칼이 최종 답변을 요구했을 때, 린턴은 계약불가 입장을 밝혔다. 그는 히라이와 상의해 결론을 내렸다. 그리곤 1월 31일 파스칼의 집으로 찾아가 그녀에게 스튜디오책임자 업무를 제안하지 않을 것이라고 말했다. 소니를 위해선 대형 제작자로 일하는 것이 더 나을 것이라는 말이었다(전에 서로 논의한 방향 중 하나였다). 파스칼의 지인은 그녀가 “큰 충격”을 받았다고 전했다.
그 다음 주 목요일, 파스칼의 사임이 발표됐다. 언론 보도에선 그녀 스스로 결정한 것으로 그려졌다. 하지만 며칠 후 샌프란시스코에서 열린 여성회의에 참석한 파스칼은 자신이 “해고” 당했다고 직설적으로 주장했다. 하지만 그럼에도 그녀는 연착륙을 할 수 있을 것으로 예상된다. ‘스파이더맨’을 비롯한 소니의 대작 영화 몇 편의 제작을 지원할 수 있을 전망이다.
내부 인사가 확인해 준 바에 따르면, 영화제작 성과에 따라 파스칼은 4년 간 3,000만~4,000만 달러의 수입을 올릴 수 있다. 자신이 제작한 영화 수입의 일정 부분도 가져갈 수 있다. 린턴은 2월 파스칼의 후임으로 전 폭스 책임자이자 소니 트라이스타 브랜드 운영자였던 톰 로스먼 Tom Rothman을 임명했다(예산 편성에 주의를 많이 기울이는 인물로 알려져 있다).
그리고 린턴은 다시 소니와 함께 하기로 결정했다. 그는 2월 연장 계약에 서명했다. 아내와 딸들은 맨해튼으로 옮기기로 했지만, 린턴 자신은 두 연안을 오가며 출퇴근을 할 예정이다. 그는 2월 25일 전체회의에 참석한 직원들에게 “내가 떠난다는 소문을 들었을지 모르겠지만, 분명 그렇지 않다”고 밝힌 후 “계속 남을 것”이라고 강조했다.
영화 ‘인터뷰’는 추가로 한 가지 족적을 더 남기게 됐다. 주문형비디오로 제공하고 며칠간 큰 문제가 없자, 애플과 플레이스테이션, 넷플릭스 같은 다른 온라인 제공업체들이 영화를 공급하기 시작한 것이다. 지금까지 이 영화는 전 세계 영화관 수입으로 1,200만 달러를, 그리고 주문형비디오로 4,000만 달러 이상을 벌어들였다. 소니의 디지털 판매 실적으론 최고 기록이다. 하지만 스튜디오에서 제작한 작품치곤 실패한 쪽에 속한다.
해킹으로 인해 발생한 비용까지 더한다면, 계산은 더욱 우울해진다. 소니는 해킹으로 발생한 비용이 3월 말까지 4,100만 달러라고 발표했다. 물론 소니 같은 대기업에겐 감당할 정도의 액수다. 하지만 앞으로 비용이 더 많이 발생할 전망이다. 해킹에 대한 조사, IT 복구에 들어가는 비용과 줄어든 영화 수익을 고려해야 한다. 그 밖에도 직원의 개인정보를 유출시킨 취약한 사이버보안체계에 대한 소송이 시작될 것이다. 지금도 로스앤젤레스 연방법원에 7건의 개별 소송이 하나의 집단소송으로 취합되어 있는 상황이다.
소니는 위상 회복을 위해 힘쓰는 한편, 무너진 컴퓨터 네트워크를 재구성하는 노력도 진행 중이다. 다음에 있을지 모르는 해킹을 견뎌낼 수 있도록-실제로 견딜 수 있도록 일련의 대비책을 마련하고 있다. 소니의 ‘안전한 재구축’ 전략은 1년 정도 걸릴 것으로 예상되고 있다.
회사는 시간과 비용을 들여 스튜디오를 정상화시키면서, 해커들이 손쉽게 악용했던 수많은 약점들을 보완하고 있다. 새로운 계획의 전제조건은 ‘무신용(zero trust)’이다. 이 전제조건은 과거의 소니였다면 너무 불편하고 비싸서 고려하지 않았을 대비책도 요구하고 있다. 일단 해커가 침입하지 못하도록 막고, 침입을 허용했을 경우엔 가치 있는 그 무언가에 접근하지 못하도록 하며, 접근했을 땐 이를 훔쳐가지 못하도록 막는 것에 목표를 두고 있다.
안전한 운영 재개를 위해, 소니는 완전히 새로운 ‘화이트 네트워크 white network’를 구축하기 시작했다. 기존 ‘블랙 네트워크 black network’로부터의 감염 가능성을 완전히 차단한 네트워크다. 처음부터 인터넷 연결을 강력하게 제한하는 방식이다. 소니는 자체 활성 네트워크에 최소한의 정보만을 보관할 것이다. 나머지는 강화된 보안을 통해 보호할 것이며, 인터넷을 차단하고 암호화도 할 예정이다. 이메일은 주고 받은 후 몇 주가 지나면 별도로 보관하게 된다. 시스템 관리자는 업무에 필요한 영역에만 접근할 수 있게 된다. 직원들은 사전 승인 없이 그 어떤 애플리케이션도 설치하지 못한다. 소니의 모든 임직원은 2단계 로그인 절차를 거쳐야 프로세스를 진행할 수 있다. 방화벽 설정은 가장 엄격한 방식으로 제한이 이뤄질 예정이다. 스튜디오는 일련의 ‘차세대’ 사이버보안 기술을 도입할 계획이다.
이 모두가 구현되면 소니의 사이버보안은 큰 성장을 이룰수 있다. 그렇다면 이는 앞으로의 재앙을 막는 데 충분한 것일까? 사이버 전문가 루이스는 이런 종류의 질문은 잘못된 것이라고 지적한다. 그는 “리스크의 연속이라고 생각해보라”고 반문한다. “아무것도 할 수 없는, 즉 리스크가 100%인 상태가 있다. 혹은 많은 것을 해서 리스크를 10~15%까지 줄인 상태가 있다.” 소니는 지난 해 리스크가 100%에 가까웠고 이제는 그 수치를 낮추려 한다. 이는 피할 수 없는 과정이다. 이제 소니는 해커의-그리고 앙심을 품은 독재자의심기를 건드리지 않을 방법을 반드시 찾아야 한다.
<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>