최근 국내외에서 대형 전산 사고가 몇 건 터졌다. 그 중에 관심이 가는 몇몇 건에 대한 잡상. 이 이하의 내용은 허구이며 나 자신 혹은 내 고용주와 무관하다. 진지하게 받아들이면 지는 거임.
현대 캐피털 해킹 사건은 돈을 노리고 했다는 정황이 명확해 보인다. 돈을 요구했고, 이에 따라 사태가 열심히 진행 (중?) 한듯하니… 그와 반대로 농협의 이번 전산 사고나 Sony의 PSN 해킹 사고는 방향이 약간 다른 것 같다. 두 곳 모두 금전적인 요구 혹은 기타 요구가 전혀 없었다. 일반적인 목적(?)은 아니라는 의미. 그리고 두 곳 모두 최근 내부 혹은 외부 개발자들에게 원성이 높았다는 것.
우선 농협 건. 한국 내 SI가 막장으로 악명이 높은데 그 중 가장 흉흉한 얘기가 나도는 곳이 농협, 한전, KT다. 계속된 야근으로 면역력이 약해져서 폐결핵에 걸려 폐 일부를 절제했다거나, 한 달에 그날 퇴근하는 날 수는 주말 포함해서 이틀 정도라거나… 한마디로 악명이 높았음. ((이건 딴 얘기지만, 이 글 읽는 후배들은 학사/석사로 어느 회사로 갈지 고민하고 있다면, NHN을 필두로 한 일부 웹 서비스 회사, 혹은 Nexon/NCsoft 등을 필두로 한 일부 게임 회사 쪽을 생각하는게 여러모로 SW 엔지니어로 일하긴 좋다(…)고 추천하겠다. 아니 그 이전에 아주 일부의 벤쳐를 빼고나면 사실 상 SW 엔지니어로 일할 곳 자체가 이 이외에는 별로 없다.))
다시 본론으로 돌아와서, Sony의 경우 초기에는 플랫폼을 약간 개방해서 PS3에 타 OS를 설치할 수 있게했는데, 언제부턴가 이걸 막아 버렸다. 그걸 한 해커가 우회하는데 성공했는데 이걸 소니가 변호인단 구성해서 고소해버리고, 이 건과 관련된 유튜브, 페이팔 계정등에 대한 접속 기록을 요구한 것. 미국 법 상 이런 형태의 역공학은 불법이 아닐텐데 말이다. 그래서 여론이 매우 나빴음… 그리고 지난 달 말에 PlayStation Network (PSN) 계정 정보 — 신용 카드 정보까지 포함해서! — 가 탈탈 털렸다. 이 계정 수가 자그만치 7700만 명(…) 분량이라 아마 한 동안 이런 기록(?)이 또 나오진 못하지 않을까 싶다. 게다가 아직까지 이 정보를 이용한 추가적인 크랙킹/피싱이 이루어지지 않는 걸로 봐서 내 가정(?)을 약간은 뒷받침함… 덤으로(…), EverQuest 등을 서비스하는 SOE도 같이 털렸음. Sony 경영진도 도요타 때 처럼 미국 의회에 서게 될듯 -_-;
그래서 이 사건들은 시스템의 일부를 ‘만드는’ 사람, 혹은 이런 행위에 분개한 누군가의 복수가 아닐까 하는 것. 농협의 경우 내부든 하청이든 빡돈 개발자가 crontab에 삭제 명령 집어넣은 것 같다. 최소한의 코드(및 삽질 및 준비 기간)으로 이번 사고를 설명할 수 있음. 소니의 경우에도 회사의 닭짓에 불만을 품은 직원이 구멍을 심어 놓았을 수 있다. 혹은 외부 해킹의 빌미를 줄만한 정보를 흘렸을 수도 있다. 물론 제일 가능성이 높은건 이런 일에 빡돈 누군가, 혹은 누군가들이 작년 연말의 Gawker 해킹 사고처럼 벌인 일인 것 같지만. ((고소 당한 해커는 자신의 연관성을 부정했고, 그간의 기록을 볼 때 이쪽 부분에 정통한 류도 아니라서… ))
여하튼 내 생각을 정리하자면 이렇다. 현대의 네트워크 구성에서 한 시스템을 통채로 통제한다는 건 불가능하다. Attack surface가 남아 있을 수 밖에 없고, 내부 개발자나 실제 사용자들에게 이 면적이 훨씬 넓을 수 밖에 없다. 그걸 생각하면 내가 생각하는 형태의 사고를 예방할 방법은내부 개발자에게 좀 더 제대로 대우하는 것. 그리고, 한국 대기업들처럼 수시로 고소 드립하는건 적어도 일반 고객들과 직접 대면 하는 기업들에겐 지양할 일이다.