소니인터랙티브엔터테인먼트(SIE)가 직원과 전 직원 개인 정보가 유출됐다는 걸 인정했다. 보도에 따르면 6,800명분 개인 정보가 유출됐으며 SIE는 관계자에게 데이터가 유출됐다는 걸 통지했다고 한다.
지난 5월 발견된 파일 전송 서비스(MOVEit Transfer)에 존재하는 제로데이 취약점(CVE-2023-34362)은 원격 코드 실행으로 이어지는 심각성이 높은 SQL 관련 결함이다. 이 취약점을 악용한 랜섬웨어 그룹 Cl0p가 6월 수백 개 기업에 기밀 정보를 노출하겠다며 협박을 한 것으로 알려졌다.
이후 Cl0p는 6월말 소니그룹을 피해자 목록에 추가했지만 소니는 이 랜섬웨어 공격에 대한 공식 성명을 내놓지 않았다.
보도에 따르면 소니가 Cl0p에 시스템이 침해된 건 5월 28일로 파일 전송 서비스 개발사(Progress Software)로부터 제로데이 취약성 존재를 들은 건 3일이 지난 5월 31일이었다고 한다. 소니가 데이터 유출 피해를 입은 직원에게 보낸 통보에는 2023년 6월 2일 자사가 데이터 다운로드 흔적을 발견하고 즉시 플랫폼을 오프라인으로 취약성을 복구했다고 밝혔다고 한다. 이후 소니는 외부 사이버 보안 전문가 지원을 받아 조사를 시작하고 있으며 법 집행 기관에도 해당 데이터 침해에 대해 연락을 취했다고 한다. 참고로 소니가 이번 데이터 침해 영향을 받은 건 특정 소프트웨어 플랫폼만이며 다른 시스템에는 영향이 없었다고 한다.
미국 메인주 측 공식 사이트에 따르면 이번 데이터 침해 피해자 총수는 6,791명이며 이 가운데 메인주 주민은 4명이라고 한다. 그 밖에도 다른 랜섬웨어 그룹(Ransomed.vc)이 소니 모든 시스템을 해킹했다고 주장하며 소니 내부 로그인 페이지 스크린샷, 테스트 벤치마크 사항을 설명한 파워포인트 자료, 복수 자바 파일 등 소니가 보유한 6,000개 파일에 액세스할 수 있다고 주장하고 있다. 소니 측은 조사를 진행 중이라면서도 내부 테스트에 사용되는 일본 내 단일 서버 활동을 확인했으며 서버에 저장되어 있거나 다른 소니 시스템이 영향을 받았다는 징후가 없기 때문에 경영에 악영향은 미치지 않는다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.