2017년 최악의 보안사고 7선

evans 2017. 12. 16. 21:36

http://www.boannews.com/media/view.asp?idx=58592&page=3&mkind=1&kind=1

우버, 에퀴팩스, 미 증권거래위, 스웨덴, 앤섬, 워너크라이, 야후
보안사고가 기업에 얼마나 비싼 값을 치르게 하는지 증명한 1년

[보안뉴스 오다인 기자] 정보가 유출되건 말건 상관하지 않았던 시대는 갔다. 보안사고가 일자리 보전에 아무런 영향을 미치지 못했던 시대도 지났다. 올 한 해는 기업들이 이런 사실을 분명하게 확인할 수 있었던 시간이었다. 실수가 발생할 때 고위 간부들이 어떻게 책임을 지게 되는지, 안 좋은 소식이 바람을 타고 몰려올 때 최고경영자의 개인 자산에 어떤 영향이 오는지 지난 1년 동안 사람들은 두 눈으로 확인할 수 있었다.

[이미지=iclickart]

다음은 2017년 발생한 보안사고 중 최악을 나열한 것이다.

우버 CSO와 부CSO는 해임됐다
5,700만 개 계정을 유출시킨 우버(Uber) 사태는 해커에게 100,000달러를 주면서 입막음하려 했다는 사실이 드러나며 일파만파로 커졌다. 헌데 당시 CEO였던 트래비스 칼라닉(Travis Kalanick)은 이미 궁지에 몰려있던 상태. 보안사고에 대한 책임과 더불어, 이후 따라온 문제들을 비윤리적으로 처리한 데 대한 책임을 물을 사람이 마땅치 않았다. 그러나 누가 나가게 될지는 결국 분명해졌다. 우버는 CSO 조 설리반(Joe Sullivan)과 부CSO 크레이그 클라크(Craig Clark)에게 책임을 묻고 해임한다고 발표했다.

에퀴팩스 주가는 수십억 달러 떨어졌다
올해 전까지만 해도, 정보유출 사고가 주가에 미치는 영향은 그리 크지 않다는 믿음이 지배적이었다. 최근 연구에 따르면 이는 더 이상 사실이 아니다. 에퀴팩스(Equifax)에 일어난 초대형 보안사고는 주식 시장이 심각한 보안사고를 겪은 기업을 어떻게 처벌하는지 보여준 대표적인 사례다. 1억 4,300만 명의 피해자를 낳은 이 사고로 인해 에퀴팩스는 시가총액에서 4조 4억 원(40억 달러)의 손실을 겪었다.

혹시 누군가 보안사고 후에 떨어진 주가는 빨리 회복되는 법이라고 말하더라도 믿지 마라. 에퀴팩스 사태가 벌어진 지 거의 3달이 됐지만 에퀴팩스 주식은 유출이 알려지기 전보다 아직 20% 이상 떨어진 상태다.

에퀴팩스 경영진은 떼죽음을 당했다
CSO 한 명 자른다고 초대형 보안사고로 시가총액 수조 원을 손실한 기업의 문제가 모두 해결될 리 없었다. 에퀴팩스는 사태 발발 후 몇 개월에 걸쳐 CSO, CIO, CEO까지 자리에서 물러나게 했다. 물론, 이 CEO란 사람이 퇴직 수당으로 수백만 달러를 챙겨간 것도 사실이다. 그러나 에퀴팩스 사건 전체 맥락을 보면, 보안사고에 대한 대중들의 비판이 마침내 이사진에게까지 영향을 미치고 있다는 사실이 증명됐다고 할 수 있다.

미국 증권거래위 위원장은 상원의 닦달에 시달렸다
지난 9월 미국 증권거래위원회(SEC: Securities and Exchange Commission)는 전자공시등록시스템 에드가(EDGAR)가 작년에 해킹됐다는 사실에 대해 뒤늦게 발표했다. 에드가가 해킹됐다는 건 주식 거래 정보의 무결성을 해칠 수 있는 사안이라 큰 파장이 일었다. SEC 위원장 제이 클레이튼(Jay Clayton)은 해킹이 벌어졌을 당시엔 위원장이 아니었기 때문에, 취임할 때만 해도 자신이 실업할지도 모르는 대형 사고에 휘말릴 줄은 전혀 몰랐을 것이다. 어찌됐건 클레이튼은 이번 가을 동안 입법자들의 질문 공세를 받아야 했다.

스웨덴 관료들은 알아서 퇴임할 것을 종용받았다
앞서 여름엔 스웨덴 정부 공직자들이 스캔들에 휘말렸다. 스웨덴 정부 부처 몇 곳이 IT 운영과 데이터 관리를 아웃소싱했는데, 관리소홀로 국민들의 개인정보와 국가 기밀정보가 대량 유출된 데 따른 것이었다. 이 사건으로 인해 스웨덴 내무부 및 사회기반시설 부처의 수장들이 축출됐다.

앤섬은 역사상 최대의 정보유출 합의금을 지불했다
정보유출과 관련한 고객 손해배상 수준은 계속해서 높아지고 있다. 그 중에서도 2017년은 보안사고에 대한 집단소송 합의에 있어 새로운 기준을 세운 해였다. 보험회사 앤섬(Anthem)은 2015년 8,000만 명의 환자 기록을 유출한 것과 관련, 1,254억 원(1억 1,500만 달러)의 합의금을 지불하는 것으로 소송을 매듭지었다. 이는 정보유출로 지불된 합의금 중 역사상 최대 수준이다.

워너크라이는 영국 병원들을 문 닫게 했다
보안사고는 단지 일자리나 자산만 위험하게 만드는 것이 아니다. 때로는 누군가의 생명까지 위험에 처하게 한다. 이런 사실은 올 봄 발생한 워너크라이(WannaCry) 사태에서도 증명됐다. 워너크라이 랜섬웨어는 영국의 국민보건서비스(NHS) 소속 병원을 강타했다. 이로 인해 영국의 16개 병원이 운영에 지장을 받았다. 이들 병원은 IT 전문가들이 문제를 해결하기 위해 작업하는 동안 운영을 중단할 수밖에 없었으며 이에 환자들도 위험에 방치됐다.

버라이즌은 3,800억 원 할인가로 야후를 인수했다
2017년은 야후(Yahoo)에 흑역사의 해로 남을 것이다. 작년 말 대규모 고객 정보유출을 공지한 뒤, 야후에는 끊임없이 나쁜 소식이 날아들었다. 당시 피해 고객 수는 10억 명으로 발표됐다. 야후 사태는 보안사고가 현실에서 얼마나 비싼 값을 치르게 하는지 증명했다. 이 사고를 이유로 올해 버라이즌(Verizon)은 야후를 인수할 때 무려 3,800억 원(3억 5,000만 달러)을 깎았기 때문이다. 그러나 야후에 희소식도 있다. 버라이즌과의 계약이 성사되고 난 뒤, 야후 고객 전체인 30억 명 모두가 정보유출 피해자였다는 사실이 드러났기 때문이다.

마리사 메이어는 보안사고 이후 수백만 달러의 개인 자산을 잃었다
야후와 버라이즌은 일단 인수가 성사되면 야후 CEO 마리사 메이어(Marissa Mayer)를 해임하자는 데 합의한 상태였기 때문에 3년이나 된 보안사고를 이유로 메이어를 그보다 더 빨리 내보내는 건 온당치 않아 보였다. 그럼에도 불구하고 이사진은 메이어를 본보기 삼아 선례를 구축했다. 메이어는 임기 중 야후가 고객정보를 잘못 처리한 데 대해 22억 원(200만 달러)의 보너스를 잃었고, 주식보상에서는 최대 131억 원(1,200만 달러)을 잃은 것으로 알려졌다.
[국제부 오다인 기자(boan2@boannews.com)]

저작자표시