.gif)
증권거래위원회가 직접 나섰다는 건 “업계 치부 드러낸 수치”
앞으로 기업 운영에 있어 사이버 보안 투자 강제로 늘려야 할 수도
[보안뉴스 문가용 기자] 증권거래위원회(Securities and Exchange Commission, SEC)가 지난 해 드러난 야후 대규모 유출 사고에 대한 수사를 시작했다고 발표했다. 수사의 초점은 야후가 과거 두 차례나 발생했던 대형 유출 사고를 의도적으로 숨겼느냐 아니냐에 맞춰져 있다. 기업들은 사이버 보안 사고로 인해 투자자들에게 영향이 갈 경우 곧바로 증권거래위원회에 보고해야 한다.
증권거래위원회는 2014년에 발생했다고 알려진 정보 유출 사건을 보다 면밀히 조사할 것으로 보인다. 해당 사건을 통해 약 5억 명의 사용자가 피해를 입은 것으로 알려져 있는데, 이 사건이 공개된 것은 2년 후인 2016년 9월이었다. 리서치 전문업체인 포레스터(Forrester)의 수석 분석가인 제프 폴라드(Jeff Pollard)는 “유출 사고의 규모도 그렇지만, 보고의 측면에 있어서도 최악의 사건”이라고 설명한다.
“사건을 알리는 데 있어서 타이밍, 언어 선택, 소통 방법 등 모든 것이 다 최악이었습니다.” 폴라드는 “피해를 입은 사용자에 대한 이야기는 거의 이루어지고 있지 않는 것도 문제”라고 지적한다. “그런 일이 9월에 있은 후, 2013년 8월에 있었던 10억 명 사용자 정보 유출 사건을 2016년 12월에 발표했을 때는 그나마 좀 낫더군요. 유출 사고라는 게 너무 빈번히 일어나 기업이나 고객들 전부 이에 무감각해진 경향이 있지만, 그렇다고 야후가 잘 한 건 아닙니다.”
야후의 ‘보안 사고’에 대해 증권거래위원회가 조사를 시작했다는 것 자체가 보안 업계엔 큰 의미를 가진다. ‘보안 사고’를 고객이나 파트너사 등 관계자들에게 알리는 것에 있어 아직 이렇다 할 표준이 정립된 것도 없으며, 특별한 논의가 진행되고 있지도 않다는 치부가 드러났기 때문이다. 미루고 미루던 ‘우리’ 골칫거리가 다른 사람의 눈에도 띄게 된 것이다. “업계 전체가 창피해야 할 일”이라고 폴라드는 설명한다.
그렇다면 기업들은 정보 유출 사고 혹은 보안 사고가 일어났을 때 어느 정도 기간을 두고 공표해야 할까? 사건을 인지한 순간 즉시 발표를 감행해야 할까? 하지만 바로 발표하는 건 때에 따라 수사에 중대한 차질을 불러일으킬 수 있다. “비밀리에 수사를 진행해야만 하는 사건들이 꽤나 많이 존재합니다. 투명하게 대중에게 공개하는 것만이 능사는 아닌 것입니다.”
폴라드는 “그러나 특정 누군가에게 분명한 피해가 갈 것이 예상된다면 그 즉시 알려야 한다”고 주장한다. “대중에게 공개할 필요는 없겠지만, 그 특정 단체 및 인물들에겐 되도록 빨리 알려야 할 의무가 있습니다.”
야후의 경우 2013년과 2014년에 일어난 두 가지 사건을 버라이즌과의 M&A 시점에 발표했다는 것도 민감하게 작용하고 있다. 리버만 소프트웨어(Lieberman Software)의 부회장인 조나단 샌더(Jonathan Sander)는 “야후가 버라이즌과의 대형 계약 시점에 각종 헤드라인을 장식한 건 고의적”이라고 주장한다. 하지만 그 의도는 분명치 않다.
폴라드는 “증권거래소가 뭘 밝혀낼지는 잘 모르겠지만 사이버 보안 사고 및 공개 시점 문제가 법정에까지 도달하게 된다면, 앞으로 기업을 운영한다는 것이 훨씬 더 빡빡하고 엄격하게 변할 것으로 보인다”고 예상했다. “사이버 보안에 반은 강제적으로 더 투자해야 할 상황이 올 것으로 보입니다. 야후가 사건을 공개한 타이밍이 의도적이든 아니든 말이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
앞으로 기업 운영에 있어 사이버 보안 투자 강제로 늘려야 할 수도
[보안뉴스 문가용 기자] 증권거래위원회(Securities and Exchange Commission, SEC)가 지난 해 드러난 야후 대규모 유출 사고에 대한 수사를 시작했다고 발표했다. 수사의 초점은 야후가 과거 두 차례나 발생했던 대형 유출 사고를 의도적으로 숨겼느냐 아니냐에 맞춰져 있다. 기업들은 사이버 보안 사고로 인해 투자자들에게 영향이 갈 경우 곧바로 증권거래위원회에 보고해야 한다.
증권거래위원회는 2014년에 발생했다고 알려진 정보 유출 사건을 보다 면밀히 조사할 것으로 보인다. 해당 사건을 통해 약 5억 명의 사용자가 피해를 입은 것으로 알려져 있는데, 이 사건이 공개된 것은 2년 후인 2016년 9월이었다. 리서치 전문업체인 포레스터(Forrester)의 수석 분석가인 제프 폴라드(Jeff Pollard)는 “유출 사고의 규모도 그렇지만, 보고의 측면에 있어서도 최악의 사건”이라고 설명한다.
“사건을 알리는 데 있어서 타이밍, 언어 선택, 소통 방법 등 모든 것이 다 최악이었습니다.” 폴라드는 “피해를 입은 사용자에 대한 이야기는 거의 이루어지고 있지 않는 것도 문제”라고 지적한다. “그런 일이 9월에 있은 후, 2013년 8월에 있었던 10억 명 사용자 정보 유출 사건을 2016년 12월에 발표했을 때는 그나마 좀 낫더군요. 유출 사고라는 게 너무 빈번히 일어나 기업이나 고객들 전부 이에 무감각해진 경향이 있지만, 그렇다고 야후가 잘 한 건 아닙니다.”
야후의 ‘보안 사고’에 대해 증권거래위원회가 조사를 시작했다는 것 자체가 보안 업계엔 큰 의미를 가진다. ‘보안 사고’를 고객이나 파트너사 등 관계자들에게 알리는 것에 있어 아직 이렇다 할 표준이 정립된 것도 없으며, 특별한 논의가 진행되고 있지도 않다는 치부가 드러났기 때문이다. 미루고 미루던 ‘우리’ 골칫거리가 다른 사람의 눈에도 띄게 된 것이다. “업계 전체가 창피해야 할 일”이라고 폴라드는 설명한다.
그렇다면 기업들은 정보 유출 사고 혹은 보안 사고가 일어났을 때 어느 정도 기간을 두고 공표해야 할까? 사건을 인지한 순간 즉시 발표를 감행해야 할까? 하지만 바로 발표하는 건 때에 따라 수사에 중대한 차질을 불러일으킬 수 있다. “비밀리에 수사를 진행해야만 하는 사건들이 꽤나 많이 존재합니다. 투명하게 대중에게 공개하는 것만이 능사는 아닌 것입니다.”
폴라드는 “그러나 특정 누군가에게 분명한 피해가 갈 것이 예상된다면 그 즉시 알려야 한다”고 주장한다. “대중에게 공개할 필요는 없겠지만, 그 특정 단체 및 인물들에겐 되도록 빨리 알려야 할 의무가 있습니다.”
야후의 경우 2013년과 2014년에 일어난 두 가지 사건을 버라이즌과의 M&A 시점에 발표했다는 것도 민감하게 작용하고 있다. 리버만 소프트웨어(Lieberman Software)의 부회장인 조나단 샌더(Jonathan Sander)는 “야후가 버라이즌과의 대형 계약 시점에 각종 헤드라인을 장식한 건 고의적”이라고 주장한다. 하지만 그 의도는 분명치 않다.
폴라드는 “증권거래소가 뭘 밝혀낼지는 잘 모르겠지만 사이버 보안 사고 및 공개 시점 문제가 법정에까지 도달하게 된다면, 앞으로 기업을 운영한다는 것이 훨씬 더 빡빡하고 엄격하게 변할 것으로 보인다”고 예상했다. “사이버 보안에 반은 강제적으로 더 투자해야 할 상황이 올 것으로 보입니다. 야후가 사건을 공개한 타이밍이 의도적이든 아니든 말이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
