.gif)
야후가 비판 받는 이유 : 역대급 사건 규모와 이후 대처
M&A에 보안이 중요한 요소로 자리 잡고...임원진 보안 관심 필요해
[보안뉴스 문가용 기자] 정확히 20년 전인 1997년, 베스트셀러 목록에 홀연히 새로운 책이 이름을 등록했다. 북대서양해에서 침몰한 안드레아 게일(Andrea Gail)호의 실화를 바탕으로 한 세바스천 융거(Sebastian Junger)의 소설, 퍼펙트 스톰(Perfect Storm)이다. 퍼펙트 스톰이 여러 서가에서 날개돋힌 듯 팔려나갈 때, 야후가 이메일 서비스를 처음 시작했다. 야후 메일(Yahoo Mail)이다.
.jpg)
[이미지 = iclickart]
그 이후 퍼펙트 스톰이라는 용어는 대중적으로 널리 사용되기 시작했다. 원래는 두 개 이상의 평범한 태풍이 충돌해 영향력이 커지는 현상을 말하는 전문용어였는데, 이 소설 덕분에 여러 분야에서 ‘다양한 악재가 겹치는 일’을 말할 때 퍼펙트 스톰이란 표현을 아무렇지도 않게 사용하기 시작한 것이다. 그런데 이 말만큼 같은 해 탄생한 야후 메일의 유출 사고를 잘 설명하는 표현이 없다.
먼저 야후의 대규모 유출 사고에 대해 복기해보자.
* 2016년 9월, 야후는 고객 약 5억 명의 계정 정보가 2년 전에 도난당한 사실이 밝혀졌다고 발표했다. 그러면서 야후는 ‘국가가 후원하는 해커 부대’의 소행이라고 말했다. 물론 국가를 특정하지는 않았다. 그리고 같은 해 12월 야후는 2013년에도 10억 개의 계정이 해킹당했다고 발표했다.
* 그 후 야후는 지속적인 비판의 대상이 됐다. 미국 의회는 그러한 대규모 사건을 수년이 지난 후에야 발표했다는 점을 강력하게 비판하고 나섰다. 야후의 CEO인 마리사 메이어(Marissa Mayer)는 벌금을 물었고 수석 고문은 퇴임했다. 당시 버라이즌(Verizon)과의 M&A를 진행하고 있던 야후의 가치는 4조 8300억 원에서 3500억 원으로 뚝 떨어지기도 했다. 한편 미국 사법부는 러시아의 정보 기관이 이 사건에 연루되어 있다고 발표하기도 했다.
퍼펙트 스톰의 안드레아 게일호는 그저 운이 없게도 무서운 태풍을 만나 비극적인 최후를 맞이한 것일까? 물론 그런 면도 있지만 그 외에도 여러 가지 실수와 오류가 밑바탕에 깔렸었다. 장비가 제대로 작동하지 않았고, 다른 배들이 보내온 경고를 무시하면서 큰 수확만 꿈꿨던 것이다. 마찬가지로, 야후는 그저 러시아의 정보 기관이라는 무시무시한 공격 때문에 운 나쁘게 당한 피해자일까? 꼭 그렇지만은 않다. 적어도 다음 네 가지 요소가 야후 내부에서 작용했기 때문이다.
* CEO 수준에서의 보안 관리 체계가 거의 없었다. 이는 여러 기업들의 공통된 문제다. 보통 보안 책임자를 세워두면, CEO나 주요 임원진들은 보안에 대해 나 몰라라 한다. 그래서 모든 보안 사고에 대해 CISO들이 지나치게 부담스런 책임을 짊어지게 되고, 이 때문에 CISO들의 업무는 ‘책임 돌리고 피하기’에 집중되어 있다. 야후에서도 이런 분위기가 분명히 있었다.
* 보안은 조직계통의 ‘윗선’에서부터 시작해야 하는데, 야후에서는 그렇지 않았다. CEO들도 보안의 전략 수립 및 수행에 적극 개입해야 하며 위험을 관리한다는 개념을 이해해야 한다. 또한 부서 하나하나에서의 보안 전략 수행 사항을 점검하는 것 역시 CEO 및 임원진들의 몫이다. 보안 사고의 책임은 CEO의 어깨 위에 얹혀야 하며, 이로써 CISO가 진짜 ‘수문장’의 역할을 할 수 있도록 해줘야 한다.
* 꼼꼼한 위기 대응 계획은 모든 기업의 필수 사항이다. 놀랍게도 야후 정도나 되는 기업인데 사건 사고 대응 계획과 실천 방안이 전무하다시피 했다. 그렇기에 공격받은 사실을 파악하는 것 자체가 그렇게나 느렸던 것이다.
* 사건을 파악한 이후 대응도 정말 나빴다. 억 단위가 넘어가는 계정 유출 사건인데, 1) 이를 탐지한 것에 수년의 시간이 걸렸고, 2) 사건에 대한 정보를 조금씩 조금씩 흘리듯 공개한 것도 답답함만을 키웠으며, 3) 그런 답답함에 답을 주기는커녕 ‘나도 잘 모르겠다’는 태도를 보여주었다. 야후가 얼마나 보안 사고에 대한 대비가 되어있지 않은지를 보여준다.
야후의 이런 커다란 실패를 통해 다른 기업들은 뭘 배울 수 있을까?
1) M&A를 진행할 때 한 번 더 생각하라. 야후 사건은 침해된 계정의 숫자만으로도 역대급 사건인데, 기업의 역사적인 M&A가 진행 중에 있었다는 점 때문에 더 크게 부각됐다. M&A가 여기저기서 벌어지고 있는 때에 이 사건은 경각심을 심어주는 계기가 되었다. 사이버 보안의 수준이 M&A에 있어서 매우 중요한 요소가 된다는 게 확인되기도 했다.
2) 최고 임원진들이 보안에 적극 개입해야 한다. 물론 CEO가 CISO처럼 매일매일 보안의 잔무까지 꼬치꼬치 확인해야 한다는 건 아니다. 하지만 적어도 CISO에게 모든 것을 미뤄두고 보안은 내 일이 아니라고 여기는 건 위험하다는 것이다. 임원진들이 보안에 참여하는 방법은 크게 두 가지인데, 하나는 자기들이 몸소 보안 정책들을 지켜내는 것이고, 다른 하나는 경영 회의에 보안을 적극 주제로 삼는 것이다.
3) 법이나 정책을 보다 엄격하게 적용해야 한다. 현재 개인정보의 범위를 어디까지 두느냐, 식별 정보와 비식별 정보의 범위를 어디로 결정하느냐에 대한 논의가 계속해서 진행되고 있다. 야후에서 도난당한 사용자 ID와 비밀번호가 식별 정보냐 비식별 정보냐 역시 주장이 갈리고 있는 게 현실이다. 법이란 게 원래 만들어지고 발효되는 데에 시간이 많이 걸리긴 하는데, 기업들은 사내 정책으로서 이런 것들을 미리 엄격하게 정해서 보안을 철저히 할 필요가 있다.
야후가 겪은 사건을 가장 큰 사건으로 기록처럼만 남길 것인가, 아니면 가장 배울 것이 많았던 계기로 삼을 것인가. 그것은 앞으로 우리의 대처에 따라 판결될 것이다.
글 : 제이콥 올콧(Jacob Olcott)
[국제부 문가용 기자(globoan@boannews.com)]
M&A에 보안이 중요한 요소로 자리 잡고...임원진 보안 관심 필요해
[보안뉴스 문가용 기자] 정확히 20년 전인 1997년, 베스트셀러 목록에 홀연히 새로운 책이 이름을 등록했다. 북대서양해에서 침몰한 안드레아 게일(Andrea Gail)호의 실화를 바탕으로 한 세바스천 융거(Sebastian Junger)의 소설, 퍼펙트 스톰(Perfect Storm)이다. 퍼펙트 스톰이 여러 서가에서 날개돋힌 듯 팔려나갈 때, 야후가 이메일 서비스를 처음 시작했다. 야후 메일(Yahoo Mail)이다.
[이미지 = iclickart]
그 이후 퍼펙트 스톰이라는 용어는 대중적으로 널리 사용되기 시작했다. 원래는 두 개 이상의 평범한 태풍이 충돌해 영향력이 커지는 현상을 말하는 전문용어였는데, 이 소설 덕분에 여러 분야에서 ‘다양한 악재가 겹치는 일’을 말할 때 퍼펙트 스톰이란 표현을 아무렇지도 않게 사용하기 시작한 것이다. 그런데 이 말만큼 같은 해 탄생한 야후 메일의 유출 사고를 잘 설명하는 표현이 없다.
먼저 야후의 대규모 유출 사고에 대해 복기해보자.
* 2016년 9월, 야후는 고객 약 5억 명의 계정 정보가 2년 전에 도난당한 사실이 밝혀졌다고 발표했다. 그러면서 야후는 ‘국가가 후원하는 해커 부대’의 소행이라고 말했다. 물론 국가를 특정하지는 않았다. 그리고 같은 해 12월 야후는 2013년에도 10억 개의 계정이 해킹당했다고 발표했다.
* 그 후 야후는 지속적인 비판의 대상이 됐다. 미국 의회는 그러한 대규모 사건을 수년이 지난 후에야 발표했다는 점을 강력하게 비판하고 나섰다. 야후의 CEO인 마리사 메이어(Marissa Mayer)는 벌금을 물었고 수석 고문은 퇴임했다. 당시 버라이즌(Verizon)과의 M&A를 진행하고 있던 야후의 가치는 4조 8300억 원에서 3500억 원으로 뚝 떨어지기도 했다. 한편 미국 사법부는 러시아의 정보 기관이 이 사건에 연루되어 있다고 발표하기도 했다.
퍼펙트 스톰의 안드레아 게일호는 그저 운이 없게도 무서운 태풍을 만나 비극적인 최후를 맞이한 것일까? 물론 그런 면도 있지만 그 외에도 여러 가지 실수와 오류가 밑바탕에 깔렸었다. 장비가 제대로 작동하지 않았고, 다른 배들이 보내온 경고를 무시하면서 큰 수확만 꿈꿨던 것이다. 마찬가지로, 야후는 그저 러시아의 정보 기관이라는 무시무시한 공격 때문에 운 나쁘게 당한 피해자일까? 꼭 그렇지만은 않다. 적어도 다음 네 가지 요소가 야후 내부에서 작용했기 때문이다.
* CEO 수준에서의 보안 관리 체계가 거의 없었다. 이는 여러 기업들의 공통된 문제다. 보통 보안 책임자를 세워두면, CEO나 주요 임원진들은 보안에 대해 나 몰라라 한다. 그래서 모든 보안 사고에 대해 CISO들이 지나치게 부담스런 책임을 짊어지게 되고, 이 때문에 CISO들의 업무는 ‘책임 돌리고 피하기’에 집중되어 있다. 야후에서도 이런 분위기가 분명히 있었다.
* 보안은 조직계통의 ‘윗선’에서부터 시작해야 하는데, 야후에서는 그렇지 않았다. CEO들도 보안의 전략 수립 및 수행에 적극 개입해야 하며 위험을 관리한다는 개념을 이해해야 한다. 또한 부서 하나하나에서의 보안 전략 수행 사항을 점검하는 것 역시 CEO 및 임원진들의 몫이다. 보안 사고의 책임은 CEO의 어깨 위에 얹혀야 하며, 이로써 CISO가 진짜 ‘수문장’의 역할을 할 수 있도록 해줘야 한다.
* 꼼꼼한 위기 대응 계획은 모든 기업의 필수 사항이다. 놀랍게도 야후 정도나 되는 기업인데 사건 사고 대응 계획과 실천 방안이 전무하다시피 했다. 그렇기에 공격받은 사실을 파악하는 것 자체가 그렇게나 느렸던 것이다.
* 사건을 파악한 이후 대응도 정말 나빴다. 억 단위가 넘어가는 계정 유출 사건인데, 1) 이를 탐지한 것에 수년의 시간이 걸렸고, 2) 사건에 대한 정보를 조금씩 조금씩 흘리듯 공개한 것도 답답함만을 키웠으며, 3) 그런 답답함에 답을 주기는커녕 ‘나도 잘 모르겠다’는 태도를 보여주었다. 야후가 얼마나 보안 사고에 대한 대비가 되어있지 않은지를 보여준다.
야후의 이런 커다란 실패를 통해 다른 기업들은 뭘 배울 수 있을까?
1) M&A를 진행할 때 한 번 더 생각하라. 야후 사건은 침해된 계정의 숫자만으로도 역대급 사건인데, 기업의 역사적인 M&A가 진행 중에 있었다는 점 때문에 더 크게 부각됐다. M&A가 여기저기서 벌어지고 있는 때에 이 사건은 경각심을 심어주는 계기가 되었다. 사이버 보안의 수준이 M&A에 있어서 매우 중요한 요소가 된다는 게 확인되기도 했다.
2) 최고 임원진들이 보안에 적극 개입해야 한다. 물론 CEO가 CISO처럼 매일매일 보안의 잔무까지 꼬치꼬치 확인해야 한다는 건 아니다. 하지만 적어도 CISO에게 모든 것을 미뤄두고 보안은 내 일이 아니라고 여기는 건 위험하다는 것이다. 임원진들이 보안에 참여하는 방법은 크게 두 가지인데, 하나는 자기들이 몸소 보안 정책들을 지켜내는 것이고, 다른 하나는 경영 회의에 보안을 적극 주제로 삼는 것이다.
3) 법이나 정책을 보다 엄격하게 적용해야 한다. 현재 개인정보의 범위를 어디까지 두느냐, 식별 정보와 비식별 정보의 범위를 어디로 결정하느냐에 대한 논의가 계속해서 진행되고 있다. 야후에서 도난당한 사용자 ID와 비밀번호가 식별 정보냐 비식별 정보냐 역시 주장이 갈리고 있는 게 현실이다. 법이란 게 원래 만들어지고 발효되는 데에 시간이 많이 걸리긴 하는데, 기업들은 사내 정책으로서 이런 것들을 미리 엄격하게 정해서 보안을 철저히 할 필요가 있다.
야후가 겪은 사건을 가장 큰 사건으로 기록처럼만 남길 것인가, 아니면 가장 배울 것이 많았던 계기로 삼을 것인가. 그것은 앞으로 우리의 대처에 따라 판결될 것이다.
글 : 제이콥 올콧(Jacob Olcott)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
