2016년, 데이터센터 두 곳 해체하고 지역 사무소 한 곳 장비 업그레이드
금융 산업 전체를 향한 메시지...“데이터 파괴 절차 철저히 감독하라”
[보안뉴스 문가용 기자] 미국의 통화감독국이 대형 투자 은행인 모건 스탠리(Morgan Stanley)에 6천만 달러의 벌금형을 부과했다. 서드파티 업체와의 협력을 통해 데이터센터를 해체하는 과정에서 감독 역할을 소홀히 해 고객 정보를 안전하게 보호하지 못했기 때문이라고 한다.
[이미지 = utoimage]
문제의 데이터센터 해체 작업은 지난 2016년에 진행된 일이다. 자산 관리와 관련된 데이터센터 두 곳을 없애는 작업을 하는 과정 중 개인정보를 삭제하는 일을 외주로 처리했는데, 이 때 감독 역할을 하지 않았다는 것이 통화감독국의 설명이다.
“하드웨어 해체, 서드파티 업체와의 협력 관계 형성 등에서 올 수 있는 위험 요소들을 효과적으로 평가하지 못했으며, 장비들에 저장된 고객 정보를 제대로 유지하는 데에도 실패했다”는 게 통화감독국의 결론이다. 또한 한 지역 사무소의 네트워크 장비들을 교체할 때도 감독 임무를 제대로 수행하지 않았다고 한다.
이 결과는 한 달 전 모건 스탠리의 고객들이 단체로 낸 소송의 결과다. 모건 스탠리를 고발한 고객들은 “은행이 장비를 새 것으로 교체하고 헌 것을 버리는 과정에서 개인 식별 정보를 제대로 보호하지 않았다”고 주장했었다. 노출된 정보는 고객들의 이름, 고객 번호, 계좌번호, 사회 보장 번호, 여권 번호, 연락처, 생년월일, 자산 관련 정보 등이었다고 한다. 약 100명이 이 소송에 참여했다.
모건 스탠리가 벌금형에 처해진 가장 큰 이유 중 하나는 은행이 보호해야 할 데이터를 제대로 평가하지 않았다는 것이라고 한다. “데이터를 생성하는 게 아니라 관리하고 활용하는 조직들은, 자신들이 보유하게 된 데이터, 즉 보호해야 할 데이터를 평가하고 파악하는 절차를 제대로 밟지 않으려는 경향을 가지고 있습니다. 금고를 가지고 있기는 한데, 금고 안에 뭐가 있으며 어떤 가치를 가지고 있는지 모르는 겁니다.” 통화감독국의 설명이다.
이 말은 모건 스탠리가 장비 및 데이터 자산을 전부 모으고 정리한 ‘체크리스트’를 처음부터 작성하지 않았다는 뜻이 된다. 데이터와 프라이버시 전문 변호사인 리차드 산타레사(Richard Santalesa)는 블로그를 통해 “벌금의 규모를 보건데, 감독국이 선례를 만들고 싶어 하는 것 같다”는 의견을 내기도 했다. 즉 대형 금융 조직이라면 개인 식별 정보를 보다 엄격하고 확실하게 관리해야 한다는 메시지를 선포한 것이라는 뜻이다.
그러면서 “내가 지금 금융권 CISO나 CIO 혹은 그에 준하는 임원진이었다면, 당장 다음에 있을 경영진 회의를 위해 ‘데이터 파괴 및 삭제 절차 검토’라는 안을 준비했을 것”이라고 쓰기도 했다. “아마 이 벌금 소식을 보고 예리한 금융권 정보 보호 책임자들은 움직이기 시작했을 겁니다. 금융 산업의 데이터 파괴 절차가 이제 엄격한 관리 체제 안에 들어가야 한다는 것을 느꼈을 테니까요.”
통화감독국은 지난 8월에도 캐피탈 원(Capial One)에 8천만 달러의 벌금형을 내리기도 했다. 2019년 대형 정보 유출 사고 전부터 보안 기능을 제대로 수행하지 않았다는 것이 그 이유였다. 이는 작년 약 1억 명의 미국 및 캐나다 시민들의 개인정보가 유출된 사건을 말한다.
3줄 요약
1. 2016년 데이터센터 작업 시 데이터 파괴 제대로 하지 않은 모건 스탠리.
2. 서드파티에 맡겨놓고서는 감독 소홀. 이에 100여 명의 고객들이 단체로 소송 시작.
3. 그 결과로 통화감독국은 6천만 달러의 벌금형을 내림.
[국제부 문가용 기자(globoan@boannews.com)]
금융 산업 전체를 향한 메시지...“데이터 파괴 절차 철저히 감독하라”
[보안뉴스 문가용 기자] 미국의 통화감독국이 대형 투자 은행인 모건 스탠리(Morgan Stanley)에 6천만 달러의 벌금형을 부과했다. 서드파티 업체와의 협력을 통해 데이터센터를 해체하는 과정에서 감독 역할을 소홀히 해 고객 정보를 안전하게 보호하지 못했기 때문이라고 한다.
[이미지 = utoimage]
문제의 데이터센터 해체 작업은 지난 2016년에 진행된 일이다. 자산 관리와 관련된 데이터센터 두 곳을 없애는 작업을 하는 과정 중 개인정보를 삭제하는 일을 외주로 처리했는데, 이 때 감독 역할을 하지 않았다는 것이 통화감독국의 설명이다.
“하드웨어 해체, 서드파티 업체와의 협력 관계 형성 등에서 올 수 있는 위험 요소들을 효과적으로 평가하지 못했으며, 장비들에 저장된 고객 정보를 제대로 유지하는 데에도 실패했다”는 게 통화감독국의 결론이다. 또한 한 지역 사무소의 네트워크 장비들을 교체할 때도 감독 임무를 제대로 수행하지 않았다고 한다.
이 결과는 한 달 전 모건 스탠리의 고객들이 단체로 낸 소송의 결과다. 모건 스탠리를 고발한 고객들은 “은행이 장비를 새 것으로 교체하고 헌 것을 버리는 과정에서 개인 식별 정보를 제대로 보호하지 않았다”고 주장했었다. 노출된 정보는 고객들의 이름, 고객 번호, 계좌번호, 사회 보장 번호, 여권 번호, 연락처, 생년월일, 자산 관련 정보 등이었다고 한다. 약 100명이 이 소송에 참여했다.
모건 스탠리가 벌금형에 처해진 가장 큰 이유 중 하나는 은행이 보호해야 할 데이터를 제대로 평가하지 않았다는 것이라고 한다. “데이터를 생성하는 게 아니라 관리하고 활용하는 조직들은, 자신들이 보유하게 된 데이터, 즉 보호해야 할 데이터를 평가하고 파악하는 절차를 제대로 밟지 않으려는 경향을 가지고 있습니다. 금고를 가지고 있기는 한데, 금고 안에 뭐가 있으며 어떤 가치를 가지고 있는지 모르는 겁니다.” 통화감독국의 설명이다.
이 말은 모건 스탠리가 장비 및 데이터 자산을 전부 모으고 정리한 ‘체크리스트’를 처음부터 작성하지 않았다는 뜻이 된다. 데이터와 프라이버시 전문 변호사인 리차드 산타레사(Richard Santalesa)는 블로그를 통해 “벌금의 규모를 보건데, 감독국이 선례를 만들고 싶어 하는 것 같다”는 의견을 내기도 했다. 즉 대형 금융 조직이라면 개인 식별 정보를 보다 엄격하고 확실하게 관리해야 한다는 메시지를 선포한 것이라는 뜻이다.
그러면서 “내가 지금 금융권 CISO나 CIO 혹은 그에 준하는 임원진이었다면, 당장 다음에 있을 경영진 회의를 위해 ‘데이터 파괴 및 삭제 절차 검토’라는 안을 준비했을 것”이라고 쓰기도 했다. “아마 이 벌금 소식을 보고 예리한 금융권 정보 보호 책임자들은 움직이기 시작했을 겁니다. 금융 산업의 데이터 파괴 절차가 이제 엄격한 관리 체제 안에 들어가야 한다는 것을 느꼈을 테니까요.”
통화감독국은 지난 8월에도 캐피탈 원(Capial One)에 8천만 달러의 벌금형을 내리기도 했다. 2019년 대형 정보 유출 사고 전부터 보안 기능을 제대로 수행하지 않았다는 것이 그 이유였다. 이는 작년 약 1억 명의 미국 및 캐나다 시민들의 개인정보가 유출된 사건을 말한다.
3줄 요약
1. 2016년 데이터센터 작업 시 데이터 파괴 제대로 하지 않은 모건 스탠리.
2. 서드파티에 맡겨놓고서는 감독 소홀. 이에 100여 명의 고객들이 단체로 소송 시작.
3. 그 결과로 통화감독국은 6천만 달러의 벌금형을 내림.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
