Breaking
사이버 보안(Cybersecurity)
상원 보고서에서 밝혀진 에퀴팩스의 '의무 소홀'
2019-05-28 17:51:30
허서윤
▲에퀴팩스는 2017년에 대규모 데이터 유출 사고를 겪었다(사진=ⓒ셔터스톡)

[라이헨바흐=허서윤 기자] 기업에게 데이터 유출 사고는 악몽 같은 일이다. 기업의 데이터가 유출되면 고통받는 인물에는 기업뿐만 아니라 고객들, 주주들까지 포함되기에 기업은 사이버 보안이 침해당할 경우 모든 이에게 보상하고 책임을 져야 한다. 많은 이해 관계자들이 기업의 잘못된 사이버 보안 대책에 의문을 제기할 것이며 그 결과 데이터 유출 이후 기업이 실수를 인정한다면 이 회사의 평판은 땅에 떨어진다.

미국의 3대 개인 신용 평가 회사인 에퀴팩스(Equalia, Inc.)는 2017년에 대규모 데이터 유출 사고를 겪었다. 그리고 최근 미국 상원에 제출된 보고서에 따르면 이 회사는 자체 정책을 따르지 않고 전적으로 사이버 보안을 무시했으며, 이에 따라 수백만 명의 데이터가 유출됐다고 한다.

우선순위를 확인하지 않았다

에퀴팩스는 앞서 언급했듯 2017년에 대규모 데이터 유출 사고를 겪었다. 회사가 사건을 발표했을 당시 약 1억 4,300만 건의 기록이 손상됐다. 한 달 후에는 250만 건의 손상된 기록이 추가됐다.

최근 상원 국토 안보 및 정부 담당 소위원회에서 열린 청문회에서, 이미 1년 이상 지난 이 사건에 대한 내용이 다시 다뤄졌다. 에퀴팩스가 회사의 업무상 대중의 신뢰가 매우 중요한데도 불구하고 사이버 보안을 무시했다는 정황이 드러났기 때문이다.

'에퀴팩스가 사이버 보안을 무시하고 대규모 데이터 유출을 겪은 과정'이라는 제목의 보고서에 따르면 이 기업은 사이버 보안 관행이 취약했고 위협 완화에 대한 대응이 부적절했다는 여러 가지 주장이 제기됐다.

에퀴팩스는 작은 위험에서 중요한 위험에 이르기까지 시스템 내에 취약점이 존재한다는 사실을 이미 알고 있었지만 2015년 이전까지도 이 모든 취약점에 패치를 적용해야 한다는 회사 정책이 존재하지 않았다. 이 내용만 보면 에퀴팩스는 고객의 개인 정보 보호 및 정보의 기밀 유지에 우선 순위를 두지 않은 것으로 생각된다.

이 취약점이 조정되지 않으면 에퀴팩스의 네트워크 외부에 있는 사람들이 에퀴팩스의 내부 정보에 접근할 수 있다. 에퀴팩스에 대한 2015년 감사 보고서에 따르면 이 회사의 백로그에는 1,000개 이상의 매우 높음, 높음, 중간 단계의 위험이 발견됐다고 한다.

결국 이런 취약점이 해결되지 않은 채 방치됐고, 2017년의 대규모 데이터 유출 사고로 이어졌다.

▲에퀴팩스의 데이터 유출 사고로 1억 4,000만 건이 넘는 기록이 손상됐다(사진=ⓒ셔터스톡)

데이터 유출, '낮은 책임'

에퀴팩스는 사이버 보안 침해에 대해 명백한 과실을 저질렀으며, 회사 자체적으로 정한 정책도 따르지 않은 것으로 보인다.

이 회사의 정책에 따르면 IT 부서는 보안 침해 발생 48시간 이내에 식별된 모든 취약점을 패치해야 한다. 시스템의 기존 취약점에 대해 논의하는 정기 회의로 개최됐지만 임원진은 거의 참석하지 않았다고 한다.

조사 보고서에 따르면 에퀴팩스 보안 직원이 사용하는 웹 응용 프로그램 소프트웨어의 일부인 아파치 스트럿츠(Apache Struts)에서 치명적인 취약점이 발견됐다. 이 보안 결함은 미국표준기술연구원으로부터 중요도가 매우 높다는 경고를 받은 것이다. 해커들이 쉽게 침투할 수 있는 결함이기 때문이다. 다음날 400명의 에퀴팩스 직원들이 취약점에 대한 경고를 받았다.

이 회사는 직원들이 취약점에 대한 통지를 처음 받은 2017년 3월부터 매달 회의를 개최했다. 다음 달에도 같은 문제에 대해 논의하기 위한 회의 자리가 마련됐다. 그러나 2017년 4월 회의에서는 더 이상 아파치 스트럿츠 문제가 논의되지 않았다.

에퀴팩스의 IT 책임자와 보안 담당자는 "이 취약점에 대한 책임이 낮다"고 언급했다.

사건에 대응하는 태도 

에퀴팩스의 사이버 보안 조치 부족과 회사 전체의 명성을 위태롭게 만든 수많은 비난이 일자 CEO인 마크 비고는 이 사고에 대해 진지하게 생각하고 있다고 말했다.

보고서에 따르면 에퀴팩스는 데이터 유출 사건을 무시하는 듯한 태도를 취하고 있지만, 이와는 상반되게 CEO 마크 비고는 "회사는 이 문제를 진지하게 다루고 있으며 에퀴팩스는 정보 보안 프로그램이 결여돼 있다는 사실도 인정한다"고 전했다.

비고는 이어서 "에퀴팩스가 적절한 정보 보안 프로그램을 소유하지 않았으며 정보 유출 사건을 겪었다고 해서 회사가 사이버 보안 문제를 심각하게 여기지 않는다는 뜻은 아니다. 사이버 공격이 일어나기 전 에퀴팩스의 사이버 보안 프로그램은 강력한 정책과 절차, 표준에 따라 진행됐다. 사이버 보안 분야에는 충분한 양의 자금과 충분한 수의 직원들이 배정됐다"고 주장했다.

비고는 "미국에서 1,200개가 넘는 회사가 에퀴팩스와 비슷한 문제를 겪었다"며 "에퀴팩스는 큰 사건의 일부"라고 덧붙였다.

그의 주장에 따르면 이 사건은 기업의 보안 경계를 통과하려는 단순한 해커가 아니라 점점 더 정교해지는 범죄 조직의 소행이다. 이들은 더 큰 자금을 지원받으며 국가나 군대 규모의 도움을 배경으로 두고 있다.

그러나 이번 보고서에는 그의 주장이 반영되지 않은 것으로 보인다. 우선순위가 높은 사이버 보안 조치로 비슷한 종류의 데이터 유출을 피할 수 있었던 경쟁 업체 익스페리안(Experian)과 트랜스유니언(TransUnion)의 사례가 언급됐기 때문이다.

[라이헨바흐=허서윤 기자]