Breaking
국제 범죄(International Conflict)
에퀴팩스, 2년前 데이터 침해 사건 여파…여전히 회복 불가능
2019-06-26 18:29:55
허서윤

[라이헨바흐=허서윤 기자] ▲에퀴팩스가 2년전 데이터 침해 사건에서 여전히 벗어나지 못하고있다(사진=ⓒ셔터스톡)

에퀴팩스가 2년 전 1억 4,800만 건 이상의 개인식별정보(PII) 데이터가 유출된 보안 사건 후유증에서 완전히 회복되지 못하고 있다.

당시 침해 사건과 관련해 올해 초 6억 9,000만 달러(약 8,132억 3,400만 원)에 달하는 벌금을 부과받았을뿐 아니라, 신용평가기관인 무디스가 업체의 전망을 안정적에서 부정적으로 재평가하며 다시 한번 타격을 입은 것이다.

이는 에퀴팩스가 이전의 사건을 아직까지도 제대로 해결하지 못하고 있다는 것을 반증한다.

이런 추세가 지속된다면 신용감시서비스 기업이라는 이미지 평판애 큰 손상을 입을 수 있는 것. 사실 당시의 데이터 보안 침해는 고객들의 정보를 보호하는 신용평가 업체라는 타이틀이 무색하게 만들만큼 상당한 충격을 안겼다.

증가하는 보안 비용

뱅크인포 시큐리티에 따르면 에퀴팩스가 2017년 5월에 발생한 데이터 침해 사건에서 회복하는데는 상당한 대가가 들었다. 침해 사건으로 인한 보안 위협을 완화하는데 든 비용만 무려 10억 달러(약 1조 1,786억 원) 가량에 이른 것이다.

실제로 이달 초 발표된 올해 1분기 재무실적은 업체의 이러한 상황이 그대로 반영돼있다. 지난해 1분기 매출에 비해 2% 감소한 5억 5,590만 달러(약 6,551억 2,815만 원)의 손실이 발생한 것이다.

특히 대차대조표에는 보안 비용에 대한 급격한 증가가 나타났다. 올해 1분기에만 8,280만 달러(약 975억 7,980만 원)가 기술 및 데이터 보안 부분에 지출됐다. 이 수치는 점차 증가하고 있다.

구체적으로는 기술 인프라 전환과 애플리케이션, 네트워크, 데이터 보안 업그레이드 부분에 대부분이 할당됐다. 또 자사 서비스 이용자들에게 에퀴팩스 신용평가서를 잠그고 해제할 수 있는 '록앤얼랏' 개발에도 큰 돈을 투자하고 있는 것으로 나타났다.

전반적으로 1분기 매출액은 8억 4,610만 달러(약 9,971억 2,885만 원)였으며, 데이터 침해로 인한 복구 비용은 14억 달러(약 1조 6,499억 원)를 넘어섰다.

이와 관련 에퀴팩스측은 2017년의 사이버 보안 사건 관련 비용을 IT 인프라 및 데이터 보안 혁신을 위한 증분 비용으로 정의했다.

보안 사건을 조사하고 법률, 정부 및 규제 요구에 대응하기 위한 법률 비용과 전문 서비스 비용, 소비자의 무료 제품 및 관련 지원 제공 비용이라는 설명이다.

업체는 또한 자사가 사이버 보안 관련 보험도 들었지만 현시점에서는 이미 변제된 상태이며, 동시에 관련 비용은 증가하고 있어 결국 보험도 회사에 큰 도움이 되지 않을 것이라고 밝혔다.

1억 2,500만 달러(약 1,473억 2,500만 원)의 보험 약관에 따른 최대 변제를 받은 것으로, 이 모든 변제액이 올해 이전에 수령됐다는 것이다.

▲에퀴팩스의 재무실적에 따르면 지난해 1분기 매출에 비해 5억 5,590만 달러(약 6,551억 8,374만 원)의 손실이 발생했다

 

회사 관리 상태, 용납불가 수준

이러한 모든 노력이 에퀴펙스가 전체 상황을 모두 완벽하게 통제하고 있다는 것을 보장하지는 못한다.

캐나다에 소재한 개인정보보호위원회의 다니엘 시어런이 당시의 침해 사건을 최근 조사하면서, 에퀴팩스의 관리가 '용납할 수 없는' 수준이라고 판단했기 때문이다.

시어런은 "에퀴팩스가 보유한 방대한 양의 개인정보, 신용평가 업체로서 금융 부분에서 중추적인 역할을 하고 있다는 점을 감안할때, 업체의 개인정보보호 및 보안 관행에서 이러한 중대적인 결함이 발견됐다는 것은 전적으로 용납될 수 없다"고 지적했다.

이같은 조사 결과는 시어런과 에퀴팩스간 컴플라이언스 계약으로 이어졌다.

계약에 따르면, 에퀴팩스의 캐나다 지사는 캐나다 지사뿐 아니라 모회사 모두의 보안을 포괄하는 제3자 감사원의 감사 보고서를 제출해야한다. 그리고 이러한 보고서는 향후 6년간 2년마다 개인정보보호위원회로 제출될 수 있어야한다.

시리언은 이번 합의를 통해 캐나다의 개인정보보호 및 전자문서법이 에퀴팩스의 보안 조치를 감독할 수 있을 것으로 내다봤다.

▲무디스의 신용등급 하락에 이어 사용자들의 집단 소송까지, 여전히 해결돼야할 일이 많다(사진=ⓒ셔터스톡)

끝나지 않은 이슈

에퀴팩스의 시련은 여기서 끝이 아니다. 이미 1,000여 명이 넘는 사용자들이 데이터 침해 사건과 관련해 집단 소송을 제기했기 때문이다. 이는 무디스의 평가 전망 하락과도 무관치 않다.

무디스는 에퀴팩스의 부정적 신용등급 전망의 원인으로 수익은 증가하지 않고 자유로운 현금흐름도 장기간 저조한 상태가 유지될 수 있다는 상황을 지목했다.

다만 부채에 대한 자유로운 현금흐름이 10%대로 회복되고 사이버 보안 관련 투자와 리스크가 완화될 것으로 예상되면 전망이 안정될 수 있다고 밝혔다.

영국의 정보위원회 역시 에퀴팩스를 주시하고 있다. 개인정보보호규정(GDPR) 정책을 들어 해당 침해 사건에 대해 기업 글로벌 매출액의 4%나 2,000만 유로(약 265억 6,920만 원)에 달하는 벌금 부과를 고려하고 있는 것이다.

[라이헨바흐=허서윤 기자]