2018년 최대의 벌금형을 받은 데이터 침해 사고들

CSO

취약한 보안, 회피할 수 있었던 실수에 의한 해킹, 데이터 절도 사건 등으로 인해 8개 기업에서 약 2억 8,000만 달러(약 3,200억 원)의 비용이 소모됐다.

2018년은 이미 데이터 유출로 인해 상당한 벌금과 피해자가 발생한 것으로 나타났다. 우버의 2016년 사고에 대한 부실한 처리로 인해 1억 5,000만 달러에 육박한다. 엄격한 규제 하에 있는 보건 자료는 의료 시설 비용이 많이 들기 때문에 제대로 보호되지 않아 미국 보건복지부는 점점 더 많은 벌금을 부과한다.

현재 EU의 GDPR(General Data Protection Regulation)이 발효됨에 따라 더 많은 벌금이 부과될 수 있다. EU의 데이터 규제기관은 2,000만 유로(약 260억 원) 이상의 벌금을 부과할 수 있다. 다수의 유명 기업은 이미 새로운 규정이 발효된 이래로 대규모 위반 사고를 겪었다. 이는 2019년에 실패 비용이 급증할 수 있음을 의미한다. editor@itworld.co.kr   

우버: 1억 4,800만 달러(약 1,700억 원) 2016년 우버(Uber) 앱에 있는 60만 명의 운전자와 5,700만 명의 사용자 계정이 침해당했다. 우버는 이 사건을 보고하지 않고 해킹 사실을 감추기 위해 가해자에게 10만 달러를 지불했다. 그러나 이런 행동은 오히려 우버에게 역효과를 가져왔다. 우버는 데이터 유출 통지 법(data breach notification laws)을 위반해 역사상 가장 큰 데이터 유출 벌금액인 1억 4,800만 달러(약 1,700억 원)를 물었다.

야후: 8,500만 달러(약 970억 원) 2013년 야후는 전체 데이터베이스에 영향을 주는 엄청난 보안 침해 사고를 겪었다. 약 30억 개의 계정이 영향을 받았는데, 이 숫자는 웹의 전체 인구에 육박한다. 그러나 야후는 유출 사실을 3년동안 공개하지 않았다. 지난 4월, 미국증권거래위원회(US Securities and Exchange Commission, SEC)는 위반 사실을 공개하지 않은 야후에 3,500만 달러(약 400억 원)의 벌금을 부과했다. 야후의 새주인인 알타바(Altaba)는 9월 이 사건으로 인한 집단 소송을 5,000만 달러(약 570억 원)에 완료했다고 밝혔다. 30억 개 계정에 대해 총 8,500만 달러(약 970억 원)가 소요됐기 때문에 계정당 약 36달러(약 4만 1,000원)라는 계산이 나온다. 데이터 유출 기록의 평균 비용은 약 148달러(약 16만 8,000원)이며, IBM은 수백만 개에 달하는 달하는 초대형 침해사건 비용을 수억 달러로 책정했다.

테스코 은행: 2,100만 달러(약 240억 원) 영국 슈퍼마켓 체인의 소매은행인 테스코 은행(Tesco Bank)은 2016년 9,000여 고객 계정에서 300만 달러 미만의 돈만 도난 당했다. 이 사건에 대해 영국 FCA(Financial Conduct Authority)는 테스코 은행에 1,640만 파운드(약 240억 원)의 벌금을 부과했다. FCA 금융 범죄 통제 및 금융 범죄 운영팀은 테스코 직불카드의 설계 결함에 대해 비판했다.

앤썸: 1,600만 달러(약 182억 원) 미국 건강보험업체인 앤썸(Anthem)은 2015년 침해사고를 겪으면서 7,900만 명에게 피해를 입혔다. 유출 사항에는 이름, 생년월일, 사회보장번호 및 의료 ID가 포함됐다. 지난 10월 미국 보건복지부는 앤썸의 HIPAA(Health Insurance Portability and Accountability Act) 위반에 대해 1,600만 달러(182억 원)의 벌금형을 선고했다. 이 사건과 관련해 집단 소송을 해결하기 위해 2017년 지불한 1억 1,500만 달러(약 1,310억 원)는 별도의 비용이었다.

텍사스 대학교 MD 앤더슨 암 센터: 430만 달러(약 50억 원) 지난 6월 법원은 텍사스 대학교 MD 앤더슨 암 센터(The University of Texas MD Anderson Cancer Center)에 대해 HIPAA 위반으로 430만 달러(약 50억 원) 벌금을 부과한 결정을 확정지었다. 이 암 센터는 2012~2013년 사이에 3곳의 데이터 유출 사건을 겪었다. 직원의 거주지에서 암호화되지 않은 노트북을 도난 당한 것과 암호화되지 않은 2개의 USB가 분실한 것이다. 이로 인해 3만 3,500명 이상의 건강 정보를 잃어버렸다.

프레제니우스 메디컬 케어 노스 아메리카: 350만 달러(약 40억 원) 미국 건강 보험 양도 및 책임에 관한 법(Health Insurance Portability and Accountability Act, HIPAA)을 또 다시 어겼다. 지난 2월 프레제니우스 메디컬 케어 노스 아메리카(Fresenius Medical Care North America, FMCNA)는 2012년 2월과 7월 사이에 서로 다른 위치에서 5건의 별도 위반 사례가 발생해 350만 달러(약 40억 원)의 벌금을 물었다. OCR(Office for Civil Rights)의 조사에 따르면, FMCNA는 각 의료기관이 보관하고 있는 모든 건강 정보의 무결성 및 가용성에 대한 잠재적인 위험과 취약점에 대해 정확하고 철저한 위험 분석을 제공해야 하는 의무를 위반했다. 이런 위반은 시설과 장비에 대한 무단 액세스 방지, 건강 데이터의 암호화 실패, 건강 데이터를 저장한 전자 매체의 폐기에 대한 통제 및 보안 사고 절차의 부재 등을 포함한다.

에퀴팩스와 페이스북: 65만 달러(약 7억 원) 에퀴팩스(Equifax)와 페이스북은 상당히 운이 좋다. 영국의 데이터 보호 감독기관인 영국 정보감독원(UK Information Commissioner’s Office)은 GDPR 이전 데이터 보호법에 따라 에퀴팩스와 페이스북에 대해 벌금을 부과했다. 벌금은 최고 50만~65만 파운드(약 7억~ 10억 원)에 불과했다. GDPR 하에 벌금은 훨씬 더 높을 수 있다. 페이스북은 10월 캠브리지 애널리티카(Cambridge Analytica) 데이터 스캔들로 인해 이 법을 위반했다. 에퀴팩스는 2007년 9월, 1억 4,700만 고객 데이터를 유출해 최대 벌금을 물었다.

다가오는 벌금 폭탄: 6억 5,000만 달러(약 7,400억 원) 영국 항공(British Airways)은 38만 명의 고객 지불카드 정보가 자사 웹사이트와 앱에서 유출된 후 5억 파운드(약 7,400억 원)의 소송에 직면해 있다. 영국 슈퍼마켓체인 모리슨(Morrisons)은 2014년 불만을 가진 IT 감사인이 10만 명의 회사 직원에 대한 급여 정보를 유출한 후, 직원에게 상당한 지불금을 지불할 위기에 처했다. 모리슨은 5,000명이 넘는 직원의 집단 소송에 항소하지는 않았지만, 10월 이 재판을 대법원에 호소할 계획이다. 이 사건은 영국 최초의 데이터 유출 사건 판례이며 직원의 잘못된 행동에 대한 회사의 책임에 대한 선례가 될 수 있다. 현재 GDPR이 발효됨에 따라 데이터 유출 사고를 겪고 있는 회사는 막대한 재정적 압박을 받을 수 있다. 페이스북의 최근 뷰 애즈(View As) 결함, 영국 보수당의 안전하지 않은 컨퍼런스 앱, 구글의 소셜네트워크인 구글플러스의 종료, 딕슨스 카폰(Dixons Carphone)의 590만 고객 기록 유출 등은 모두 처벌 대상이 될 수 있다. 지난 9월 캐나다 분석업체인 애그리깃IQ(AggregateIQ)는 GDPR 고지 이후, 위반 대상이 된 최초의 기업이 됐으며, 향후 벌금을 부과될 수 있는 가능성이 열렸다.