2020.10.06

우버 데이터 침해 사건, CISO 법적 책임에 대한 분수령 된다

Deborah Radcliff | CSO
전 우버 CSO가 데이터 침해 사건의 위반 사실을 신고하지 않은 것에 대한 책임 여부를 판가름하는 재판이 진행되면서 CISO로서의 법적 책임이 주목받고 있다. CISO는 이런 위험을 최소화할 수 있는 몇 가지 선택지가 있다.  
 
ⓒ Getty Images Bank

전 우버 CSO인 조 설리번이 2016년 60만 7,000건의 개인정보를 유출한 위반 사실을 신고하지 않아 지난 8월 2건의 중범죄로 기소된 이후, CISO는 기업의 데이터 침해에 대한 자신의 책임을 규정하기 위해 노력하고 있다. 기소된 2건의 중범죄 혐의는 미국의 공무집행방해죄와 중범죄 은닉죄(범죄 미신고)로 각각 최고 5년과 3년의 징역형이 선고될 가능성이 있다. 

미국 비밀경호국 전직 특수요원이자 SINET 회장인 로버트 로드리게스는 "이번 사건은 분수령이 될 것이다”라며, “CISO는 법 집행기관에 통지하는 사람이라는 이유로, 임원배상책임보험(Directors & Officers Liability Insurance, D&O 보험)에 지정 방식이 다르다"라고 지적했다. 

대부분의 CISO는 책임을 줄이는 가장 좋은 방법은 올바른 일을 하는 것이라는 데 동의했다. 우버의 경우, 고위 경영진의 개입 여부에 관계없이 위반 사실을 법 집행기관에 보고하는 것이다. 실제로 지난 9월 설리번 법무팀의 가상 브리핑에서 설문조사에 참여한 100명의 CISO 가운데 70명은 사이버보안 사고가 발생했을 때, 이를 당국에 알리는 것은 법률 고문실에서 하는 것이 일반적인 관행이라고 밝혔다. 

노스럽(Northrop), 월풀(Whirlpool) 및 보스턴 사이언티픽(Boston Scientific) CSO를 맡았던 린 매티스는 “결국 우버의 CSO는 보고해야 할 위반 사항을 은폐했다”며, “잘못된 일을 할 수 있는 올바른 방법은 없다”라고 말했다.

 
범죄 사실과 은폐 사실 공방 

우버 CSO는 데이터를 되찾기 위해 해커에게 돈을 지불하는 것이 데이터를 보호하는 방법이라 생각했을 수 있지만, 도난당한 데이터가 해커의 시스템에서 삭제됐다는 보장이 없었기 때문에 여전히 보고해야 했다. 미 FBI 발표는 이 사건에서 체포되어 기소된 2명의 데이터 절도범에게 취약점 데이터를 제공한 제 3자가 여전히 존재한다는 것을 보여준다. 

FBI의 발표와 소환 명령서에 따르면, 범죄를 은폐함으로써 다른 피해자들이 더 큰 피해를 입기 전에 범인을 잡을 수 없었다. 그러나 설리번 법무팀은 성명서에서 “설리번과 팀의 노력이 없었다면 이번 사건에 책임이 있는 범인이 전혀 밝혀지지 않았을 것이다”라고 반박했다. 

우버 데이터 유출 사건 전, CSO가 데이터 침해 상황에서 직면하는 가장 일반적인 책임은 희생양으로 일자리를 잃는 것이었다. 설리반과 가까운 사람들은 그가 해고될 것이라고 생각했지만, 이보다 훨씬 더 심각한 결과를 초래했다. 

우버의 법률 고문과 당시 CEO인 트래비스 칼라닉은 당시 설리번이 취한 조치를 완전히 이해하지 못했다고 주장해 기소되지 않았다. 설리번 측은 이 주장에 대해 단호하게 이의를 제기했다. 

설리번의 성명서는 “처음부터 설리번과 그의 팀은 우버의 서면 정책에 따라 우버의 법률, 커뮤니케이션, 기타 관련 팀과 긴밀히 협력했다. 이런 정책은 설리번 또는 그의 팀이 아닌 우버의 법률 부서가 이 문제를 공개할지 여부와 누구에게 공개할지 결정하는 책임이 있음을 분명히 했다”라고 밝혔다. 

칼라닉은 2017년 갑질근무 환경을 조성했다는 비난과 함께 당시 다른 비즈니스 문제로 사임했다. 이 후, 설리번은 새 CEO에게 위반 사실을 보고했지만, FBI는 설리번이 데이터 침해 시점과 우버 시스템에서 복사된 데이터 유형을 숨기기 위해 데이터를 위조했다고 고발했다. 


좋은 계획은 먼 길을 간다

전 소니 픽처스 엔터테인먼트 글로벌 보호 서비스 담당 부사장 스테판 버나드는 “누가, 누구에게 어떤 상황에서 무엇을 보고해야 하는지에 대한 혼란이 있다. 윤리 정책을 명확히 이해하고, 지휘 계통을 잘 확립하고, 역할과 책임을 잘 정의하며, 기관 보고 요구 사항을 확립하고 합의해야 한다. 법무 부서는 특권이 유지되고 객관성이 잘 확립되어 있는지 확인하기 위해 외부 자문을 고용할 수 있다”라고 설명했다.
  
버나드는 2014년 소니 픽처스의 데이터를 빼내고 파괴하면서 회사를 당황하게 만들려는 국가주도의 공격을 당했다. 버나드에 따르면, 소니와 법 집행기관과의 사전에 정해진 관계는 이 사건을 해결하는 데 필수적이었다. 또한 대응팀은 포렌식 조사, 복구 및 비즈니스 연속성을 지원하기 위해 서드파티를 고용했다.
 
익명을 요구한 소비자 제품 회사의 CSO는 “위반 대응 및 보고 프로세스 전반에 걸쳐 명령 체계를 명확하게 전달하고, 문서 내용을 모두 숙지하고 양호한 기록을 보관해야 한다”라며, “당시 우버에서 근무한 변호사는 CSO가 하는 일을 제대로 이해하지 못했다고 주장하는 것으로 보인다. ‘CSO가 바보였다’는 것은 변명이 되지 않는다. 일반 고문, CEO, 이사회 모두 이번 문제를 이해하고 있었음을 인정해야 한다. 회사 내부와 외부에 보고한 사람을 면밀히 추적해야 한다”라고 주장했다.

  
버그 바운티 프로그램은 책임이 있는가 

이번 사건은 우버의 버그 바운티 프로그램을 가장해 범죄자에게 돈을 지불하는 것으로 꾸몄기 때문에 버그 바운티 프로그램의 책임 여부에 대해 CISO들의 의견이 분분하다. 이번 설문조사에서 CISO의 거의 절반(47%)이 버그 바운티 프로그램의 취약점 공개를 보안사고로 취급한다고 말했다.  

CISO는 또한 랜섬웨어 운영자에게 돈을 지불하는 것이 우버 사건에서 돈을 요구한 범죄자에게 돈을 지불하는 것과 동일한 지 궁금해했다. FBI는 몸값 결제와 관련한 질문에 대해 피해 기업에게 돈을 지불하지 말 것을 권고하지만 몸값 지불 여부에 대한 궁극적인 결정은 피해 기업에게 있다. FBI 측은 “피해자가 몸값 지급과 관련해 FBI 권고를 따르지 않기로 결정하더라도 FBI는 여전히 범죄의 근원을 수사하고 모든 피해자의 존엄성과 권리를 존중할 것”이라고 밝혔다. 

SANS의 유명한 사이버 변호사이자 강사인 벤 라이트는 최근 블로그에서 버그 바운티 프로그램과 초대받지 않은 연구원의 차이점을 설명했다. 라이트는 “이번 사건의 차별화 요소는 합법적인 버그 바운티 프로그램은 우버 사건처럼 유출된 민감한 데이터들을 제거하는 데 악용하는 것을 절대 따르지 않을 것”이라고 말했다.  

가트너에 따르면, 2024년까지 CISO가 아닌 CEO가 사이버 또는 물리적 보안에 대한 책임을 부담하게 될 것이다. 이 기사를 위해 접촉한 연방기관은 이번 우버 사건에서 법률 고문이나 CEO가 아닌 CISO가 기소된 이유에 대해 자세한 내용을 공유하지 않았지만, 라이트와 다른 법률 전문가들은 왜 이런 혐의가 CISO만을 겨냥했는지를 밝히는 증거가 발견됐을 가능성이 높다고 추측했다. 


CISO, 위험 제한하기 

CISO는 고용 계약서를 주의 깊게 읽고, 위반에 대한 책임을 CISO에게 부여하는 어떤 것도 서명해서는 안된다. 웨스트 스트래티지 그룹의 전 CISO 밥 웨스트는 “계약서를 사용해 적절한 예상치를 설정하라. 침해는 발생할 것이다”라며, “준비가 제대로 됐는지, 적절하게 해결하기 위해 상업적으로 합리적인 일을 하고 있는지 확인해야 한다”라고 설명했다. 

회사의 D&O 보험을 통해 CIO, CISO의 보험 혜택을 살펴봐야 한다. 이번 설문조사에 참여한 CISO 가운데 30%만이 기업의 D&O 보험이 자신의 직함을 보장한다고 답했다.   

적절한 윤리와 절차를 따르지 않는다면, 자신의 창작물이 엉망인 상태에서 보험에 가입될 것이라고 기대해서는 안된다. 버나드는 “리더십은 사이버 관련 모든 보험을 재검토해야 한다”며, “적용되는 것과 그렇지 않는 것에 대해 이해하라. 예를 들어, 정책에 특정 조치가 필요한 경우, 규정을 준수하는 지 확인해야 한다”라고 조언했다. editor@itworld.co.kr 


2020.10.06

우버 데이터 침해 사건, CISO 법적 책임에 대한 분수령 된다

Deborah Radcliff | CSO
전 우버 CSO가 데이터 침해 사건의 위반 사실을 신고하지 않은 것에 대한 책임 여부를 판가름하는 재판이 진행되면서 CISO로서의 법적 책임이 주목받고 있다. CISO는 이런 위험을 최소화할 수 있는 몇 가지 선택지가 있다.  
 
ⓒ Getty Images Bank

전 우버 CSO인 조 설리번이 2016년 60만 7,000건의 개인정보를 유출한 위반 사실을 신고하지 않아 지난 8월 2건의 중범죄로 기소된 이후, CISO는 기업의 데이터 침해에 대한 자신의 책임을 규정하기 위해 노력하고 있다. 기소된 2건의 중범죄 혐의는 미국의 공무집행방해죄와 중범죄 은닉죄(범죄 미신고)로 각각 최고 5년과 3년의 징역형이 선고될 가능성이 있다. 

미국 비밀경호국 전직 특수요원이자 SINET 회장인 로버트 로드리게스는 "이번 사건은 분수령이 될 것이다”라며, “CISO는 법 집행기관에 통지하는 사람이라는 이유로, 임원배상책임보험(Directors & Officers Liability Insurance, D&O 보험)에 지정 방식이 다르다"라고 지적했다. 

대부분의 CISO는 책임을 줄이는 가장 좋은 방법은 올바른 일을 하는 것이라는 데 동의했다. 우버의 경우, 고위 경영진의 개입 여부에 관계없이 위반 사실을 법 집행기관에 보고하는 것이다. 실제로 지난 9월 설리번 법무팀의 가상 브리핑에서 설문조사에 참여한 100명의 CISO 가운데 70명은 사이버보안 사고가 발생했을 때, 이를 당국에 알리는 것은 법률 고문실에서 하는 것이 일반적인 관행이라고 밝혔다. 

노스럽(Northrop), 월풀(Whirlpool) 및 보스턴 사이언티픽(Boston Scientific) CSO를 맡았던 린 매티스는 “결국 우버의 CSO는 보고해야 할 위반 사항을 은폐했다”며, “잘못된 일을 할 수 있는 올바른 방법은 없다”라고 말했다.

 
범죄 사실과 은폐 사실 공방 

우버 CSO는 데이터를 되찾기 위해 해커에게 돈을 지불하는 것이 데이터를 보호하는 방법이라 생각했을 수 있지만, 도난당한 데이터가 해커의 시스템에서 삭제됐다는 보장이 없었기 때문에 여전히 보고해야 했다. 미 FBI 발표는 이 사건에서 체포되어 기소된 2명의 데이터 절도범에게 취약점 데이터를 제공한 제 3자가 여전히 존재한다는 것을 보여준다. 

FBI의 발표와 소환 명령서에 따르면, 범죄를 은폐함으로써 다른 피해자들이 더 큰 피해를 입기 전에 범인을 잡을 수 없었다. 그러나 설리번 법무팀은 성명서에서 “설리번과 팀의 노력이 없었다면 이번 사건에 책임이 있는 범인이 전혀 밝혀지지 않았을 것이다”라고 반박했다. 

우버 데이터 유출 사건 전, CSO가 데이터 침해 상황에서 직면하는 가장 일반적인 책임은 희생양으로 일자리를 잃는 것이었다. 설리반과 가까운 사람들은 그가 해고될 것이라고 생각했지만, 이보다 훨씬 더 심각한 결과를 초래했다. 

우버의 법률 고문과 당시 CEO인 트래비스 칼라닉은 당시 설리번이 취한 조치를 완전히 이해하지 못했다고 주장해 기소되지 않았다. 설리번 측은 이 주장에 대해 단호하게 이의를 제기했다. 

설리번의 성명서는 “처음부터 설리번과 그의 팀은 우버의 서면 정책에 따라 우버의 법률, 커뮤니케이션, 기타 관련 팀과 긴밀히 협력했다. 이런 정책은 설리번 또는 그의 팀이 아닌 우버의 법률 부서가 이 문제를 공개할지 여부와 누구에게 공개할지 결정하는 책임이 있음을 분명히 했다”라고 밝혔다. 

칼라닉은 2017년 갑질근무 환경을 조성했다는 비난과 함께 당시 다른 비즈니스 문제로 사임했다. 이 후, 설리번은 새 CEO에게 위반 사실을 보고했지만, FBI는 설리번이 데이터 침해 시점과 우버 시스템에서 복사된 데이터 유형을 숨기기 위해 데이터를 위조했다고 고발했다. 


좋은 계획은 먼 길을 간다

전 소니 픽처스 엔터테인먼트 글로벌 보호 서비스 담당 부사장 스테판 버나드는 “누가, 누구에게 어떤 상황에서 무엇을 보고해야 하는지에 대한 혼란이 있다. 윤리 정책을 명확히 이해하고, 지휘 계통을 잘 확립하고, 역할과 책임을 잘 정의하며, 기관 보고 요구 사항을 확립하고 합의해야 한다. 법무 부서는 특권이 유지되고 객관성이 잘 확립되어 있는지 확인하기 위해 외부 자문을 고용할 수 있다”라고 설명했다.
  
버나드는 2014년 소니 픽처스의 데이터를 빼내고 파괴하면서 회사를 당황하게 만들려는 국가주도의 공격을 당했다. 버나드에 따르면, 소니와 법 집행기관과의 사전에 정해진 관계는 이 사건을 해결하는 데 필수적이었다. 또한 대응팀은 포렌식 조사, 복구 및 비즈니스 연속성을 지원하기 위해 서드파티를 고용했다.
 
익명을 요구한 소비자 제품 회사의 CSO는 “위반 대응 및 보고 프로세스 전반에 걸쳐 명령 체계를 명확하게 전달하고, 문서 내용을 모두 숙지하고 양호한 기록을 보관해야 한다”라며, “당시 우버에서 근무한 변호사는 CSO가 하는 일을 제대로 이해하지 못했다고 주장하는 것으로 보인다. ‘CSO가 바보였다’는 것은 변명이 되지 않는다. 일반 고문, CEO, 이사회 모두 이번 문제를 이해하고 있었음을 인정해야 한다. 회사 내부와 외부에 보고한 사람을 면밀히 추적해야 한다”라고 주장했다.

  
버그 바운티 프로그램은 책임이 있는가 

이번 사건은 우버의 버그 바운티 프로그램을 가장해 범죄자에게 돈을 지불하는 것으로 꾸몄기 때문에 버그 바운티 프로그램의 책임 여부에 대해 CISO들의 의견이 분분하다. 이번 설문조사에서 CISO의 거의 절반(47%)이 버그 바운티 프로그램의 취약점 공개를 보안사고로 취급한다고 말했다.  

CISO는 또한 랜섬웨어 운영자에게 돈을 지불하는 것이 우버 사건에서 돈을 요구한 범죄자에게 돈을 지불하는 것과 동일한 지 궁금해했다. FBI는 몸값 결제와 관련한 질문에 대해 피해 기업에게 돈을 지불하지 말 것을 권고하지만 몸값 지불 여부에 대한 궁극적인 결정은 피해 기업에게 있다. FBI 측은 “피해자가 몸값 지급과 관련해 FBI 권고를 따르지 않기로 결정하더라도 FBI는 여전히 범죄의 근원을 수사하고 모든 피해자의 존엄성과 권리를 존중할 것”이라고 밝혔다. 

SANS의 유명한 사이버 변호사이자 강사인 벤 라이트는 최근 블로그에서 버그 바운티 프로그램과 초대받지 않은 연구원의 차이점을 설명했다. 라이트는 “이번 사건의 차별화 요소는 합법적인 버그 바운티 프로그램은 우버 사건처럼 유출된 민감한 데이터들을 제거하는 데 악용하는 것을 절대 따르지 않을 것”이라고 말했다.  

가트너에 따르면, 2024년까지 CISO가 아닌 CEO가 사이버 또는 물리적 보안에 대한 책임을 부담하게 될 것이다. 이 기사를 위해 접촉한 연방기관은 이번 우버 사건에서 법률 고문이나 CEO가 아닌 CISO가 기소된 이유에 대해 자세한 내용을 공유하지 않았지만, 라이트와 다른 법률 전문가들은 왜 이런 혐의가 CISO만을 겨냥했는지를 밝히는 증거가 발견됐을 가능성이 높다고 추측했다. 


CISO, 위험 제한하기 

CISO는 고용 계약서를 주의 깊게 읽고, 위반에 대한 책임을 CISO에게 부여하는 어떤 것도 서명해서는 안된다. 웨스트 스트래티지 그룹의 전 CISO 밥 웨스트는 “계약서를 사용해 적절한 예상치를 설정하라. 침해는 발생할 것이다”라며, “준비가 제대로 됐는지, 적절하게 해결하기 위해 상업적으로 합리적인 일을 하고 있는지 확인해야 한다”라고 설명했다. 

회사의 D&O 보험을 통해 CIO, CISO의 보험 혜택을 살펴봐야 한다. 이번 설문조사에 참여한 CISO 가운데 30%만이 기업의 D&O 보험이 자신의 직함을 보장한다고 답했다.   

적절한 윤리와 절차를 따르지 않는다면, 자신의 창작물이 엉망인 상태에서 보험에 가입될 것이라고 기대해서는 안된다. 버나드는 “리더십은 사이버 관련 모든 보험을 재검토해야 한다”며, “적용되는 것과 그렇지 않는 것에 대해 이해하라. 예를 들어, 정책에 특정 조치가 필요한 경우, 규정을 준수하는 지 확인해야 한다”라고 조언했다. editor@itworld.co.kr 


X