2016.05.17

고급정보가 많은 로펌, 해킹 표적이 되고 있다

Michael Wigley | CIO Asia
기업의 사이버보안 위험을 관리하는데 법이 학문적 접근의 중요한 측면으로써 필요하다. 모색 폰세카라는 로펌이 해킹돼 파나마 페이퍼 문건이 유출된 일은 법적 관점에서 시사하는 바가 크다.

로펌이 보안의 취약점이 될 수 있다
우선 기업으로부터 의뢰받은 로펌은 해당 기업보다는 조금 덜 어려운 해킹 대상이 될 수 있다. 일반적으로 변호사는 고급 정보를 알고 있다. 로펌이 정보를 덜 안전하게 보관하고 있다면 기업의 정보망을 뚫는 것은 시간 낭비가 아닐까? 파나마 페이퍼의 경우 자사 수십만 고객으로부터 얻은 고급 정보를 매우 많이 보관하고 있었다.

지난달 주요 뉴욕에 있는 로펌인 크라바스(Cravaths)와 웨일 고스찰(Weil Gotschal)은 자신들이 해킹당했다고 밝혔다. 이 두 로펌은 미국 내 큰 규모의 M&A 관련 소송을 맡은 회사다.

여기에는 로펌 내 보관된 민감한 정보를 사용할 수 있는 많은 방법이 있는 데다 해커에 대한 내부자 거래 기회도 있었다.

하지만 많은 로펌들이 정보 유출을 겪고 있으며 다음과 같은 사례는 빙산에 일각에 불과하다.

- 상당히 규모있는 로펌이 사이버공격으로 비용을 지급했고, 지급 수단은 비트코인이었다.
- 로펌의 재무 관리자가 해커에게 돈을 보내도록 한 피싱 이메일은 파트너 변호사에게 온 것 메일처럼 보였다.


로펌은 자신들의 고객사보다 사이버보안에 취약하다. 이들이 보유하고 있는 정보 가치에 비교할 때 해커들이 노릴만한 대상이다. 뉴욕에 있는 FBI 사이버 지부의 전임 총관인 오스틴 버글라스는 최근 <아메리칸로이어(The American Lawyer)>와의 인터뷰에서 "일반적으로 대기업과 은행보다 로펌의 사이버보안 인력이 부족한 편이다"고 밝혔다.

대기업은 점점 이 문제를 인식하고 일부는 로펌에게 더 강력한 대응을 요구하고 있다. 블룸버그의 보도에 따르면, 뱅크오브아메리카와 메릴린치 등 많은 월가의 은행은 일반적으로 로펌에 위협 탐지 및 네트워크 보안 시스템에 대해 최대 20페이지 분량의 질의서에 작성할 것을 요구하고 있고 일부 기업들은 자사 보안 감사를 로펌에 보내 보안 상태에 관해 인터뷰하고 조사하도록 하고 있다.

기업은 협력사에 있는 자사 정보에 대해서도 법적 책임을 져야 한다
많은 국가에서 기업들은 공급 업체 등 협력사가 보유한 자사 정보가 해킹되는 과도한 위험에 노출되지 않도록 조처를 취하하는 것이 법적 의무로 돼 있다. 기업은 로펌 등 협력사가 알아서 조처를 할 거라고 믿을 수만은 없다.

기업과 관련한 사이버공격 대부분 해당 기업이 아니라 그 회사의 거래처로 제삼자를 통해 이뤄졌다. 그래서 기업의 공급업체와 기타 협력사 등에게 법적 의무는 특히 중요하다. ciokr@idg.co.kr


2016.05.17

고급정보가 많은 로펌, 해킹 표적이 되고 있다

Michael Wigley | CIO Asia
기업의 사이버보안 위험을 관리하는데 법이 학문적 접근의 중요한 측면으로써 필요하다. 모색 폰세카라는 로펌이 해킹돼 파나마 페이퍼 문건이 유출된 일은 법적 관점에서 시사하는 바가 크다.

로펌이 보안의 취약점이 될 수 있다
우선 기업으로부터 의뢰받은 로펌은 해당 기업보다는 조금 덜 어려운 해킹 대상이 될 수 있다. 일반적으로 변호사는 고급 정보를 알고 있다. 로펌이 정보를 덜 안전하게 보관하고 있다면 기업의 정보망을 뚫는 것은 시간 낭비가 아닐까? 파나마 페이퍼의 경우 자사 수십만 고객으로부터 얻은 고급 정보를 매우 많이 보관하고 있었다.

지난달 주요 뉴욕에 있는 로펌인 크라바스(Cravaths)와 웨일 고스찰(Weil Gotschal)은 자신들이 해킹당했다고 밝혔다. 이 두 로펌은 미국 내 큰 규모의 M&A 관련 소송을 맡은 회사다.

여기에는 로펌 내 보관된 민감한 정보를 사용할 수 있는 많은 방법이 있는 데다 해커에 대한 내부자 거래 기회도 있었다.

하지만 많은 로펌들이 정보 유출을 겪고 있으며 다음과 같은 사례는 빙산에 일각에 불과하다.

- 상당히 규모있는 로펌이 사이버공격으로 비용을 지급했고, 지급 수단은 비트코인이었다.
- 로펌의 재무 관리자가 해커에게 돈을 보내도록 한 피싱 이메일은 파트너 변호사에게 온 것 메일처럼 보였다.


로펌은 자신들의 고객사보다 사이버보안에 취약하다. 이들이 보유하고 있는 정보 가치에 비교할 때 해커들이 노릴만한 대상이다. 뉴욕에 있는 FBI 사이버 지부의 전임 총관인 오스틴 버글라스는 최근 <아메리칸로이어(The American Lawyer)>와의 인터뷰에서 "일반적으로 대기업과 은행보다 로펌의 사이버보안 인력이 부족한 편이다"고 밝혔다.

대기업은 점점 이 문제를 인식하고 일부는 로펌에게 더 강력한 대응을 요구하고 있다. 블룸버그의 보도에 따르면, 뱅크오브아메리카와 메릴린치 등 많은 월가의 은행은 일반적으로 로펌에 위협 탐지 및 네트워크 보안 시스템에 대해 최대 20페이지 분량의 질의서에 작성할 것을 요구하고 있고 일부 기업들은 자사 보안 감사를 로펌에 보내 보안 상태에 관해 인터뷰하고 조사하도록 하고 있다.

기업은 협력사에 있는 자사 정보에 대해서도 법적 책임을 져야 한다
많은 국가에서 기업들은 공급 업체 등 협력사가 보유한 자사 정보가 해킹되는 과도한 위험에 노출되지 않도록 조처를 취하하는 것이 법적 의무로 돼 있다. 기업은 로펌 등 협력사가 알아서 조처를 할 거라고 믿을 수만은 없다.

기업과 관련한 사이버공격 대부분 해당 기업이 아니라 그 회사의 거래처로 제삼자를 통해 이뤄졌다. 그래서 기업의 공급업체와 기타 협력사 등에게 법적 의무는 특히 중요하다. ciokr@idg.co.kr


X