전 우버 CSO인 조 설리번이 2016년 60만 7,000건의 개인정보를 유출한 위반 사실을 신고하지 않아 지난 8월 2건의 중범죄로 기소된 이후, CISO는 기업의 데이터 침해에 대한 자신의 책임을 규정하기 위해 노력하고 있다. 기소된 2건의 중범죄 혐의는 미국의 공무집행방해죄와 중범죄 은닉죄(범죄 미신고)로 각각 최고 5년과 3년의 징역형이 선고될 가능성이 있다.
미국 비밀경호국 전직 특수요원이자 SINET 회장인 로버트 로드리게스는 "이번 사건은 분수령이 될 것이다”라며, “CISO는 법 집행기관에 통지하는 사람이라는 이유로, 임원배상책임보험(Directors & Officers Liability Insurance, D&O 보험)에 지정 방식이 다르다"라고 지적했다.
대부분의 CISO는 책임을 줄이는 가장 좋은 방법은 올바른 일을 하는 것이라는 데 동의했다. 우버의 경우, 고위 경영진의 개입 여부에 관계없이 위반 사실을 법 집행기관에 보고하는 것이다. 실제로 지난 9월 설리번 법무팀의 가상 브리핑에서 설문조사에 참여한 100명의 CISO 가운데 70명은 사이버보안 사고가 발생했을 때, 이를 당국에 알리는 것은 법률 고문실에서 하는 것이 일반적인 관행이라고 밝혔다.
노스럽(Northrop), 월풀(Whirlpool) 및 보스턴 사이언티픽(Boston Scientific) CSO를 맡았던 린 매티스는 “결국 우버의 CSO는 보고해야 할 위반 사항을 은폐했다”며, “잘못된 일을 할 수 있는 올바른 방법은 없다”라고 말했다.
범죄 사실과 은폐 사실 공방
우버 CSO는 데이터를 되찾기 위해 해커에게 돈을 지불하는 것이 데이터를 보호하는 방법이라 생각했을 수 있지만, 도난당한 데이터가 해커의 시스템에서 삭제됐다는 보장이 없었기 때문에 여전히 보고해야 했다. 미 FBI 발표는 이 사건에서 체포되어 기소된 2명의 데이터 절도범에게 취약점 데이터를 제공한 제 3자가 여전히 존재한다는 것을 보여준다. FBI의 발표와 소환 명령서에 따르면, 범죄를 은폐함으로써 다른 피해자들이 더 큰 피해를 입기 전에 범인을 잡을 수 없었다. 그러나 설리번 법무팀은 성명서에서 “설리번과 팀의 노력이 없었다면 이번 사건에 책임이 있는 범인이 전혀 밝혀지지 않았을 것이다”라고 반박했다.
우버 데이터 유출 사건 전, CSO가 데이터 침해 상황에서 직면하는 가장 일반적인 책임은 희생양으로 일자리를 잃는 것이었다. 설리반과 가까운 사람들은 그가 해고될 것이라고 생각했지만, 이보다 훨씬 더 심각한 결과를 초래했다.
우버의 법률 고문과 당시 CEO인 트래비스 칼라닉은 당시 설리번이 취한 조치를 완전히 이해하지 못했다고 주장해 기소되지 않았다. 설리번 측은 이 주장에 대해 단호하게 이의를 제기했다.
설리번의 성명서는 “처음부터 설리번과 그의 팀은 우버의 서면 정책에 따라 우버의 법률, 커뮤니케이션, 기타 관련 팀과 긴밀히 협력했다. 이런 정책은 설리번 또는 그의 팀이 아닌 우버의 법률 부서가 이 문제를 공개할지 여부와 누구에게 공개할지 결정하는 책임이 있음을 분명히 했다”라고 밝혔다.
칼라닉은 2017년 갑질근무 환경을 조성했다는 비난과 함께 당시 다른 비즈니스 문제로 사임했다. 이 후, 설리번은 새 CEO에게 위반 사실을 보고했지만, FBI는 설리번이 데이터 침해 시점과 우버 시스템에서 복사된 데이터 유형을 숨기기 위해 데이터를 위조했다고 고발했다.
좋은 계획은 먼 길을 간다
전 소니 픽처스 엔터테인먼트 글로벌 보호 서비스 담당 부사장 스테판 버나드는 “누가, 누구에게 어떤 상황에서 무엇을 보고해야 하는지에 대한 혼란이 있다. 윤리 정책을 명확히 이해하고, 지휘 계통을 잘 확립하고, 역할과 책임을 잘 정의하며, 기관 보고 요구 사항을 확립하고 합의해야 한다. 법무 부서는 특권이 유지되고 객관성이 잘 확립되어 있는지 확인하기 위해 외부 자문을 고용할 수 있다”라고 설명했다.버나드는 2014년 소니 픽처스의 데이터를 빼내고 파괴하면서 회사를 당황하게 만들려는 국가주도의 공격을 당했다. 버나드에 따르면, 소니와 법 집행기관과의 사전에 정해진 관계는 이 사건을 해결하는 데 필수적이었다. 또한 대응팀은 포렌식 조사, 복구 및 비즈니스 연속성을 지원하기 위해 서드파티를 고용했다.
익명을 요구한 소비자 제품 회사의 CSO는 “위반 대응 및 보고 프로세스 전반에 걸쳐 명령 체계를 명확하게 전달하고, 문서 내용을 모두 숙지하고 양호한 기록을 보관해야 한다”라며, “당시 우버에서 근무한 변호사는 CSO가 하는 일을 제대로 이해하지 못했다고 주장하는 것으로 보인다. ‘CSO가 바보였다’는 것은 변명이 되지 않는다. 일반 고문, CEO, 이사회 모두 이번 문제를 이해하고 있었음을 인정해야 한다. 회사 내부와 외부에 보고한 사람을 면밀히 추적해야 한다”라고 주장했다.
버그 바운티 프로그램은 책임이 있는가
이번 사건은 우버의 버그 바운티 프로그램을 가장해 범죄자에게 돈을 지불하는 것으로 꾸몄기 때문에 버그 바운티 프로그램의 책임 여부에 대해 CISO들의 의견이 분분하다. 이번 설문조사에서 CISO의 거의 절반(47%)이 버그 바운티 프로그램의 취약점 공개를 보안사고로 취급한다고 말했다. CISO는 또한 랜섬웨어 운영자에게 돈을 지불하는 것이 우버 사건에서 돈을 요구한 범죄자에게 돈을 지불하는 것과 동일한 지 궁금해했다. FBI는 몸값 결제와 관련한 질문에 대해 피해 기업에게 돈을 지불하지 말 것을 권고하지만 몸값 지불 여부에 대한 궁극적인 결정은 피해 기업에게 있다. FBI 측은 “피해자가 몸값 지급과 관련해 FBI 권고를 따르지 않기로 결정하더라도 FBI는 여전히 범죄의 근원을 수사하고 모든 피해자의 존엄성과 권리를 존중할 것”이라고 밝혔다.
SANS의 유명한 사이버 변호사이자 강사인 벤 라이트는 최근 블로그에서 버그 바운티 프로그램과 초대받지 않은 연구원의 차이점을 설명했다. 라이트는 “이번 사건의 차별화 요소는 합법적인 버그 바운티 프로그램은 우버 사건처럼 유출된 민감한 데이터들을 제거하는 데 악용하는 것을 절대 따르지 않을 것”이라고 말했다.
가트너에 따르면, 2024년까지 CISO가 아닌 CEO가 사이버 또는 물리적 보안에 대한 책임을 부담하게 될 것이다. 이 기사를 위해 접촉한 연방기관은 이번 우버 사건에서 법률 고문이나 CEO가 아닌 CISO가 기소된 이유에 대해 자세한 내용을 공유하지 않았지만, 라이트와 다른 법률 전문가들은 왜 이런 혐의가 CISO만을 겨냥했는지를 밝히는 증거가 발견됐을 가능성이 높다고 추측했다.
CISO, 위험 제한하기
CISO는 고용 계약서를 주의 깊게 읽고, 위반에 대한 책임을 CISO에게 부여하는 어떤 것도 서명해서는 안된다. 웨스트 스트래티지 그룹의 전 CISO 밥 웨스트는 “계약서를 사용해 적절한 예상치를 설정하라. 침해는 발생할 것이다”라며, “준비가 제대로 됐는지, 적절하게 해결하기 위해 상업적으로 합리적인 일을 하고 있는지 확인해야 한다”라고 설명했다. 회사의 D&O 보험을 통해 CIO, CISO의 보험 혜택을 살펴봐야 한다. 이번 설문조사에 참여한 CISO 가운데 30%만이 기업의 D&O 보험이 자신의 직함을 보장한다고 답했다.
적절한 윤리와 절차를 따르지 않는다면, 자신의 창작물이 엉망인 상태에서 보험에 가입될 것이라고 기대해서는 안된다. 버나드는 “리더십은 사이버 관련 모든 보험을 재검토해야 한다”며, “적용되는 것과 그렇지 않는 것에 대해 이해하라. 예를 들어, 정책에 특정 조치가 필요한 경우, 규정을 준수하는 지 확인해야 한다”라고 조언했다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.