보안 / 프라이버시

2019 사상 최대의 데이터 침해 벌금과 벌칙 그리고 합의 사항

Dan Swinhoe | CSO 2019.11.05
2019년, 데이터 침해에 대해 부과된 상당한 벌금은 규제 당국이 사용자 데이터를 제대로 보호하지 못하는 조직에 대해 점점 더 진지해지고 있다는 것을 시사한다. 

영국 항공(UK British Airways)은 2억 3,000만 달러(약 2,669억 원)의 벌금을 부과받았고, 곧 이어 메리어트(Marriott)도 1억 2,400만 달러(약 1,439억 원)의 벌금을 받았으며, 미국의 에퀴팩스(Equifax)는 2017년 위반에 대해 최소 5억 7,500만 달러(약 6,673억 원)의 벌금을 내기로 합의했다.
 
ⓒ Getty Images Bank

2018년에도 이런 일이 비일비재했다. 우버는 2016년 위반에 대한 대처가 미흡해 1억 5,000만 달러(약 1,741억 원)에 가까운 비용을 지불해야 했다. 보호는 허술하지만 규제는 심한 의료 데이터의 경우 2018년 의료시설에 큰 손실을 입혔고, 이로 인해 미국 보건복지부는 점점 더 많은 벌금을 징수하게 되었다.

- 에퀴팩스: 5억 7,500만 달러 
2017년 에퀴팩스는 데이터베이스 중 하나에 있는 패치되지 않은 아파치 스트러츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 몇 달후에도 심각한 취약점을 고치지 못했으며, 피해를 발견한 뒤에도 몇 주 동안 그 침해 사실을 대중에게 알리지 않았다.
 
2019년 7월, 신용기관인 에퀴팩스는 자사가 네트워크 보안을 위한 합리적인 조치를 취하지 못한 것에 대해 미 연방거래위원회, 소비자 금융 보호국(CFPB) 및 50개 주, 그리고 기타 국가와 합의를 통해 5억 7,500만 달러(잠재적으로는 7억 달러(8,125억 원)까지 증가할 수 있다)를 지불하는데 동의했다. 

이 가운데 3억 달러(3,482억 원)는 피해 소비자들에게 신용 모니터링 서비스를 제공하는 기금으로 갈 것이며(최초 지급액이 소비자 보상에 충분하지 않을 경우 1억 2,500만 달러(1,451억 원)가 추가될 것임), 1억 7,500만 달러(2,031억 원)가 48개 주, 워싱턴 D.C., 푸에르토리코로 가고, 1억 달러는 CFPB로 갈 것이다. 이 합의로 에퀴팩스는 2년마다 자사의 정보보안 프로그램에 대해 서드파티 평가를 받아야만 한다. 

미연방거래위원장 조 시몬스는 “개인정보로 이익을 얻는 기업들은 해당 자료를 보호하고 보안을 유지할 책임이 더 크다. 에퀴팩스는 약 1억 7,700만 명의 소비자에게 영향을 미치는 침해를 방지할 수 있는 기본적인 조치를 취하지 못했다”라고 말했다.

에퀴팩스는 영국에서 이미 2017년 유출로 이미 50만 파운드(7억 4,744만 원)의 벌금을 부과받았는데, 이는 개인정보보호규정(GDPR) 이전의 1998년 데이터 보호법에 따른 것으로 허용된 벌금액의 최대치였다. 
 
- 영국 항공: 2억 3,000만 달러 
잠재적 벌금 규모에 대한 모든 위협과 유언비어에도 불구하고, EU의 GDPR의 첫 12개월은 징벌적 조치의 방식에 있어서 상대적으로 거의 영향을 미치지 않았다. 데이터 유출과 관련된 유럽 전역의 데이터 보호 업체들에게 부과된 벌금은 수십 만 유로 또는 이보다 비교적 낮은 금액이었으며, 일반적으로 기업들이 이전 규정에 따라 받고 있던 것과 일치했다. 준수 노력에 많은 돈을 쓰고 비준수에 대한 처벌이 가벼워 보이면서, GDPR은 실제로 실패작같은 것이 아닐까 하는 우려가 커지고 있었다.

하지만 영국 항공이 사상 최대인 1억 8,300만 파운드(약 2,669억 원)의 벌금을 부과받은 이후 분위기는 빠르게 변했다. 이는 현재까지 최고 수준의 데이터 유출에 따른 벌금으로 2018년에 지불된 우버의 1억 4,800만 달러(1,718억 원)를 훌쩍 넘어선다. 영국 항공은 메이지카트(Magecart) 공격 그룹이 2주 동안 신용카드 복제 스크립트를 사용해 최대 50만 명 고객의 개인정보 및 결제 데이터를 수집한 것으로, 영국 데이터 보호 당국인 ICO에 의해 벌금을 부과받았다.

ICO는 조사 결과 영국 항공의 보안 조치가 허술한 것이 유출로 이어졌다고 밝혔다. 영국 항공의 막대한 벌금은 이 규정의 강력한 무기와 데이터 보호 당국은 그들의 무기를 휘두르는 것을 주저하지 않는다는 것을 보여준다. GDPR이 이사회를 통해 보안을 더 높은 안건으로 끌어올린 주요 요인 중 하나였다는 것을 감안할 때, 이는 CSO를 줄 것이고 개인 정보 보호/준수는 보안 프로그램을 더욱 강화할 수 있는 새로운 자극을 제공한다. 

- 우버: 1억 4,800만 달러 
2016년 차량 공유 서비스 앱인 우버는 60만 명의 운전자와 5,700만 명의 사용자 계정을 유출했다. 우버는 사고를 신고하지 않고 가해자에게 10만 달러를 주고 해킹 사실을 숨겼다. 그러나 이런 행동들은 회사에 큰 손해를 끼쳤다. 우버는 2018년에 데이터 유출 통지법(Breach Notification Law) 위반으로 1억 4,800만 달러의 벌금을 부과받았는데 이는 그 당시 역사상 가장 많은 데이터 유출 벌금이었다.

- 메리어트 인터내셔널: 1억 2,400만 달러 
GDPR 벌금은 버스와 같다. 버스 한 대를 오래 기다렸지만 두 대가 동시에 나타난다. 영국 항공에 기록적인 벌금 부과가 있은 지 불과 며칠 후에, ICO는 데이터 유출에 대해 두 번째 대규모 벌금을 부과했다.

메리어트 인터내셔널은 최대 5억 명의 고객들의 결제 정보, 성명, 주소, 전화번호, 이메일 주소 및 여권 번호가 유출된 후 1억 2,400만 달러의 벌금을 부과받았다. 유출의 출처는 메리어트의 스타우드 자회사였다. 해커들은 2015년 메리어트가 이 회사를 인수한 이후 약 3년에서 최대 4년 동안 스타우드 네트워크에 있었던 것으로 보인다. 

ICO의 발표에 따르면, 메리어트는 스타우드를 인수할 때 충분한 주의 의무를 다하지 못했고, 시스템 보안을 위해 더 많은 노력을 기울였어야 했다. 메리어트의 최고경영자인 아르네 소렌슨은 회사가 벌금에 대해 ‘실망’했으며 처벌 조치에 대해 이의를 제기할 계획이라고 밝혔다. 

호텔 체인인 메리어트는 터키 데이터 보호 당국으로부터도 150만 리라(약 3억 원)의 벌금을 부과받았는데, 이는 GDPR 법에 의한 것이 아니며, 한 번의 유출이 전세계적으로 여러 차례의 벌금을 부과받을 수 있다는 것을 보여준 사례다.

- 야후: 8,500만 달러(986억 원)  
2013년에 야후는 데이터베이스 전체인 약 30억 개의 계정, 즉 거의 모든 인터넷 인구에 영향을 미치는 엄청난 보안 유출사고를 겪었다. 하지만 야후는 3년 동안 이 정보를 공개하지 않았다.

2018년 4월 미국 증권거래위원회(SEC)가 피해 사실을 공개하지 않은 데 대해 3,500만 달러(406억 원)의 벌금을 부과했다. 지난 9월 야후의 새 소유주인 알타바는 유출에 따른 집단소송을 해결하기 위해 합의금으로 5,000만 달러(580억 원)를 지불했다고 시인했다. 30억 계정 유출에 대한 비용 총액인 8,500만 달러는 한 계정 당 36달러에 달하는 액수다.
 
- 테스코 뱅크(Tesco Bank): 2,100만 달러(245억 원)
영국 슈퍼마켓 체인인 테스코의 리테일 뱅킹부문인 테스코 뱅크는 2016년 9,000개의 고객 계좌에서 300만 달러에 약간 못 미치는 금액을 도난당한 후 영국 금융감독청(FCA)에 의해 2018년 1,640만 파운드(245억 원)의 벌금에 처해졌다. FCA는 테스코의 직불카드 설계, 금융범죄 단속, 금융범죄조사팀의 ‘결함들’을 이유로 들었다. 

- 타겟(Target): 1,850만 달러(215억 원)
2017년 대형 소매업체인 타겟은 2013년 블랙 프라이데이 세일 동안 신용카드와 직불카드 계좌 약 4,000만 개의 정보가 유출된 것과 관련해 47개 주 및 워싱턴 D.C.와 1,850만 달러에 합의했다. 이후 조사 결과, 최대 7,000만 명의 성명, 주소, 전화번호, 이메일 주소도 유출된 것으로 밝혀졌다. 이러한 유출과 관련된 총 비용은 2억 달러(2,321억 원)가 넘었다.
 
- 앤섬(Anthem): 1,600만 달러(186억 원) 
미국의 의료보험사인 앤섬은 2015년에 7,900만 명의 정보를 유출 당했다. 유출된 정보에는 성명, 생년월일, 사회보장번호, 의료신분증 등이 포함되어 있었다. 앤섬은 2018년 10월 건강보험 양도 및 책임에 관한 법(HIPAA) 위반으로 미 보건복지부로부터 1,600만 달러의 벌금을 부과받았다. 이 벌금은 앤섬이 그 위반과 관련된 집단소송을 해결하기 위해 2017년에 지불해야 했던 1억 1,500만 달러(1,334억 원)와는 별개다.
  
- 텍사스대학 MD 앤더슨 암센터: 430만 달러(50억 원) 
2018년 6월, 한 판사는 HIPAA 위반으로 텍사스 대학 MD 앤더슨 암 센터에 430만 달러의 벌금을 부과하는 판결을 내렸다. 이 암센터는 2012년과 2013년 사이에 3건의 데이터 유출로 3만 3,500명 이상의 개인 건강 정보를 잃어버렸다. 한 경우에는 암호화되지 않은 노트북이 직원의 거주지에서 도난당하기도 했다. 다른 2건의 유출은 암호화되지 않은 USB를 분실한 사고였다. 

- 프레세니우스 메디컬 케어 노스 아메리카: 350만 달러(41억 원) 
HIPAA 위반은 끊이지 않는다. 프레세니우스 메디컬 케어 노스 아메리카(Fresenius Medical Care North America, FMCNA)는 2012년 2월부터 7월까지 여러 지점에서 5건의 개별 유출을 당한 후 350만 달러의 벌금을 부과받았다. 

미국 OCR(Office for Civil Rights) 조사 결과, FMCNA는 여러 부서들에 걸쳐 보관하고 있던 모든 건강정보의 기밀성, 완전성 및 가용성에 대한 잠재적 위험과 취약성에 대한 정확하고 철저한 위험 분석을 수행하지 못한 것으로 밝혀졌다. 즉, 시설과 장비에 대한 무인가 접근을 방지하지 못하고, 의료 데이터를 암호화하지 않았으며, 의료 데이터를 보관하는 전자 매체의 폐기를 관리하지 않았고, 보안 사고 절차가 결여되어 있었다.  

- 코티지 헬스와 터치스톤 메디컬 이미징: 각각 300만 달러(35억 원)  
2019년에는 이미 2건의 대형 HIPAA 위반이 있었는데, 코티지 헬스(Cottage Health)와 터치스톤 메디컬 이미징(Touchstone Medical Imaging)에 각각 300만 달러씩 벌금이 부과되었다.

코티지 헬스는 2013년과 2015년 2건의 유출에 대해 벌금을 받았는데 6만 2,500명에게 영향을 주는 전자 보호 의료 정보(electronic protected health information, ePHI)가 유출된 사건들이었다. 두 사건 모두 인터넷을 통해 접속이 가능한 ePHI를 보관하고 있는 서버가 문제였다. 

미국 테네시 주에 본사를 둔 터치스톤 메디컬 이미징은 30만 명 이상의 환자들에 대한 PHI를 노출된 FTP 서버를 통해 온라인에서 이용할 수 있게 방치한 이유로 벌금에 처해졌다. 터치스톤은 2014년 FBI로부터 이 같은 문제를 통보받았지만, 환자 PHI가 노출되지는 않았다고 주장했다.

미 보건복지부(HHS)는 "터치스톤이 FBI와 OCR로부터 유출 사실을 통보받은 후 수개월이 지나도록 보안 사고를 철저히 조사하지 않았다. 게다가 유출 피해를 입은 개인에 대한 통보도 적시에 이뤄지지 않았으며, 터치스톤이 잠재적 위험에 대한 정확하고 철저한 위험 분석을 수행하지 못했다. 이 회사는 공급업체와의 업무 제휴 계약을 실행하지도 않았다"라고 밝혔다.

- 잭슨 헬스 시스템: 215만 달러(25억 원) 
또 다른 대형 HIPAA 위반으로, 이번에는 플로리다에서 많은 병원과 치료 센터를 운영하는 마이애미의 비영리 학술의료 시스템인 잭슨 헬스 시스템(Jackson Health System, JHS)이 문제가 되었다. JHS는 2013년과 2016년 사이에 여러 건의 사고에 대해 DHS로부터 215만 달러의 벌금을 부과받았다.

JHS는 2013년 환자 756명에 대한 서류기록 분실신고를 DHS에 했지만, 내부조사 결과 추가로 3상자 분량의 환자기록에 대한 분실신고가 누락된 것이 밝혀졌다. 2015년, JHS는 2명의 직원이 직무와 무관하게 환자의 전자 의료기록에 접속했다는 사실을 발견했다. 2016년에는 JHS가 한 직원이 2011년부터 환자 기록 2만 4,000여 건을 판매한 사실을 확인하고 유출 사실을 보고한 바 있다. 

- 에퀴팩스와 페이스북: 각각 65만 달러(7억 5,000만 원) 
에퀴팩스와 페이스북은 스스로 운이 좋다고 생각할 수 있다. 2018년 영국 ICO는 GDPR 데이터 보호법 시행 이전에 발생한 데이터 사고에 대해 이들 두 회사에 각각 벌금 50만 파운드를 부과했다. 당시 규정으로는 이 금액이 최대치였다. GDPR 시행 후였다면 벌금은 훨씬 더 높을 수 있었다. 페이스북은 지난 10월 케임브리지 애널리티카(Cambridge Analytica) 데이터 스캔들로 인해 벌금을 받은 것이고, 에퀴팩스는 2017년 유출에 대해 9월에 최고 금액의 벌금을 부과받았다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.