세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
에퀴팩스 사건 후 해임된 두 임원들, 딱 맞는 책임자인가?
  |  입력 : 2017-09-19 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CSO와 CIO는 해임...CFO 등 경영진 세 명은 주식 매각하려다 경찰 수사
정보 유출 사고, 보안 책임자만의 책임일까? 경영진의 역할은?


[보안뉴스 문가용 기자] 지난 주 금요일 에퀴팩스는 CSO인 수잔 몰딘(Susan Mauldin)과 CIO인 데이비드 웹(David Webb)의 해임 사실을 알려왔다. 물론 얼마 전 발생한 대규모 정보 유출 사건은 전혀 관련지어 언급하지 않았지만, 누구라도 해당 사건과 해임을 연결 지을 수밖에 없었다. 이에 또 다른 보안 문제가 이슈화되고 있다. 유출 사고에 대한 책임을 CIO와 CSO가 지는 게 맞냐는 것이다.

[이미지 = iclickart]


이런 의문이 드는 것은 블룸버그마케츠(BloombergMarkets)지는 미국 사법부가 에퀴팩스 최고 임원 세 명에 대한 범죄 수사를 시작했다는 기사를 실었기 때문이다. 이 임원 세 명이 사건 발생 직후 회사 주식을 매각한 것과 관련하여 내부자 거래 관련 법을 어겼다는 의혹이 있었다. 이들은 에퀴팩스의 CFO인 존 갬블(John Gamble)과 인력해결 부문 회장인 로돌포 플로더(Rodolfo Ploder), 미국 정보 솔루션 부문 회장인 조셉 루란(Joseph Loughran)이며, 정보 유출 사고가 밝혀진 직후인 8월초 2백만 달러에 해당하는 주식을 판 것으로 드러났다. 이 세 인물은 당시 사고에 대해 인지하고 있지 않았다는 게 에퀴팩스의 공식 입장이다.

일단 에퀴팩스가 누군가의 침투 사실을 최초로 인지한 건 7월 29일의 일이다. 실제 침투가 발생한지 1개월 반이 넘은 시점이었다. 에퀴팩스는 보안 업체인 맨디언트(Mandiant)에 사건 수사를 의뢰했고, 당시에는 국가가 후원하는 해커들의 소행일 가능성이 높게 점쳐졌다.

한편 사고 자체는 이미 공개되고 패치까지 나온 아파치 스트러츠(Apache Struts) 취약점인 CVE-2017-5638의 관리부실 때문인 것으로 판명 났으며, 에퀴팩스 측도 이 문제를 해결하기 위한 노력을 기울이고 있다고 발표했다. CVE-2017-5638은 최초 진입로가 되어준 취약점으로, 네트워크에 침투한 공격자들이 어떤 행동들을 취했는지는 계속해서 조사되고 있는 중이다.

SANS 인스티튜트의 존 페스카토어(John Pescatore)는 “여태까지 모은 정보들을 봤을 때 몰딘과 웹은 해고당할 만 했다”는 의견을 내놓는다. 이유는 간단하다. “아파치 스트러츠 취약점은 해결책이 이미 오래 전에 공개된 것이고, 많은 기업 및 조직들이 이 취약점 때문에 수차례 공격을 당한 전적이 있기 때문입니다. CIO와 CSO라면 진즉 조치를 취했어야 마땅합니다. CIO와 CSO라서 희생양이 됐다? 직무 태만에 가깝습니다.”

“물론 패치에 따라 더 높은 자리에 있는 책임자의 결정이 있어야만 진행될 수 있는 것들도 존재한다”는 걸 알고 있는 페스카토어지만 “이번 건은 다르다”고 잘라 말한다. “그냥 보안 팀이 아무 것도 하지 않은 거예요. 아파치 스트러츠 취약점 패치는 윗선에 보고를 올리고 자시고 할 게 아닙니다. 기본적인 ‘위생 관리’와 똑같은 선상에 있는 것이고, 보안 팀이 응당 해야 할 기본을 하지 않았다는 뜻밖에 되지 않습니다.”

하지만 콤시아(CompTIA)의 CEO인 토드 티보도(Todd Thibodeaux)는 의견이 조금 다르다. “에퀴팩스 임원진들에게도 책임이 없다고 할 수 없습니다. 지금 시대에 패치에 대한 책임이 온전히 보안 담당자들에게만 있다고 할 수 없거든요. 이제 업데이트나 시스템 보안 상태 점검도 운영의 한 요소입니다. 보안 팀이 놓쳤다면, 운영진들이 위기 관리 차원에서 되게끔 했어야죠. 모든 보안 요소와 실천 사항을 보안 팀만 지키고 점검할 수 없는 게 현실입니다.”

또한 티보도는 “이렇게 막을 수 있었을 법한 사건이 발생하면 CISO나 CSO 등이 해임되는 게 통상 있는 일”이라며 “만약 에퀴팩스 사건 때 유출된 게 아니라 돈이었다면 어땠을까?”하고 되묻는다. “어마어마한 금전적 손해가 발생했다면 CISO뿐만 아니라 경영진들조차도 전부 옷 벗었을 겁니다. 에퀴팩스가 CSO와 CIO만 내보냈다는 것 자체가 이 사안을 굉장히 안일하게 보고 있다는 겁니다.”

티보도는 계속해서 “회사 경영진들이 실제 사이버 보안에 대해 이해하기 위해 얼마나 노력을 해왔는가?”라고 말을 이어갔다. “적극 나서서 이 분야를 파악하려는 이가 없는 게 현실입니다. 장부나 다양한 영수증, 인보이스 등은 순식간에 해독하는 사람들이 ‘침투 테스트’가 뭔지 모르는 경우가 태반이죠. 지적 재산이 어떤 식으로 보호되고 있는지 설명 못하는 사람이 대부분이기도 하고요. 심지어 NIST를 잘 모르는 분도 봤습니다. CISO 등의 사람들이 자꾸만 보안 사고에 대한 책임을 지는 분위기다 보니 경영진이 보안을 알아야 할 필요가 없는 겁니다. 이게 더 큰 문제에요.”

보안 업체 뷰포스트(Viewpost)의 CSO인 크리스토퍼 피어슨(Christopher Pierson)은 “CISO 등 보안 책임자의 역할은 오히려 경영진에게 보안에 대한 관심을 불러일으키는 것일지도 모른다”는 의견이다. “즉 직접 나서서 조직 전체의 보안 위생을 가다듬는 게 아니라 경영진을 통해서 하는 것이 장기적으론 더 낫다는 것이죠. 아니, 더 나은 정도가 아니라 그게 필수일지도 모르겠습니다.”

피어슨은 “그러려면 보안을 CEO가 좋아할만한 관점으로 이야기할 줄 알아야 한다”고 주장한다. “리스크 관리, 고객 관리, 신뢰도 구축, 수입과 비용 절감 등의 측면에서 보안을 해석해보세요. 이런 노력이 누구를 위한 일일까요? 보안 책임자 자신을 위한 일입니다. 언젠가 발생할 사고에서 희생양이 될 가능성을 낮추는 작업이기 때문이죠. 보안을 특별한 IT 기술의 일부로만 보는 시각은 배재해야 합니다.”

보안 업체 지스케일러(Zscaler)의 CISO인 마이클 서튼(Michael Sutton)은 피어슨의 말에 동의하며 “보안에 대한 지식을 갖추는 건 오늘 날 IT 환경에서 사업하려는 모든 사람들에게 필수”라고 주장한다. “좋은 아이템이나 아이디어만으로 사업을 할 수 없습니다. 그 아이템이나 아이디어를 알리고 팔고 그에 대한 돈을 받아야 하지요. 이런 행위들은 사이버 공간에서 일어나고, 그 틈바구니를 뚫고 공격자들이 정보나 돈을 호시탐탐 노리고 있어요. 사업을 잘 하려면 이제 보안을 알아야 합니다. 지금에 와서 CISO만 해임시키는 건 시대착오적입니다.”

서튼은 “정보보안은 이미 필수품을 넘어, 사업을 위한 투자의 개념으로 바뀌고 있다”고 설명하며, “그렇다면 투자 결정을 잘못했다고 CISO만 벌할 수는 없는 노릇”이라고 주장한다. “회사가 어디에 돈을 쓸 것인지 결정하는 건 전부 경영진입니다. 보안을 잘 알든 모르든 말이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#해임   #책임   #임원   #CISO   #CSO   #CIO   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)