세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[2월 2주 뉴스쌈] 에퀴팩스가 새 CISO를 임명했다
  |  입력 : 2018-02-18 18:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페덱스 고객정보 노출, 미 공군 버그바운티 포상금,
오라클의 제넷지 인수, 23 NYCRR 500의 연감 마감,
금융 사이버보안 비용, 미 선거 보안, 에퀴팩스 소식


[보안뉴스 오다인 기자] 보안사고는 터질 때까지 터진 게 아닙니다. 그러나 한 번 터지고 나면 뒷감당은 무척 어렵습니다. 혹자는 세상에 2종류의 기업이 있다고 했습니다. 사이버 공격에 당한 기업과 사이버 공격에 당했지만 인지하지 못하는 기업입니다. 100%의 보안은 없지만 최대한의 노력을 기울이는 것이 결국 답입니다. 사고가 터지는 만큼 보안의식도 높아졌으면 합니다. 2월 둘째 주 뉴스쌈, 시작합니다.

[이미지=iclickart]


페덱스 고객정보, 아마존 S3 서버에 노출
미국 운송업체 페덱스(FedEx)의 고객정보 수천 건이 아마존 심플 스토리지 서비스(S3) 서버에 고스란히 노출돼 있었던 것으로 드러났습니다. 페덱스는 해당 정보에 대한 접근 권한을 ‘전체 공개(public access)’로 잘못 구성해 뒀던 것으로 밝혀졌습니다. 이 같은 사실은 이달 초 IT 전문업체 크롬테크(Kromtech)의 보안 분석가들이 발견하고 보고했습니다.

노출된 버킷은 ‘봉고 인터내셔널 LLC(Bongo International LLC)’라는 회사에 소속된 것이었습니다. 봉고 인터내셔널 LLC는 북미 지역 회사들이 전 세계 고객들을 대상으로 마케팅을 수행할 수 있도록 지원하려는 목적에서 설립된 회사인데요. 페덱스는 2014년에 이 회사를 인수하고, 2년 뒤인 2016년에 ‘페덱스 크로스-보더 인터내셔널(FedEx Cross-Border International)’이라는 이름으로 이 회사를 재출범시켰습니다.

페덱스 크로스-보더 인터내셔널은 2017년에 사업을 종료했습니다. 그러나 사업이 끝났더라도 끝나지 않은 것이 있었으니, 2009년부터 2012년까지 상속된 데이터가 서버에 그대로 남아있었던 것인데요. 여기에는 캐나다, 일본, 중국, 호주, 유럽연합 등 세계 각국 시민들의 개인식별정보(PII)가 포함돼 있었습니다. 11만 9,000명이 넘는 사람들의 여권, 운전면허증, 신분증 사본과 함께, 배달 신청서에 기입한 성명, 집 주소, 전화번호, 우편번호 등까지 죄다 스캔한 문서 그대로 노출됐습니다.

해당 버킷은 크롬테크의 보고 후 비공개로 전환됐습니다. 페덱스는 이 정보들이 침해됐다는 정황은 파악하지 못했으나 현재 관련 조사를 진행하고 있다고 밝혔습니다.

아마존 S3 스토리지 버킷의 보안을 제대로 단속하지 못해 고객정보를 노출한 사례는 계속해서 이어지고 있습니다. 점점 더 많은 기업이 클라우드로 이동하고 있지만 그만큼 보안상의 주의는 기울이지 않는 것으로 보입니다.

서비스형 보안관제센터(SOC-as-a-Service)를 표방하는 보안업체 아틱 울프 네트웍스(Arctic Wolf Networks)의 최고경영자(CEO) 브라이언 네스미스(Brian NeSmith)는 “클라우드 서비스는 각 기업이 노력하는 만큼만 안전하다”면서 “기업들은 온프레미스 네트워크에서 하는 만큼 클라우드 인프라에서도 엄격한 규율을 적용해야 한다”고 경고했습니다.

미국 공군, 버그바운티에서 최고 단일 포상금 지급
미국 공군의 버그바운티 프로그램인 ‘핵 디 에어포스(Hack the Air Force)’에서 최고 단일 포상금이 지급됐습니다. 12,500달러(약 1,350만 원)입니다. 이 포상금의 주인공은 미국 공군의 포털 호스트 시스템 상에서 데이터를 조작할 수 있는 코드 실행 취약점을 찾아낸 사람입니다.

이번 버그바운티는 ‘핵 디 에어포스 2.0’이라는 이름으로 지난 12월 9일부터 20일간 진행됐습니다. 취약점 연구자뿐만 아니라 미국 국방부와 공군 인력이 대거 참여했는데, 대회 개시 후 9시간 만에 55개 취약점이 발견됐으며 나머지 시간 동안 51개의 취약점이 추가적으로 발견됐다고 합니다. 괜히 많은 예산을 들여가며 버그바운티를 하는 게 아니겠죠?

핵 디 에어포스 2.0은 총 103,883달러, 원화로 약 1억 1,209만 원을 상금으로 수여했습니다. 지금까지 미국 연방 버그바운티 프로그램에서 단일 취약점에 대해 12,500달러를 지급한 것은 이번이 최초이자 최대 수준입니다.

오라클, 클라우드 보안 위해 제넷지 인수
오라클(Oracle)이 제넷지(Zenedge)를 인수합니다. 제넷지는 클라우드 기반 네트워크 및 인프라 보안에 집중하는 기업으로 알려졌습니다. 오라클은 클라우드 인프라 서비스의 보안을 강화하는 차원에서 제넷지를 인수하기로 합의했다고 15일 밝혔습니다. 계약의 구체적인 내용에 대해서는 현재 알려진 바 없습니다.

제넷지는 클라우드, 온프레미스, 하이브리드 환경에 도입되는 IT 시스템을 안전하게 관리하기 위한 기술을 개발합니다. 제넷지는 웹 애플리케이션 방화벽(WAF)과 디도스(DDoS) 방어 제품도 판매하고 있습니다.

오라클은 제넷지의 WAF 및 디도스 방어 기술을 오라클 클라우드의 서비스형 인프라(IaaS) 및 DNS 기능에 통합시킬 계획이라고 밝혔습니다. 또한, 오라클은 제넷지가 애플리케이션과 네트워크 보안 기능을 추가할 예정이라고 덧붙였습니다.

23 NYCRR 500, 그 첫 번째 연감 제출이 15일 마감됐다
‘23 NYCRR 500’은 미국 뉴욕 주 금융서비스국(New York State Department of Financial Services)이 2017년 3월 발효한 법으로, 사이버 보안 규제의 역사적인 획을 그었다고 평가됩니다. 뉴욕 주 내의 은행, 보험업자, 기타 금융 서비스 기관들은 지난 1년간 23 NYCRR 500을 준수했다는 사실을 증명하는 연감(annual certification of compliance)을 15일까지 제출해야 했습니다. 법 발효 이후 최초의 연감 제출입니다.

23 NYCRR 500은 대상 기관들로 하여금 △위험 평가 △취약점 평가 △침투 테스트 △다중 인증 △엔드유저 인식 훈련 시행 등을 의무화하고 있습니다. 보안사고 발생 시 72시간 안에 보고해야 한다는 규정도 8월부터 시행됐습니다.

23 NYCRR 500에 따르면, 기업들은 정상적인 운영에 지장을 초래할 만한 ‘합리적인 가능성(reasonable likelihood)’이 있는 사고라면 무조건 72시간 내에 보고해야 할 의무가 있습니다. 즉, 개인식별정보(PII)뿐만 아니라 지적 재산의 유출이나 디도스 공격까지 모든 사고들을 알려야 한다는 건데, 이는 아직까지 다른 법에서 찾아볼 수 없는 23 NYCRR 500만의 독특한 규정입니다.

금융업계의 사이버 범죄 대응 비용, 2014년에 비해 40%나 뛰어
금융 서비스 기업이 사이버 사건 대응에 쓰는 비용은 타 산업에 비해 평균적으로 높고, 사건 하나당 쓰는 비용도 지난 3년간 40%나 증가한 것으로 나타났습니다. 컨설팅 기업 액센츄어(Accenture)와 보안 연구소 포네몬 인스티튜트(Ponemon Institute)가 13일 발표한 ‘사이버 범죄 비용 연구(The Cost of Cybercrime Study)’에 따른 수치입니다.

사이버 범죄 비용 연구에 따르면, 금융업계는 사건 하나당 2014년 1,297만 달러(약 140억 원)를 지출하던 데서 2017년 1,828만 달러(약 197억 원)를 지출하는 수준까지 비용이 증가했습니다. 타 산업의 경우, 2017년 평균이 1,170만 달러(약 126억 원)에 그쳤습니다.

그러나 비용이 높아진 만큼 금융업계의 사이버 보안 역량도 점점 더 커지고 있는 뜻이라고 연구진은 설명했습니다. 액센츄어의 전무이사 크리스 톰슨(Chris Thompson)은 “정교한 공격에 대응하는 데 있어 금융 서비스 기업들이 타 산업보다 훨씬 더 균형 잡혀 있고 관련 예산도 적절한 수준에서 지출하고 있다”고 말했습니다. 이어 그는 “특히, 미래 사이버 보안의 핵심이 될 자동화, 인공지능, 머신러닝 기술을 활용하는 데 있어 금융 기업들이 더 잘하고 있다”고 덧붙였습니다.

미국, 3월 프라이머리 앞두고 선거 보안 우려 커져
2018년 미국 중간선거 프라이머리(Primary)가 3월 6일로 성큼 다가오면서 선거 시스템 보안에 대한 우려가 커지고 있습니다. 미국에선 연방 차원의 노력이 부족하다는 비판이 나옵니다. AP통신이 13일 보도했습니다.

AP통신은 연방 정부가 각 주의 선거 시스템 보안을 강화하려는 노력을 매우 느리게 진행하고 있다고 지적했습니다. 프라이머리가 채 한 달도 남지 않은 현재, 미국 국토안보부(DHS)가 제공하는 취약점 평가를 받은 곳이 단 14개 주(州) 선거기관 및 3개 지역 선거기관에 그쳤다고 AP통신은 설명했습니다. 또한, 2주짜리 평가를 모두 완료한 곳은 단 5개에 불과했다고 비판했습니다.

일례로, 2016년 유권자 등록 데이터베이스를 공격당한 일리노이 주의 경우 지난 1월에 취약점 평가를 요청했으나 아직까지 대기 중인 상태라고 AP통신은 전했습니다.

한편, 이런 상황에서 ‘디지털 민주주의 수호 프로젝트(D3P: Defending Digital Democracy Project)’라는 이름으로 선거 캠페인 관리자를 위한 사이버 보안 안내서가 발행되기도 했습니다. D3P는 하버드 케네디 스쿨 벨퍼 센터(Belfer Center for Science and International Affairs, Harvard Kennedy School)가 수행한 프로젝트입니다. 즉, 정부가 나서지 않자 민간에서 나선 것이라고 볼 수 있는데요. 이들은 ‘주·지역 선거 사이버 보안 각본(The State and Local Election Cybersecurity Playbook)’을 공지하고 배포하는 중입니다.

에퀴팩스가 새 CISO를 임명했다
말 많고 탈 많은 에퀴팩스(Equifax)가 2월 둘째 주 뉴스쌈에 다시 이름을 올립니다. 정보보호최고책임자(CISO)를 새로 임명했기 때문입니다.

자밀 파쉬치(Jamil Farshchi)는 홈디포(Home Depot) CISO를 역임한 인물로, 2014년 홈디포가 정보 유출 사고를 당한 뒤에 당시 CISO직 제안을 받아들였다고 합니다. 에퀴팩스에 따르면, 파쉬치는 에퀴팩스의 정보보안 프로그램을 완전히 변화시킬 예정이며, 최고경영자(CEO)에게 관련 사안을 직접 보고하게 됩니다. 에퀴팩스가 CISO의 권한을 강화했다는 뜻으로 읽힙니다.

파쉬치는 세계적인 미디어그룹 타임워너(Time Warner)사의 글로벌 CISO 최초 역임과 더불어, 신용카드사 비자(Visa)의 글로벌 정보보안 부사장 및 미국 항공우주국(NASA)의 고위직을 역임하기도 했습니다.

에퀴팩스 CISO직을 받아들이면서 파쉬치는 “에퀴팩스는 엄청난 잠재력이 있는 회사로, 에퀴팩스의 보안 프로그램을 세계에서 가장 인정받는 프로그램 중 하나로 완전히 바꿔놓을 것”이라고 말했습니다. 이어 그는 “새로운 숙제가 주어진 데 대해 감사한 마음”이라며 “데이터 관리 및 정보보안을 새로운 통찰력과 관점, 다차원적인 사고방식으로 접근해 사업을 일으킬 것”이라고 덧붙였습니다.

화려한 이력의 새 CISO와 함께 에퀴팩스가 다시 일어설 수 있을지 주목됩니다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)