야후의 후신인 알타바, 3천 5백만 달러 벌금형 받아

2014년 정보 유출 사고, 야후 알고도 알리지 않아
판결문서 “공개 기업이라면 사건 공개 절차 반드시 갖춰야”

[보안뉴스 문가용 기자] 미국의 증권거래위원회가 2014년 발생한 야후의 해킹 사태와 관련해 알타바(Altaba)가 3천 5백만 달러의 벌금을 물어야 한다는 판결을 내렸다. 알타바는 해커들이 알타바의 전신인 야후의 데이터를 가지고 있음을 알고도 이를 보고하지 않았다.

[이미지 = iclickart]

알타바로 이름이 바뀐 야후에서 발생한 해킹 사태는 수천만 야후 계정이 털린 사건인데, 범인은 러시아로 지목되고 있는 상황이다. 사용자 이름, 이메일 주소, 전화번호, 생년월일, 암호화된 비밀번호, 보안 관련 질문 등에 관한 정보가 전부 해커들의 손에 넘어갔다.

야후는 이러한 사실을 꽤나 빨리 알아차렸다. 하지만 아무에게도 이러한 사실을 알리지 않고 있었다. 그 침묵 기간은 2년을 넘어섰다. 그러다가 대형 통신업체인 버라이즌에 매각될 상황이 되면서 야후의 수천만 건 계정이 해킹됐다는 사실이 온 세상에 드러나게 된 것이다.

“야후가 데이터를 제대로 보호하지 못했을 뿐만 아니라, 사고 후 관계자들에게 알려야 하는 책임조차 제대로 지키지 않았기 때문에 많은 투자자들이 아무 것도 모른 채 대형 거래를 진행해야만 했다”고 증권위원회는 설명했다.

“공개 기업이라면 마땅히 사이버 사건을 해결하고 알려야 하며, 그러한 행위를 최대한 효율적이고 재빠르게 할 수 있게 해주는 절차도 마련한 상태여야 합니다.” 지나 최(Jina Choi) 판사의 판결문 중 일부 내용이다.

물론 이제 야후는 기억 속에 남아있는 회사다. 금융 지주는 알타바(Altaba)라는 회사이기 때문이다. 버라이즌이 야후를 매각해 브랜드를 계속 사용하고 있긴 하지만 이제 포털의 선두 주자라는 느낌은 남아있지 않다. 버라이즌의 야후는 현재 이메일, 뉴스, 엔터테인먼트 쪽에 초점을 맞춘 서비스를 제공하고 있다.

2014년의 유출 사고 외에도 야후는 대형 사고를 한 차례 더 겪었다. 사실 2014년보다 한 해 전인 2013년의 일이다. 당시 30억 명의 야후 사용자 계정에 피해가 갔다. 이는 버라이즌이 M&A를 마친 후 발표한 사실이다.

미국 사법부는 이와 관련하여 두 명의 러시아 첩보 요원과 두 명의 해커들을 기소한 바 있다. 이들의 공격 동기는 사이버 스파잉과 금전 탈취 모두인 것으로 보인다.

한 때 인터넷 세상을 평정하다시피 했던 야후는 점점 입지를 잃더니 작년 버라이즌에 44억 8천만 달러에 매각됐다. 이는 데이터 유출 사고가 세상에 드러나면서 크게 낮춰진 금액이기도 하다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)