2014.11.27

끝나지 않은 데이터 유출… 홈데포, 올 3분기에만 4,300만 달러 지불

Jeremy Kirk | IDG News Service
지난해 가을 고객 정보 유출 사고를 겪은 홈데포가 아직도 이 때문에 상당한 비용을 지불하고 있으며 향후에도 그러할 것으로 예상했다.

한 단 번의 대규모 고객 정보 유출 사고를 겪은 이후 홈데포는 보안 사고 비용의 본질을 강조하며 올 3분기에만 미화 4,300만 달러를 지불했다고 밝혔다.

홈데포는 화요일에 정부에 정기적으로 보고하는 문서에서 1억 달러의 네트워크 보안과 개인정보 보호 배상 책임 정책에 1,500만 달러의 비용이 들 것으로 예상한다고 전했다.

이 회사는 사건 조사, 소비자에게 ID 도용 보호 서비스 제공, 콜센터 직원 증가, 다른 법률 및 전문 서비스 개선 등에 4,300만 달러를 지불할 예정이다.

해커들은 5,600만 건의 지불 카드 정보를 훔치고, 미국과 캐나다의 4월부터 9월까지의 홈데포 매장에서 쇼핑한 사람들의 5,300만 건의 이메일 주소를 수집했다. 해커들은 홈데포의 협력사 중 한 업체의 로그인 인증 정보를 사용해 홈데포의 네트워크에 접근했다.

홈데포는 앞으로 데이터 침해에 관련된 중요한 법률 및 기타 전문 서비스 비용까지도 지불해야 할 것이라고 전했다.

또한 홈데포는 미국과 캐나다 법원에서 44건의 소송을 진행하고 있다. 이 회사는 앞으로 고객, 지불카드 회사, 은행, 주주들이 소송을 걸 수도 있다고 예상했다.

카드 재발급 과정에서 또다른 위조가 발생할 수 있으며 지불카드 네트워크가 손실에 따른 비용을 회수하려 할 수 있다고 홈데포는 주장했다. 회사의 책임은 정보 유출에 영향을 미친 데이터 보안 표준을 준수했지 여부에 따라 달라질 것이다.

홈데포에 따르면, 독립 감독기관은 지불카드 데이터를 처리하는 네트워크가 2013년 가을 데이터 보안 표준을 준수하고 있는 것으로 알고 있었다. 그러나 홈데포는 2014에 인증받았다고 전했다.

"지불카드 네트워크에서 고용된 조사원들은 데이터 유출 사고 당시에 이러한 표준들을 준수하지 않았다고 주장할 지도 모른다"라고 홈데포는 말했다.

유통사들은 카드 데이터를 보호하기 위한 일련의 지침인 신용 카드 산업 데이터 보안 표준(PCI-DSS)을 반드시 따라야 한다. 규제를 준수하지 않았다는 것이 발견된다면, 회사는 법적 책임을 져야 할 수 있다.

PCI 보안 표준위원회는 유통사들에게 연례 감사로는 부족할 수 있으며 지속적으로 규제 준수 여부를 모니터링해야 한다고 당부했다. “네트워크를 변경할 경우 이 때문에 기업이 규제를 어기게 될 수도 있다”라고 위원회는 덧붙였다. ciokr@idg.co.kr



2014.11.27

끝나지 않은 데이터 유출… 홈데포, 올 3분기에만 4,300만 달러 지불

Jeremy Kirk | IDG News Service
지난해 가을 고객 정보 유출 사고를 겪은 홈데포가 아직도 이 때문에 상당한 비용을 지불하고 있으며 향후에도 그러할 것으로 예상했다.

한 단 번의 대규모 고객 정보 유출 사고를 겪은 이후 홈데포는 보안 사고 비용의 본질을 강조하며 올 3분기에만 미화 4,300만 달러를 지불했다고 밝혔다.

홈데포는 화요일에 정부에 정기적으로 보고하는 문서에서 1억 달러의 네트워크 보안과 개인정보 보호 배상 책임 정책에 1,500만 달러의 비용이 들 것으로 예상한다고 전했다.

이 회사는 사건 조사, 소비자에게 ID 도용 보호 서비스 제공, 콜센터 직원 증가, 다른 법률 및 전문 서비스 개선 등에 4,300만 달러를 지불할 예정이다.

해커들은 5,600만 건의 지불 카드 정보를 훔치고, 미국과 캐나다의 4월부터 9월까지의 홈데포 매장에서 쇼핑한 사람들의 5,300만 건의 이메일 주소를 수집했다. 해커들은 홈데포의 협력사 중 한 업체의 로그인 인증 정보를 사용해 홈데포의 네트워크에 접근했다.

홈데포는 앞으로 데이터 침해에 관련된 중요한 법률 및 기타 전문 서비스 비용까지도 지불해야 할 것이라고 전했다.

또한 홈데포는 미국과 캐나다 법원에서 44건의 소송을 진행하고 있다. 이 회사는 앞으로 고객, 지불카드 회사, 은행, 주주들이 소송을 걸 수도 있다고 예상했다.

카드 재발급 과정에서 또다른 위조가 발생할 수 있으며 지불카드 네트워크가 손실에 따른 비용을 회수하려 할 수 있다고 홈데포는 주장했다. 회사의 책임은 정보 유출에 영향을 미친 데이터 보안 표준을 준수했지 여부에 따라 달라질 것이다.

홈데포에 따르면, 독립 감독기관은 지불카드 데이터를 처리하는 네트워크가 2013년 가을 데이터 보안 표준을 준수하고 있는 것으로 알고 있었다. 그러나 홈데포는 2014에 인증받았다고 전했다.

"지불카드 네트워크에서 고용된 조사원들은 데이터 유출 사고 당시에 이러한 표준들을 준수하지 않았다고 주장할 지도 모른다"라고 홈데포는 말했다.

유통사들은 카드 데이터를 보호하기 위한 일련의 지침인 신용 카드 산업 데이터 보안 표준(PCI-DSS)을 반드시 따라야 한다. 규제를 준수하지 않았다는 것이 발견된다면, 회사는 법적 책임을 져야 할 수 있다.

PCI 보안 표준위원회는 유통사들에게 연례 감사로는 부족할 수 있으며 지속적으로 규제 준수 여부를 모니터링해야 한다고 당부했다. “네트워크를 변경할 경우 이 때문에 기업이 규제를 어기게 될 수도 있다”라고 위원회는 덧붙였다. ciokr@idg.co.kr

X