2018.06.11

"고객 정보 유출 사건에서 얻은 교훈은…" 톡톡 전임 CEO의 고백

Hannah Williams | Computerworld UK
지난주 유럽에서 열린 보안 행사인 인포시큐리티 유럽 2018에서 영국 통신사 톡톡(Talk Talk)의 CEO였던 다이도 하딩이 다른 비즈니스 리더에게 보안 위험에 관해 이사회단 의견의 중요성을 강조했다.

하딩은 2015년 10월의 톡톡 웹 사이트 해킹을 언급하며, 경찰과 다른 몇몇 사람들이 이 결정에 대해 이의를 제기했는데도 당시 공격 사실을 고객에게 알리자는 회사의 결정을 고수했다.

하딩에 따르면, 12시간 만에 어떤 데이터가 있었고 얼마나 많은 데이터가 수집되었는지 파악하지 못한다고 해도 데이터와 개인정보를 보호하고 고객에게 관심을 기울이는 것이 우선시 돼야 한다.

"약 12시간 만에 우리가 무엇을 보유하고 있는지 파악하지 못했지만 많은 데이터를 도난당했을 가능성이 매우 높았다"며 "사건이 과열되면서 정말로 어려운 일은 모른다는 것이다”고 하딩은 지적했다.

이어서 "우리는 잠재적으로 모든 고객 데이터가 도난당했다는 것을 알고 있었지만 정확히 무엇을 도난당했는지 알지 못했고 우리가 알아내는 데 시간이 걸릴 것을 알고 있었다"고 덧붙였다.

이 회사는 당시에 15만 5,600개 이상의 은행 계좌번호와 정렬 코드를 도난당했으며 15만 명이 넘는 고객 데이터를 침해당했다는 사실을 발견했다.

하딩은 톡톡의 희망사항이 고객에게 초점을 맞추는 것이었으며, 경찰과 GCHQ(Government Communication Headquarters)에 대한 다른 접근 방법으로 설명했다. 이 접근법은 즉시 범죄자를 잡으려고 했다.
 
“사실 우리 고객을 돌보는 것이 바로 우리가 해야 할 유일한 일이었다. 경찰은 나쁜 일을 하고 있는 것이 아니라 사기극을 잡는 것이 목표였으며 GCHQ의 기능은 국가 안보였다"고 하딩은 이야기했다.

하딩은 공격을 받고 나서 3개월이 지난 후 회사 브랜드가 그 전보다 더 신뢰를 받게 됐다고 주장했다. 이는 고객의 개인정보 현황에 관해 공개한 결과다.

하딩은 외부 프로세스를 논의하면서 "우리는 사이버보안을 심각하게 생각하지 않은 회사가 아니었다. 적어도 우리는 생각했다. 우리에게 일어난 일은 우리가 젊고 미성숙한 회사였고 우리가 많은 인수를 통해 성장한 회사기 때문이라는 데서 기인했다”고 설명했다.

이어서 "톡톡이 인수한 기업 3개 중 2개에서 사용되지 않은 구형 웹 사이트에 매우 간단한 SQL 취약점이 있었다"고 지적했다.

공격이 발생하기 전 톡톡은 고객 정보를 보호하기 위해 잘 하고 있었지만 회사는 "창고가 있었는지조차 알지 못했고 창고에는 완전히 열린 창문이 있다"고 하딩은 전했다. 

"비슷한 경험을 한 다른 최고 경영자들과 이야기할수록 여러분은 교훈을 얻게 될 것이다. 문제는 M&A와 이를 통해 얻은 구형 시스템이다. 문제는 실제 보안 전문가의 이야기를 듣지 않으려는 경영진이다"고 하딩은 설명했다.

하딩은 경영진과 이사회가 제대로 질문하지 않는다고 생각했다. 그들은 기존의 기술을 폐기하는 데 주력해야 하며 ‘위험 요소가 무엇이며, 우리는 무엇을 완화해야 하나?’라는 질문을 우선시해야 한다고 하딩은 권고했다.

대부분 이사회는 지금도 이사회 문제인데도 사이버보안 책임을 간과하고 이를 전문가에게만 맡기려 한다.
 
하딩에 따르면, 온라인으로 재개할 만큼 안전한 시점이 언제인지를 알고 이사회가 개입했다면 이 문제가 더 쉬워질 수 있다고 판단해 결정하는 일이 가장 어려운 것이었다.

"톡톡의 보안 및 기술 전문가팀은 스스로 결정을 내리고 싶었지만 할 수 없었다"고 하딩은 덧붙였다.

전 CEO의 관점에서 알 수 있듯이 회사 이사회의 교훈은 보안 대화에 참여하고 보안팀의 의견을 듣고 더 많이 해야 한다는 것이다.
 
"정말 똑똑한 엔지니어는 말할 수 있다는 점을 알게됐다. 때로는 극단적인 압력이 필요하지만 똑똑한 엔지니어들을 그렇게 할 수 있고 경영진도 이해할 수 있다. 우리는 톡톡에서 팀을 이뤄 잘 해나갈 수 있다는 것을 배웠다"고 하딩은 전했다. ciokr@idg.co.kr
2018.06.11

"고객 정보 유출 사건에서 얻은 교훈은…" 톡톡 전임 CEO의 고백

Hannah Williams | Computerworld UK
지난주 유럽에서 열린 보안 행사인 인포시큐리티 유럽 2018에서 영국 통신사 톡톡(Talk Talk)의 CEO였던 다이도 하딩이 다른 비즈니스 리더에게 보안 위험에 관해 이사회단 의견의 중요성을 강조했다.

하딩은 2015년 10월의 톡톡 웹 사이트 해킹을 언급하며, 경찰과 다른 몇몇 사람들이 이 결정에 대해 이의를 제기했는데도 당시 공격 사실을 고객에게 알리자는 회사의 결정을 고수했다.

하딩에 따르면, 12시간 만에 어떤 데이터가 있었고 얼마나 많은 데이터가 수집되었는지 파악하지 못한다고 해도 데이터와 개인정보를 보호하고 고객에게 관심을 기울이는 것이 우선시 돼야 한다.

"약 12시간 만에 우리가 무엇을 보유하고 있는지 파악하지 못했지만 많은 데이터를 도난당했을 가능성이 매우 높았다"며 "사건이 과열되면서 정말로 어려운 일은 모른다는 것이다”고 하딩은 지적했다.

이어서 "우리는 잠재적으로 모든 고객 데이터가 도난당했다는 것을 알고 있었지만 정확히 무엇을 도난당했는지 알지 못했고 우리가 알아내는 데 시간이 걸릴 것을 알고 있었다"고 덧붙였다.

이 회사는 당시에 15만 5,600개 이상의 은행 계좌번호와 정렬 코드를 도난당했으며 15만 명이 넘는 고객 데이터를 침해당했다는 사실을 발견했다.

하딩은 톡톡의 희망사항이 고객에게 초점을 맞추는 것이었으며, 경찰과 GCHQ(Government Communication Headquarters)에 대한 다른 접근 방법으로 설명했다. 이 접근법은 즉시 범죄자를 잡으려고 했다.
 
“사실 우리 고객을 돌보는 것이 바로 우리가 해야 할 유일한 일이었다. 경찰은 나쁜 일을 하고 있는 것이 아니라 사기극을 잡는 것이 목표였으며 GCHQ의 기능은 국가 안보였다"고 하딩은 이야기했다.

하딩은 공격을 받고 나서 3개월이 지난 후 회사 브랜드가 그 전보다 더 신뢰를 받게 됐다고 주장했다. 이는 고객의 개인정보 현황에 관해 공개한 결과다.

하딩은 외부 프로세스를 논의하면서 "우리는 사이버보안을 심각하게 생각하지 않은 회사가 아니었다. 적어도 우리는 생각했다. 우리에게 일어난 일은 우리가 젊고 미성숙한 회사였고 우리가 많은 인수를 통해 성장한 회사기 때문이라는 데서 기인했다”고 설명했다.

이어서 "톡톡이 인수한 기업 3개 중 2개에서 사용되지 않은 구형 웹 사이트에 매우 간단한 SQL 취약점이 있었다"고 지적했다.

공격이 발생하기 전 톡톡은 고객 정보를 보호하기 위해 잘 하고 있었지만 회사는 "창고가 있었는지조차 알지 못했고 창고에는 완전히 열린 창문이 있다"고 하딩은 전했다. 

"비슷한 경험을 한 다른 최고 경영자들과 이야기할수록 여러분은 교훈을 얻게 될 것이다. 문제는 M&A와 이를 통해 얻은 구형 시스템이다. 문제는 실제 보안 전문가의 이야기를 듣지 않으려는 경영진이다"고 하딩은 설명했다.

하딩은 경영진과 이사회가 제대로 질문하지 않는다고 생각했다. 그들은 기존의 기술을 폐기하는 데 주력해야 하며 ‘위험 요소가 무엇이며, 우리는 무엇을 완화해야 하나?’라는 질문을 우선시해야 한다고 하딩은 권고했다.

대부분 이사회는 지금도 이사회 문제인데도 사이버보안 책임을 간과하고 이를 전문가에게만 맡기려 한다.
 
하딩에 따르면, 온라인으로 재개할 만큼 안전한 시점이 언제인지를 알고 이사회가 개입했다면 이 문제가 더 쉬워질 수 있다고 판단해 결정하는 일이 가장 어려운 것이었다.

"톡톡의 보안 및 기술 전문가팀은 스스로 결정을 내리고 싶었지만 할 수 없었다"고 하딩은 덧붙였다.

전 CEO의 관점에서 알 수 있듯이 회사 이사회의 교훈은 보안 대화에 참여하고 보안팀의 의견을 듣고 더 많이 해야 한다는 것이다.
 
"정말 똑똑한 엔지니어는 말할 수 있다는 점을 알게됐다. 때로는 극단적인 압력이 필요하지만 똑똑한 엔지니어들을 그렇게 할 수 있고 경영진도 이해할 수 있다. 우리는 톡톡에서 팀을 이뤄 잘 해나갈 수 있다는 것을 배웠다"고 하딩은 전했다. ciokr@idg.co.kr
X