Offcanvas

CSO / 분쟁|갈등

미 SEC, 솔라윈즈 CISO 고소··· “정보 숨기고 피해 대응 제대로 안 해”

2023.11.01 Shweta Sharma  |  CSO
미국 증권거래위원회(SEC)가 사이버 보안과 관련된 위험성을 과소평가하고 수많은 문제 신호를 놓쳤다는 혐의로 솔라윈즈(SolarWinds) 기업 및 솔라윈즈 CISO를 고발했다고 30일 밝혔다.
 
ⓒ Getty Images Bank

미국 증권거래위원회(SEC)는 전 세계 정부 기관과 기업의 수천 명의 고객에게 영향을 미친 2020년 선버스트(Sunburst) 사이버 공격 전후에 위험성을 밝히지 않고, 보안 조치를 제대로 하지 않았다는 혐의로 솔라윈즈와 솔라윈즈의 최고 정보 보안 책임자(CISO) 티모시 G. 브라운를 고소했다. 적절한 정보를 제공하지 않아 투자자를 오도했다는 것이다. 

SEC는 보도자료를 통해 “솔라윈즈는 증권거래법의 보고 및 내부 통제 규정을 위반했으며, 브라운 CISO는 회사의 위반 행위를 방조했다”라고 설명했다. 

CISO가 SEC의 기소장 이름이 오른 것은 이례적이다. 이번 솔라윈즈 소송의 결과로 CISO의 역할은 대폭 달라질 가능성이 있다. 가령 조사 권한과 책임 수준이 강화될 수 있다.  

파레크 컨설팅의 수석 애널리스트인 파레크 제인(Pareekh Jain)은 “솔라윈즈 사건은 사이버 공격을 관리할 뿐만 아니라 고객과 투자자에게 사이버 보안 준비 및 통제에 대해 적극적으로 알려야 하는 상장 기업의 CISO의 책임을 강조하고 있다”라며 “특히 이번 소송은 CISO가 위험 신호를 제대로 알리지 않은 부분을 주목하고 있다. 마치 CFO가 재무 정보 공개를 중요하게 생각하는 것과 마찬가지로 CISO도 미리 보안 정보를 더 적극적으로 알리는 노력을 해야 할 수 있다”라고 설명했다. 

보안 기업인 컬러토큰(ColorTokens)의 CISO 자문 담당 부사장인 아그니딥타 사르카(Agnidipta Sarkar)는 “아직 밝혀지지 않은 것이 많다. CISO가 다른 경영진 압력에 ‘굴복’했는지, 아니면 해킹에 연루되었는지 알 수 없다”라며 “어떤 경우든  솔라윈즈 CISO는 피고소인이 된 상태다. 다만 현실적으로 CISO는 매우 복잡한 역할을 맡고 있다는 점을 감안해야 한다. CISO는 끊임없이 내부 정치와 반발을 헤쳐 나가야 하며, 정신을 바짝 차리지 않으면 다른 C레벨 경영진이 경험하지 못한 규모의 외부 세력에 휘둘릴 수 있다”라고 밝혔다. 

6월 초, SEC는 최고 재무 책임자(CFO)와 최고 정보 보안 책임자(CISO)를 포함한 솔라윈즈 직원에게 선버스트에 대한 대응과 관련하여 연방법 위반에 대한 법적 조치를 취할 수 있음을 알렸다.

SEC는 소장에서 사이버 보안 관행 및 위험에 대한 솔라윈즈의 공식 발표가 내부 자료들과 상충된다라고 지적했다. 예를 들어, 2018년에 회사 엔지니어들이 작성한 내부 발표 자료에서 솔라윈즈 및 브라운 CISO 가 핵심 제품의 보안 위험에 대해 알고 있었다는 사실이 나왔다.

해당 내부 문서에서는 솔라윈즈의 원격 액세스 설정은 ‘그다지 안전하지 않은’ 것으로 밝혀졌으며, 관련 취약점을 악용하는 사람은 솔라윈즈 감시를 피하고 기본적으로 무엇이든 할 수 있으며 이는 중대한 평판 및 재정적 손실로 이어질 수 있다고 언급된 바 있다.

브라운은 2018년과 2019년에 내부 발표에서 “현재 보안 상태로 인해 중요 자산이 매우 취약한 상태”라며 “중요 시스템 및 데이터에 대한 액세스 및 권한이 부적절하다”라고 말했다고 SEC는 주장했다. 

SEC는 또한 “브라운과 다른 솔라윈즈 직원이 솔라윈즈에 심각한 사이버 보안 결함이 있다는 것을 알고 있었다”라며 “내부 이메일, 메시지 및 문서에서 수많은 중대한 사이버 보안 위험, 제어 문제 및 취약성을 언급하고 있다. 이러한 내부 진술은 솔라윈즈가 외부적으로 밝힌 사이버 보안 관행, 위험, 제어 및 취약성과 관련 설명과 완전히 다르다”라고 밝혔다. 

SEC 소장에 따르면, 또한 2020년 6월 솔라윈즈 고객사에 이뤄진 사이버 공격을 조사하던 중 브라운은 “공격자가 대규모 공격에 솔라윈즈의 오리온 소프트웨어를 사용하려 했을 수 있다는 점이 매우 우려스럽다”라며 “이는 솔라윈즈 백엔드가 그다지 탄력적이지 않기 때문”이라고 언급했다. 여기에 두 달 후 브라운은 다른 사람들과 공유한 내부 문서에서 ”지난 한 달 동안 확인된 보안 문제의 양이 엔지니어링 팀의 해결 능력을 넘었다”라고 설명했다.

솔라윈즈는 SEC의 고발이 잘못되고 부적절하다고 주장하는 중이다. SEC가 소송을 제기한 당일, 솔라윈즈의 CEO인 수다카 라마크라슈나(Sudhakar Ramakrishna)는 공식 블로그에서 “SEC는 우리에 대해 잘못 인도되고 부적절한 법적 조치를 제기했으며, 이는 업계가 발전해야 하고 정부가 장려하는 발전과 일치하지 않는 퇴행적인 견해와 행동”이라고 설명했다. 

라마크리슈나는 모든 혐의를 부인하면서 솔라윈즈는 선버스트 발생 전후로 적절한 사이버 보안 통제를 유지했다고 주장했다. 그는 또한 솔라윈즈가 SEC의 조치에 강력히 반대할 것이라고 말했습니다.

SEC는 소장에서 솔라윈즈의 영구 금지명령 구제, 판결 전 이자를 포함한 추징금, 민사 처벌, 브라운에 대한 임원 및 이사 금지를 요구하고 있다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.