Offcanvas

디지털 디바이스 / 보안 / 분쟁|갈등 / 아웃소싱

블로그ㅣCISO가 반면교사 삼을 한 금융기관의 ‘ITAD’ 실패

2022.10.06 Christopher Burgess  |  CSO
모건 스탠리 스미스 바니(Morgan Stanley Smith Barney; MSSB) 사례를 반면교사로 삼아야 한다. IT 자산 처분 프로그램은 폐기한 기기에서 발생할지도 모를 데이터 유출로부터 기업을 보호할 수 있다. 

모든 기업은 정보 보안 프로세스 및 절차의 일환으로 ‘ITAD(IT 자산 처분)’ 프로그램을 갖추고 있어야 한다. 즉, 기업이 어떤 IT 자산을 구매한다고 할 때 해당 자산을 최종적으로 어떻게 처분할지 ITAD에서 이미 정의돼 있어야 한다는 이야기다. 이를 갖추고 있지 않다면 데이터가 노출되고, 침해가 발생하며, 벌금이 부과될 수 있다. 
 
ⓒDokumol (CC0)

실제로 모건 스탠리 스미스 바니(MSSB)가 그러했는데, MSSB는 지난 몇 년 동안 ITAD 실패에 따른 영향을 계속 받고 있으며, 그 결과 현재 미화 1억 5,500만 달러의 벌금과 과태료가 부과됐다. 가장 최근인 2022년 9월 20일 MSSB는 고객 개인식별정보(PII)가 저장된 기기를 부적절하게 폐기한 혐의에 따라 3,500만 달러의 위약금을 지불하기로 美 증권거래위원회(SEC)와 합의했다

또 지난 2020년 10월 美 통화감독청(Office of the Comptroller of Currency; OCC)은 MSSB에 6,000만 달러의 벌금을 부과했다. 아울러 이는 2022년 1월 ITAD 실패로 인해 데이터가 노출된 피해자에게 동일한 금액을 지불하기로 합의한 집단소송까지 이어졌다. 

부적절한 ITAD 프로그램의 결과
SEC와 MSSB의 합의문을 살펴보면 이 회사에 분명 ITAD 프로그램이 있긴 했지만 “타당하게 설계되지 않았으며, 데이터를 폐기한 벤더가 적격한지 보장할 수 없었다”라는 점에서 부적절했다. 

MSSB는 2013년 자체 위험 평가에서 ‘현지 트럭 운송, 보관, 장거리 이사’라고 식별한 이사 업체 ‘트리플 크라운(Triple Crown)’을 가지고 있었는데, 2021년 법원 제출에서 이 회사는 데이터 노출을 초래한 계약자 및 하청업체의 데이지 체인(daisy chain; 연속적으로 연결돼 있는 하드웨어 장치 구성)을 언급하면서 책임을 전가했다

MSSB는 기기를 안전하게 폐기하고, (내부 데이터를) 완전히 삭제하며, 재활용하지 못한 트리플 크라운을 탓했다. 트리플 크라운이 하청업체와 계약하기 전에 MSSB의 동의를 얻어야 한다는 점에도 불구하고, 이 회사는 트리플 크라운이 해당 장치를 애니띵IT(AnythingIT)에 팔고 MSSB에는 폐기했다고 말했다고 주장했다. 이어 애니띵IT도 해당 기기를 폐기하지 않고 이를 크루즈컴(KruseCom)에 재판매하는 데이지 체인을 계속했다는 게 회사 측 설명이다. 

‘자산 처분’이 ‘자산 사기’가 될 때
ITAD 관리 체인 전문가이자 리타이어-IT(Retire-IT)의 CEO 카일 마크스는 MSSB의 사례와 관련해 “모건 스탠리가 ITAD를 처리한 방식이 드문 일은 아니다. 어떤 기업이든 IT 자산 처분 문제를 숨길 동기가 있다. ITAD는 긴 IT 자산 라이프사이클의 마지막 단계이기 때문”이라고 말했다. 

그는 장비 구매 및 수명 주기의 일부로 체계적인 ITAD 프로그램이 필요하다고 강조했다. “재고 불일치는 새 하드웨어가 배포되는 날부터 시작된다. 각 단계마다 불일치가 심화된다. 기업은 자산을 추적하고 손실이 발생했을 때 이를 보고하는 대신, 자산이 폐기될 때까지 기다린다. IT 자산 관리에서 문제를 숨기는 경우가 너무 많다. 전자폐기물 재활용 업체는 기꺼이 공범이 된다. 적절한 통제가 없다면 ITAD는 ‘IT 자산 사기’나 마찬가지다”라고 설명했다. 

SEC의 집행 부서 책임자 구르비르 S. 그로말은 공개 성명에서 다음과 같이 밝혔다. “이 사건에서 MSSB의 실패는 놀랍다. 고객은 자신의 개인정보가 보호될 것이라고 생각하고(또는 예상하고) 금융 전문가에게 개인정보를 위탁하지만 MSSB는 그렇게 하는 데 굉장히 부족했다. (개인정보가) 적절하게 보호되지 않으면 악의적인 행위자에게 전달돼 끔찍한 결과를 초래할 수 있다. 이번 조치는 금융기관이 이러한 데이터를 보호할 의무를 진지하게 받아들여야 한다는 분명한 메시지를 전달한다.” 

CISO에게 시사하는바
IT 보안 리더는 ITAD 프로그램이 ‘데이터 보안 101’이라는 점을 반드시 유념해야 한다. 이 프로그램을 따르는 것도 중요하다. 이는 있으면 좋은 게 아니라 꼭 있어야 하는 것이다. 이 지점이 MSSB가 실패한 부분이며, (해당 회사는) 설계한 대로 IT 장비 처분이 이뤄지는지 확인하기 위한 견제와 균형이 부족했다. 

대부분의 사건·사고와 마찬가지로 이를 해결하는 비용은 적절한 ITAD 프로그램을 시작하는 것보다 훨씬 더 많이 든다. MSSB의 사례에서 이 회사는 수년간 법적 비용을 부담해야 했을 뿐만 아니라 1억 5,500만 달러의 벌금도 지불해야 했다. 그렇다. 러시아 속담 ‘신뢰하되 검증하라(Trust, but verify)’을 기억한다면 도움이 될 것이다. 

* Christopher Burgess는 前 시스코의 수석 보안 고문이며, 데이터 및 보안 분야의 다양한 스타트업에서 CEO/COO를 역임했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.