Offcanvas

CIO / 보안 / 소프트스킬

"보안엔 임원도 예외 없다"··· 사고 후 해고된 8가지 사례

2017.12.08 Josh Fruhlinger  |  CSO
기업 보안에 무슨 일이 생기면 일반적으로 상황이 심각해진다. CSO 또는 CIO가 해고를 당하거나 심지어 CEO까지 함께 회사를 떠나기도 한다. 회사를 실망시킨 보안 전문가 혹은 임원에게 닥칠 상황은 어떤 것일까?



야후의 책임 전가
IT 기업에서는 기술 문제에 대해 연대책임을 지는 것이 일반적이다. 대표적인 사례가 야후의 론 벨이다. 지난 2016년 야후가 오래 전부터 해킹을 당하고 있었다는 것이 밝혀지면서 당시 야후의 최고 변호사였던 론 벨에게 불행이 닥쳤다.

공식적인 사유는 해킹을 조사하던 조사 위원회가 “2014년에 관련 법률팀이 추가 조사가 가능한 충분한 정보가 있었지만 이를 진행하지 않았다”고 지적한 것이었다. 하지만 일부에서는 이사회와 CEO 마리사 메이어도 책임이 있으며 벨만 불공평하게 해고당했다고 비판했다. 야후는 해킹 사실이 알려진 이후 수 천만 달러의 손실을 입혔다.

스웨덴을 망친 빅 블루
스웨덴이 자동차 운전 면허증 데이터베이스 관리를 IBM에 아웃소싱한다고 했을 때 꽤 안전한 조치라고 생각하는 사람이 있었다. 그러나 결과적으로 오판이었다. 허술한 보안 규정 때문에 IBM의 동유럽 자회사에 있는 승인되지 않은 직원이 스웨덴의 교통 인프라 관련 민감한 정보에 승인 없이 접근하는 사고가 발생했다. 스웨덴 보안국에 근무하는 위장 요원의 신원이 노출될 뻔한 아찔한 상황도 있었다.

스웨덴의 수상은 이를 “처참한 실패”라고 사과했다. 스웨덴 교통국(Transport Agency)의 책임자 마리아 아그렌이 경질됐고 내각 수상 앤더스 이게만은 스웨덴 내각에서 설 자리를 잃었다.

가짜 사장, 진짜 해고
2016년 2월 호주의 우주항공 기업 FACC는 일종의 스피어 피싱(Spear Phishing) 공격을 받았다. 공격자가 고위 임원이 보낸 것처럼 꾸민 가짜 요청을 회계 담당자에 보내 돈을 송금하게 하는 이른바 “가짜 사장” 사기에 당한 것이다. 당시 해커는 CEO 월터 스테판을 사칭하고 엉뚱한 곳으로 4,200만 유로를 송금하도록 지시했다.

당시 이 사건에 대해 IT 부서는 문책을 당하지 않았다. 그러나 사건 직후 CFO가 해고됐고 CEO도 수 개월 후 같은 처지가 됐다. 이 일련의 해고에 대해 구체적인 배경은 아직 공식 확인되지 않았다.

비밀로 해?
2014년 샌프란시스코 주립대학의 정보 보안 책임자 미그논 호프만은 외부 기관으로부터 대학의 오라클(Oracle) 데이터베이스에 취약점이 있다는 경고를 받았다. 그는 이를 패치하려 했지만, 대학 당국은 관련 비용이 너무 많다며 거부했다.

문제는 실제 보안 사고가 터진 이후에 발생했다. 그는 대학 행정부서가 패치를 거부했다고 주장했지만 법원은 이를 인정하지 않았다. 그는 대학 경영진과 위험 관리팀, 법률팀, 캠퍼스 경찰, 내부 감사팀, 학생부, 주거팀, 대학 총장, 총장실 등 여러 곳에 항의했지만 결국 해고당하고 말았다. 그는 결국 해고가 부당하다며 소송을 제기했다.


사이버 사기꾼에게도 NDA가 통할까
우버(Uber)의 데이터베이스 해킹으로 약 5,700만 명의 고객 및 운전자에 대한 개인 정보가 유출된 사건을 기억할 것이다. 하지만 더 큰 문제는 당시 우버의 대응 방식이 매우 서툴렀다는 점이다. 우버 임원은 해커가 요구한 10만 달러를 지급했고 회계 상으로는 ‘버그' 포상금으로 처리했다. 그리고는 해커에게 기밀유지협약(NDA)을 요구했다. 범죄자에게 NDA를?!

결국 이런 과정이 적나라하게 드러나면서 이 의심스러운 거래에 개입한 우버의 CSO 조 설리반과 보안 및 법률 집행 책임자 크레이그 클라크가 해고됐다. 기업의 CEO 겸 설립자 트래비스 칼라닉도 관여한 것으로 나타났지만 이 사건이 공개된 시점에는 이미 해고된 상태였다(하지만 현재 그는 이사회 이사직을 유지하고 있다).

잘가라
기업의 고위 임원은 가장 비극적인 상황에서도 체면을 유지할 수 있는 경우가 종종 있다. 바로 에퀴팩스(Equifax) 해킹 사건이다. 미국 내 거의 모든 사람의 기밀 정보가 노출된 대규모 해킹 사건이었지만, 이 기업의 CSO 수잔 몰딘과 CIO 데이브 웹(Dave Webb)은 무사히 "은퇴했고" 곧 이어 CEO 리차드 스미스도 뒤를 따랐다. 이후 스미스는 (더 이상 에퀴팩스에서 근무하지 않음에도 불구하고) 의회에서 사건 관련 증언을 했고 필수 소프트웨어를 패치하지 않은 익명의 한 직원에 책임을 전가했다.

유출 자체보다 내용이 더 민감
2014년의 소니(Sony) 해킹 사건은 오래된 뉴스처럼 느껴질 수 있다. 그러나 소니 픽처스(Sony Pictures)의 전 수장 에이미 파스칼이 최근에야 자신이 그 사건으로 해고됐다고 말해 다시 주목받았다.

당혹스러운 것은 해고된 이유가 단순히 해킹에 대한 관리 감독 책임 만이 아니었다는 것이다. 그의 수치스럽고 수다스러운 이메일이 더 문제가 됐다. 파스칼은 IT 팀에 설마 해커가 이메일 내용까지 들여다본 것은 아닌지 여러번 확인했다. 불행하게도 우려는 현실이 됐고 그의 최악의 순간이 됐다. 그의 이메일에는 인종 차별적 표현 등이 포함돼 있었던 것이다.

회전문
사실 큰 해킹 사고가 발생하면 으레 IT 임원이 해고된다. 책임지려 노력하고 있으며 매우 진지하다는 것을 보여주기 위해서다. 그러나 CIO와 CISO가 정보 유출에 직접 책임을 지지 않는다고 해도 다른 임원보다 그 결과로 인해 큰 고통을 받는 경우도 있다.

포레스터(Forrester)의 보안 및 위험 분석가 체이스 커닝햄은 최근 한 인터뷰에서 “해킹 사고를 모두 막을 수 없다고는 하지만 결국은 임원이 이 문제에 대해 100% 책임을 지게 된다. 이런 과정은 마치 눈가리개를 하고 체스를 두는 것과 같다. 절대 이길 수 없다. CSO가 점점 더 많을 일을 하면서도 결국 불명예를 뒤집어쓰는 이유일지도 모른다”라고 말했다.

자신의 일로 받아들이기
일단 보안 사고가 발생하면 CIO뿐만 아니라 CEO 자리도 위태롭다는 사실이 널리 알려지면 전 세계 보안 상황을 개선하는 데 도움이 될 수도 있다. 타겟(Target)의 경우가 대표적이다. 2014년 대규모 해킹을 당한 이후 조직을 개편했다. 골자는 보안에 대한 개인 책임을 더 강화한 것이었다.

포 시즌스(Four Seasons)의 IT 보안 부사장 코리 위치는 2017년 RSA 컨퍼런스(RSA Conference)에서 “이렇게 하면 기업 이사회가 다른 기업의 위협과 대응 사례에 더 관심을 기울일 가능성이 높다. 유사한 불행이 닥쳤을 때 자신에게 어떤 일이 일어나는 지 미리 알 수 있기 때문이다”라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.