[글로벌 뉴스 클리핑] “의료 시장 또 다시 긴장” 外

오늘의 키워드 : 앤섬, 시멘스, 인사와 신설국

2015년의 스타트를 끊은 대규모 유출사고, 탑페이스와 앤섬

대중의 구설수에 오른 사람 떠나고, 대통령 눈에든 사람 들어오고

[보안뉴스 문가용] 앤섬이라고 미국에서 두 번째로 큰 의료보험사입니다. 수천 만 명 단위의 고객수를 보유하고 있는 곳인데, 이곳에 해킹이 침투했다고 합니다. 아직 정확한 피해 규모나 경로는 밝혀지지 않고 있습니다. 의료업계가 보안에 취약하다는 소리가 많이 있었지만 사실 실제적인 움직임이 크게 발생하지는 않았거든요. 이 사고로 어떤 변화가 있을까요? ‘더 큰 사고가 터져야 정신 차린다’는 지난 달 보안뉴스 설문조사 결과가 생각나는 대목입니다.

한편 산업시설에서 사용되는 시멘스 제품 몇몇에서도 취약점이 있었다고 합니다. 다행히 아직 이 취약점을 활용한 공격은 없었다고 하네요. 한수원 사태도 그렇고, 독일의 공장 사건도 그렇고 물리력을 가할 가능성이 높거나 물리력의 개입이 치명적인 결과로 이어질 공공시설에서의 취약점도 철저히 연구해야 하는데, 사실 일반 소프트웨어나 기업환경에서의 취약점에 대해 연구하는 비율이 훨씬 높죠. 업계를 지켜보고 있자면 불안불안합니다.

1. 의료 시장 또 다시 긴장

앤섬, 수준 높은 공격당해 고객 정보 유출돼(Bloomberg Business)

미국 의료계 거인 앤섬에서 대형 유출사고 발생(Infosecurity Magazine)

미국 2위의 의료보험 업체 앤섬, 해킹 당해 수백 만명 정보 유출(The Register)

앤섬의 정보유출 사고, 수백만 소비자 정보 유출(Threat Post)

의료보험 업체 앤섬에서 대규모 정보 유출(Security Week)

앤섬 유출사고로 의료업계에 또 다시 비상(CU Infosecurity)

앤섬 유출사고로 백악관도 비상(SC Magazine)

앤섬에서의 정보유출, 아직 사건 전말은 미스터리(CSOOnline)

어제 소니 사건에 대한 러시아의 소행 주장이 헤드라인을 휩쓸었던 것에 이어 오늘은 앤섬이라는 업체에서 대규모 유출사고가 일어난 것 때문에 시끌시끌합니다. 앤섬(Anthem)은 의료보험 업체로 미국에서 두 번째로 큰 규모를 가지고 있다고 하고 총 고객 수가 7천만 명에 달한다고 합니다. 이름, 생년월일, 의료 ID, 사회보장번호, 거리주소, 이메일 주소, 직원정보, 수입정보 등은 유출된 것이 거의 확실하며 검사결과, 진료기록, 신용카드 정보 등은 아직 수사 중에 있다고 합니다. 현재 FBI까지도 수사에 나서고 있다고 합니다.

탑페이스에 이어 2015년 첫손에 꼽히는 대규모 유출사고가 의료업계에서 발생했다는 건 작년 전문가들이 ‘의료업계가 공격을 많이 받을 것’이라는 전문가들의 예측이 생각나게 하는 대목입니다. 가뜩이나 요즘 사이버 공격에 민감한 미국 정부인데 이번 사건을 어떻게 다루어나갈지, 이 사건의 파장이 어디까지 퍼질지 지켜봐야 하겠습니다. 일단 다음 주중에는 여러 수사 결과가 나오겠네요.

2. 산업시설도 안심할 수 없어

중요한 시멘스 산업 제어 시스템에서 오류 발견(Infosecurity Magazine)

시멘스의 한숨 : SCADA 버그가 가득해(The Register)

시멘스 몇몇 제품에서 발견된 취약점 패치해(Security Week)

산업 제어 시스템(ICS : Industrial Control System)에 사용되는 몇 가지 시멘스 제품에서 심각한 오류가 발견되었다고 합니다. 러기드콤(Ruggedcom) 펌웨어에서 발견된 세 가지 오류는 각각 CVE-2015-1448, CVE-2015-1449, CVE-2015-1357이라고 하며 각각 관리자 권한을 임의대로 해커에게 주거나 원격 조정을 가능하게 해준다고 합니다. 다행히 아직까지 이를 악용한 해킹 사례는 보고된 바 없었고요. 시멘스에서는 펌웨어 업데이트를 발표했고, 시멘스 제품을 사용하는 곳에서는 패치를 하는 것이 안전할 것입니다.

3. 떠나는 사람, 오는 사람

소니 픽처스의 공동회장 에이미 파스칼, 독립 선언(The Register)

보안 전문가들, 에이미 파스칼 사퇴 어떻게 바라봐야 할까(CSOOnline)

오바마 대통령, 새로운 사이버 보안 팀 신설할 듯(Dark Reading)

VMWare의 CIO 토니 스캇, 오바마로부터 러브콜(CU Infosecurity)

RSA의 수장 아트 코비엘로, 직위 내려놓고 떠나다(The Register)

여러 사람이 오고, 여러 사람이 갑니다. 먼저 소니 픽처스의 공동회장인 에이미 파스칼은 작년 해킹 사건이 터졌을 때 안젤리나 졸리와 오바마 대통령을 비난한 이메일을 쓴 장본인이라고 합니다. 한편에선 과연 에이미 파스칼이 떠나는 것이냐 쫓겨나는 것이냐를 두고 논란이 있는데요, 어찌됐던 공식 입장은 떠나는 겁니다. 하지만 소니와의 끈은 사업적으로 이모저모로 이어갈 듯합니다.

오바마 대통령은 ‘전자정부 사이버(E-gov Cyber)’라는 국을 새로 신설할 계획이라고 합니다. 이 사무실 창립과 운영에만 2천만 달러의 예산을 이미 책정해 놓았다고 합니다. 가장 큰 업무는 유출사고 발생시 그 현황을 정확히 최대한 빠르게 알리는 것이라고 하는데요, 아직 오바마 대통령의 발의한 법안에 대한 논란이 많은 가운데 벌써 통과된 것처럼 국을 하나 신설에 꾸리는 건 어떤 의미로 받아들여야 할까요? 일단 표면상의 설립 근거는 2014년에 통과된 연방정보보안현대화법(Federal Information Security Modernization Act)이라고 합니다.

동시에 오바마 대통령은 VMWare와 디즈니, MS에서 근무한 경력이 있는 토니 스캇(Tony Scott)이라는 인물을 연방최고정보책임자로 임명하려는 움직임을 보이고 있다고 합니다. 새롭게 마련될 전자정부 사이버국과 상관이 있을까요? 아직까지는 이렇다 저렇다 할 발표 내용은 없습니다. 또한 1977년 RSA 알고리즘의 등장으로 유명해졌다가 2013년 NSA의 국민들을 대상으로 한 스파이 행위로 더 유명해진 사업체죠. 이 사업체를 운영하고 있던 아트 코비엘로(AT Coviello)도 은퇴 소식을 알려왔습니다. 대중의 입에 오르내리던 인물들은 하나 같이 조직을 떠나게 된다는 것에 주목할 필요가 있어 보입니다. 포장을 어떻게 하든지요.

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)