세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
해킹 당한 에퀴팩스, 소송 막으려 꼼수 쓰다 여론 뭇매
  |  입력 : 2017-09-13 20:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에퀴팩스, 신용조회 서비스 이용 약관에 중재 조항 포함해
거센 여론에 해당 조항 삭제했으나 초대형 소송 줄 이을 듯


[보안뉴스 오다인 기자] 에퀴팩스가 고객에게 무료 신용조회 서비스를 제안했던 것이 사실은 법적인 권리를 넘겨받기 위함이었다는 사실이 드러나 여론이 악화일로를 걷고 있다. 지난 주 에퀴팩스는 자사 고객 1억4,300만 명의 개인정보 및 신용정보가 해커에 의해 유출됐다고 발표했다. 이는 미국 인구의 절반에 달하는 수치다.

[이미지=iclickart]


에퀴팩스는 신용조회 서비스 가입과 관련한 특정 문구를 이용 약관에서 삭제했다고 밝혔다. 에퀴팩스는 자사 웹사이트에 자주 묻는 질문(FAQ)을 추가했으며, 이를 통해 무료 신용조회 서비스에 가입하더라도 자사를 상대로 한 법적인 권리를 포기하는 건 아니라고 설명했다.

앞서 소비자 권리 단체인 퍼블릭 시티즌(Public Citizen), 뉴욕주 검찰총장 에릭 슈나이더먼(Eric Schneiderman), 미국 소비자금융보호국(Consumer Financial Protection Bureau), 미국 상원의원 셰러드 브라운(Sherrod Brown) 등은 에퀴팩스가 고객에게 신용조회 서비스를 제안하면서 중재 조항에 동의할 것을 강요했다고 지적했다. 이 중재 조항에 동의할 경우, 추후 에퀴팩스를 상대로 소송을 제기할 수 없다.

사이버 보안 벤처 기업 알레지스 캐피탈(Allegis Capital)의 상무이사 밥 애커만(Bob Ackerman)은 “여론의 뭇매는 순전히 에퀴팩스가 자초한 일”이라고 말했다. “법적 책임을 안 지겠다는 건데, 이런 조항에 동의하는 건 정말 멍청하다고 밖에는 설명할 수 없죠.”

애초 에퀴팩스는 해당 조항을 삭제하라는 요구에 침묵으로 일관했다. 게다가 신용조회 서비스 가입 시 고객 신용카드 정보를 요구하지 않는다며, 고객이 이 서비스에 자동적으로 가입되는 것도 아니고, 무료 사용기간이 끝나도 비용을 청구하지 않겠다고 말하기도 했다.

에퀴팩스가 무료 신용조회 서비스를 제공하겠다고 발표했을 때 몇 가지 우려가 있었다. 특히, 이번 사태로 인해 에퀴팩스가 더 이상 수익을 낼 수 없을 것이라는 관측도 나온 바 있다. 에퀴팩스는 11일 “고객의 경험과 제안에 귀 기울이고 있다”며 “에퀴팩스가 앞으로 어떻게 움직여야 할지 좋은 정보가 된다”고 공지했다.

에퀴팩스가 성난 여론을 가라앉히기 위해 노력하면서 이를 긍정적으로 바라보는 사람도 있지만, 이번 보안사고로 인한 부정적인 결과를 상쇄하는 데는 턱없이 부족할 것으로 보인다.

에퀴팩스가 보안사고를 공지한 이후 나흘 간 에퀴팩스의 주식은 20% 이상 떨어졌다. 시장 가치로 따졌을 때, 수십 억 달러가 나흘 만에 사라져 버린 것이다. 지난 목요일(7일) 142.70달러 수준에서 거래되던 에퀴팩스 주식은 월요일(11일) 장 마감 전 90분 동안 111.30달러까지 추락했다. 금융 전문가 중 일부는 에퀴팩스 주식이 10월 중순까지 100달러 선으로 추락할 것이라고 관측하기도 한다.

슈나이더먼을 포함해 코네티컷, 일리노이, 펜실베니아, 매사추세츠 등의 검찰총장들도 에퀴팩스 사태에 대한 수사를 이미 시작했거나 곧 시작할 예정이라고 발표했다.

이에 에퀴팩스는 미국 내 모든 주의 검찰총장으로부터 수사 요청을 받을 것으로 보인다. 검찰총장들은 에퀴팩스가 처음 사건을 인지했을 때부터 이 사실을 공개하기까지 소요된 40일의 기간에 대해 집중적으로 파고들 것으로 보이며, 사후 조치가 고객을 보호하기에 적절한 것이었는지 추궁할 것으로 알려졌다.

에퀴팩스 고위 경영진 가운데 3명은 침해 사실을 발견하자마자 약 23억 원(200만 달러) 상당의 에퀴팩스 주식을 팔아치운 것으로 나타났다. 이런 사실이 알려지면서 에퀴팩스가 과연 침해 사고를 헌신적으로 해결하려고 노력했는지에 대해 의심이 커지기도 했다.

에퀴팩스 사태와 관련해 이미 여러 건의 소송이 제기된 상태다. 미국 오리건주 포틀랜드에서도 1건이 제기됐는데, 국가적인 피해에 대해 무려 79조 원(700억 달러)에 달하는 배상을 요구했다.

미국 상원의원 오린 해치(Orrin Hatch)와 론 와이든(Ron Wyden)은 11일 미국 정부기관들에게 에퀴팩스 사태의 영향력을 조사하라고 공식 발표했다. 두 의원은 특히 주식을 팔아치운 에퀴팩스 고위 경영진 3명이 언제 처음 침해 사실을 알게 됐는지 파악하고 있다.

클라우드 보안 업체 지스케일러(ZScaler)의 CISO인 마이클 서튼(Michael Sutton)은 “에퀴팩스가 치명적인 실수를 너무 많이 저지른 나머지 사람들은 이 회사가 진정 고객을 최우선으로 생각하긴 하는지 의심하게 됐다”고 말했다. “에퀴팩스 경영진이 침해 사실을 알고 주식을 팔아치웠든, 자사의 신용조회 서비스를 밀어붙여서 침해 사고로 더 큰 이윤을 내려고 하든, 이 모든 에퀴팩스의 선택들은 정말이지 끔찍합니다.”

서튼은 에퀴팩스가 더 잘 대응할 수 있었다고 지적했다. 준비할 시간이 충분했다는 거다. 에퀴팩스는 침해 사실을 공표하고 나면 고객들로부터 질문이 쏟아지리라는 사실을 인지했어야 하며, 그 질문들에 대처하기 위한 조치를 미리 구축했어야만 했다고 서튼은 비판했다.

이어 서튼은 “에퀴팩스가 질문에 답하겠다고 구축한 웹사이트는 너무 엉망진창으로 만들어졌다”고 말했다. “먼저 연결성 문제가 있었죠. 이 웹사이트는 제한적인 정보만 제공한 데다 심지어 상충하는 정보를 제공하기도 했습니다. 말도 안 되는 요구에도 답을 달면서요.” 에퀴팩스가 사건 대응을 위해 구축한 이 웹사이트는 고객와의 소통 전략에서 매우 중요한 요소로, 온라인에 공개되기 전에 철저하게 조사됐어야만 했다고 그는 덧붙였다.

보안 업체 누익스(Nuix)의 크리스 포그(Chris Pogue)는 에퀴팩스 사태가 정보 유출 역사상 최대의 집단소송을 낳게 될 것이라고 예측했다. “에퀴팩스는 어떤 방어 포지션을 택하는 것이 합리적일지 논의할 것입니다. 예컨대 ‘에퀴팩스가 해당 정보를 보호하기 위해 합리적인 조치를 취했나?’와 같은 질문들을 던지면서요. 하지만 에퀴팩스가 이런 조치를 취했다고 말해줄 보안 전문가를 찾는 일은 매우 어려울 것 같습니다.”

현재까지 에퀴팩스가 침해사고와 관련해 발표한 성명문은 모두 변호사들에 의해 신중하게 검토된 것으로 보인다. 이는 에퀴팩스가 이번 사건이 소송으로 이어질 것이라는 점을 알고 있다는 점을 방증한다. 따라서 에퀴팩스는 이번 사태의 세부사항이 완전히 드러날 경우 지금보다 훨씬 더 곤란한 처지에 놓이게 될 것이라고 포그는 전망했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)