세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
보험 vs. 보안? 10년 전 사고로 다시 불붙은 법정싸움
  |  입력 : 2018-07-11 10:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2008년 있었던 해킹 사고로 보험사 두 군데서 보안 업체 고소
법원이 보험사 편 들어주면 보안 업계로서는 재앙과 같은 일


[보안뉴스 문가용 기자] 하틀랜드 페이먼트 시스템즈(Heartland Payment Systems)에서 대형 정보 유출 사고가 발생한 지가 벌써 10년도 지났다. 그러나 법적 싸움은 아직 끝나지 않았다. 최근 두 개의 보험사가 다시 이 건을 가지고 3천만 달러 손해배상을 청구했기 때문이다.

[이미지 = iclickart]


보험회사인 렉싱턴 인슈런스(Lexington Insurance)와 비즐리 인슈런스(Beazley Insurance)는 6월 28일 미국 쿡 카운티(Cook County) 순회 재판소에 고소장을 제출했다. 보안 회사 트러스트웨이브(Trustwave)가 2008년의 하틀랜드 정보 유출 사고에서 전문성을 발휘하지 못해 3천만 달러의 보험금을 지불해야만 했다는 내용이었다.

이보다 조금 전에 두 회사는 트러스트웨이브에 손해 배상을 청구하는 편지를 전달했다. 트러스트웨이브가 두 보험회사에 3천만 달러를 지불해야 한다는 내용이었다. 하지만 트러스트웨이브는 공소시효가 지났기도 했거니와 트러스트웨이브가 해당 사건에서 잘못하거나 계약을 위반한 내용이 전혀 없기 때문에 돈을 낼 수 없다고 주장했다. 또한 트러스트웨이브는 델라웨어 법원에 6월 22일, 두 보험사의 요청을 기각시켜 달라는 내용의 진성서를 제출하기도 했다. 그래서 렉싱턴과 비즐리는 법원을 거쳐 압박을 더한 것이다.

트러스트웨이브는 보안 외신인 다크리딩과의 인터뷰를 통해 “10년도 넘은 사건에 대한 보험사의 손해배상 청구는 비논리적이며, 자신들의 주머니를 채우는 것 외에 아무런 의의도 없는 것”이라고 말했다. 그러면서 “말도 안 되는 이 싸움에서 우리의 정당성을 입증하기 위해 끝까지 싸울 것”이라고도 말했다.

“트러스트웨이브는 델라웨어에서 렉싱턴과 비즐리를 상대로 고소장을 제출했습니다. 자신들이 2008년 하틀랜드 정보 유출 사고로 인해 지불해야 했던 돈을 저희에게서 되찾으려고 했기 때문입니다. 두 보험사도 이에 맞서, 정확히 같은 건으로, 일리노이즈 주에서 고소장을 제출했다고 들었습니다.” 트러스트웨이브의 성명이다.

왜 두 보험사는 트러스트웨이브가 잘못했다고 주장하는 걸까? 유출 사고가 일어나기 전 PCS DSS 평가를 실시했고, 아무런 이상이 없다고 결론을 내렸기 때문이다. 하지만 트러스트웨이브는 “PCI DSS 평가 결과가 회사의 전반적인 보안 상태를 반영하는 것은 아니”라는 입장이다. 그러므로 “PCI DSS 평가에서 좋은 점수를 줬다고 한들, 유출 사고가 발생하지 않을 것이라는 보장이 되지 못한다”는 뜻이다.

또한 트러스트웨이브는 하틀랜드의 정보 보안을 관리하는 회사도 아니었고, 하틀랜드 측도 트러스트웨이브에 잘못을 전가한 적이 단 한 번도 없었다고 트러스트웨이브는 주장했다. 아직 렉싱턴과 비즐리는 언론사의 인터뷰 요청에 응하지 않고 있는 상태다.

렉싱턴과 비즐리이 제출한 고소장에는 “트러스트웨이브가 PCS DSS 평가를 실시했고, 취약점 스캐닝과 컴플라이언스 시험 서비스를 2005년에 실시했다”고 나와 있다. 또한 공격이 세상에 알려진 2009년, 해당 사건은 SQL 인젝션 취약점과 관련이 있는 것이었고, 공격은 2007년 7월 24일부터 시작됐다고 적혀 있다. 멀웨어가 심긴 것은 2008년 5월 14일의 일로, 트러스트웨이브가 탐지하지 못했다고 두 회사는 주장하고 있다. 실제로 트러스트웨이브가 감사 이후 하틀랜드에 PCI DSS 컴플라이언스 인증을 해준 건 2007년과 2008년이다. 보험사의 주장에 의하면 감사를 두 번이나 했는데, 두 번 다 놓친 것.

보도에 따르면 하틀랜드는 유출 사고로 인한 법적 소송 비용, 분쟁 합의 등 여러 가지로 1억 4천 8백만 달러를 지출했다고 한다. 보안 업체 레오 사이버 시큐리티(Leo Cyber Security)의 CTO인 앤드류 헤이(Andrew Hay)는 “트러스트웨이브에 이런 식의 고소가 들어갔다는 것 자체가 보안 업체들에게는 낙담되는 소식”이라고 말한다.

“보안 업체들에 있어 매우 위험한 선례가 될 것으로 보입니다. 특히 외주 서비스로서 보안 전문성을 제공하는 형태의 사업을 하는 업체들은 더 치명적이겠죠. 물론 고객들이 이런 업체들을 이용했을 때, 그 감사 결과에 따라 보안에 대해 자신감을 갖게 되는 건 당연합니다. 하지만 고객 입장에서도 계속해서 ‘교전 수칙’을 엄격하게 따라주어야만 그러한 자신감이 실제로 유효하게 된다는 걸 잊습니다. 검사를 받고, 올바른 솔루션과 툴을 설치하는 것과, 보안을 지키면서 사업을 지속시킨다는 건 별개의 문제입니다.”

헤이는 “보안 업체가 100% 방어를 해줄 수는 없다”며 “우리는 만병통치약을 제공하는 산업이 아니라, 조금 더 단단해지도록 돕고, 사고를 막을 수 있는 방법을 제시해주는 자들”이라고 정의한다.

법원이 보험사의 손을 들어준다면 많은 보안 업체들이 소송에 휘말릴 것이라고 헤이는 예상한다. “사이버 보험을 제공하는 보험사들이 앞으로 업계를 지배하게 될 것입니다. 법이 편들어준다는 판례가 생기면, 고객들도 보험에 가입하지 굳이 보안 솔루션을 설치하지 않을 것입니다. 또한 보안 업체들은 살아남기 위해 보증 제도를 실시하게 될 것이고요.”

하틀랜드는 10년 전 해킹 사고로 1억 3천만 명의 미국 신용카드 정보를 도난당했다. 당시로서는 최고 기록을 갱신한 사고로, 2009년 1월 대대적으로 보도된 바 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)