Home > 전체기사
최악의 유출 사고 겪은 에퀴팩스가 내야 할 돈은 최소 13억 8천만 달러
  |  입력 : 2020-01-17 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
신용 모니터링 서비스, 개별적 보상 등 전부 집계하니 최소 13억 8천만 달러
비용 증가 가능성 높아...덩치 큰 조직에서 실수 한 번 없이 보안 유지하는 거 어려워


[보안뉴스 문가용 기자] 널리 공개된 취약점을 패치하지 않아 2017년 대규모 정보 유출 사건을 겪은 에퀴팩스(Equifax)가 최종적으로 책임져야 할 비용은 최소 13억 8천만 달러가 될 것으로 보인다.

[이미지 = iclickart]


이번 주, 미국 조지아 주 법원은 작년 7월 연방거래위원회(FTC)와 에퀴팩스가 합의를 본 내용에 대해 승인하는 판결을 내렸다. 당시 에퀴팩스는 2017 데이터 유출 사건에 대한 합의금으로 최소 3억 8050만 달러를 내기로 합의를 봤다. 여기에 더해 최소 10억 달러라는 금액을 5년에 걸쳐 사이버 보안과 기술 분야에 투자하기로 약속하기도 했다.

이 사건으로 미국 소비자 1억 4700만 명의 개인정보와 사회 보장 번호가 외부로 새나갔다. 이는 미국에 거주 중인 성인들 거의 전부를 포함하는 숫자라고 알려져 파장이 컸다. 사건의 뿌리에는 아파치 스트러츠(Apache Struts)라는 오픈소스 프레임워크의 취약점이 있는 것으로 나타났다. 안타깝게도 해당 취약점에 대한 패치는 사건이 발생하기 전부터 존재했다. 예방이 충분히 가능했던 사고라는 것이다.

에퀴팩스가 애초에 동의했던 3억 8050만 달러는 대부분 신용 조회 및 모니터링 서비스와 개인 보상금(인당 최대 2만 달러)에 사용하기로 했었다. 직접적인 금전 피해를 입었고, 이를 문서로 증명할 수 있는 사람들에게만 보상금이 약속됐었다. 여기에 법원은 피해자 개개인이 추가 사기나 사이버 공격을 막기 위해 사용한 시간에 대한 보상도 신청할 수 있다고 허락했다(시간당 25달러). 단 10시간이 넘는 시간에 대해 보상을 신청하려면 이를 증명할 수 있는 자료를 동봉해야 한다.

뿐만 아니라 에퀴팩스는 3개 공신 기관에서 제공하는 신용 및 신원 모니터링 서비스를 최대 4년 동안 제공하고, 자사가 직접 제공하는 신용 및 신원 모니터링 서비스를 최대 6년 동안 제공하기로 했다. 당연히 모두 무료다. 침해 사고 당시 미성년자였다면 총 18년 동안 신용 모니터링 서비스를 받을 수 있다.

여기에 더해 에퀴팩스는 처음 합의했던 3억 8050만 달러가 부족한 것으로 나타날 경우를 대비해 1억 2500만 달러도 예비해두어야 한다. 이 모든 금액에는 에퀴팩스가 피해자들에게 약속한 6년 신용 모니터링 서비스에 대한 비용이 추가되어 있지 않은 상태다. 법원은 이 신용 모니터링 서비스에 대한 비용을 20억 달러로 추정하고 있다.

판사인 토마스 트래시 주니어(Thomas Thrash Jr.)는 “이번 합의는 미국 역사상 가장 크고 통합적인 규모”라며 “에퀴팩스가 치러야 할 비용은 최소 13억 8천만 달러로 계산되며, 아마도 합의금을 지불하는 과정에서 더 많은 돈이 지출될 것”이라고 말했다.

보안 업체 판다 시큐리티(Panda Security)의 기술 지원 책임자인 루이 로페즈(Rui Lopes)는 “에퀴팩스 사건은 미국 역사상 가장 큰 데이터 유출 사고”라고 말하며 “이게 정말로 막을 수 있던 사고였느냐가 가장 큰 쟁점”이라고 지적했다. “아마 대부분이 보안 전문가라면 ‘그렇다’고 답할 것입니다. 에퀴팩스가 그 유명한 취약점을 패치하지 않았다는 건, 사이버 범죄자들이 들어오도록 문을 열어둔 것이나 다름이 없기 때문입니다.”

하지만 또 다른 보안 업체 엔비지움(nVisium)의 CEO인 잭 마니노(Jack Mannino)는 에퀴팩스 사건을 두고 “보안 프로그램을 대규모 조직에서 적용하고 운영한다는 게 얼마나 어려운지 드러났다”고 분석한다. “에퀴팩스는 늘상 사이버 공격에 시달리는 대규모 조직입니다. 천 번을 잘 해도 단 한 번만 실수하면 혹독한 결과를 겪을 수밖에 없습니다.”

그렇다고 에퀴팩스가 억울하게 당했다는 뜻은 아니라고 마니노는 강조한다. “다만 덩치 큰 조직에서 보안을 실수 없이 해내는 것 자체가 정말로 어렵고 책임감 막중한 일이라는 건 분명한 사실이라는 걸 말하고 싶었습니다. 에퀴팩스가 업데이트를 제 때 하지 않은 것이 너무나 큰 잘못인 것처럼 보도되고 있는데, 사실 소프트웨어의 디펜던시 한두 개 업데이트 하지 않고 그대로 사용하는 조직이 거의 대부분이죠. 우린 정말 에퀴팩스에 손가락질 할 자격이 있나요?”

에퀴팩스는 데이터 유출 사고에 대한 합의 내용을 상세히 담은 웹사이트를 개설했다. 피해자들은 이 웹사이트에서 최종 합의 내용을 확인할 수 있고, 그에 따라 2020년 1월 22일까지 고소장을 제출할 수 있다.

3줄 요약
1. 연방거래위원회와 에퀴팩스 간 합의 내용, 법원에서 최종 승인 받음.
2. 이것 저것 계산했을 때 에퀴팩스가 내야 할 돈은 14억 달러 조금 안 됨(최소).
3. 하지만 이 금액은 시간이 지나면서 오히려 올라갈 것으로 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)