By LILY HAY NEWMAN, WIRED US
우버의 전 최고 보안 관리자 조 설리번(Joe Sullivan)이 미국 연방거래위원회(FTC)에 데이터 침해 사건을 적극적으로 숨기면서 중범죄를 발견하지 못하도록 막아 유죄 판결을 받았다. 설리번의 유죄 판결 사례는 기업 임원 개인이 소속 기업의 데이터 침해 문제를 다루어, 유죄 판결을 받은 첫 번째 사례라는 점에서 보안 업계와 테크 업계에 큰 파장을 불러일으켰다. 설리번의 유죄 판결이 일부 업계 관계자가 경계하는 가운데, 기업 보안 담당 경영진에게 미치는 영향을 전혀 직접 판단하지 못했다.
간혹 우스갯소리로 최고 보안 관리자를 ‘최고 피해 관리자’ 혹은 ‘최고 희생 관리자’라고 칭하기도 한다. 대규모 조직의 보안 유지라는 실질적 어려움이 매우 크기 때문이다. 어쩔 수 없이 많은 기업이 해킹과 데이터 침해 공격을 겪게 되며, 최고 보안 관리자가 그 여파를 담당한다. 이제 다수 업계 관계자가 설리번의 유죄 판결을 기점으로 이미 어려웠던 기업 보안 책임 역할의 매력이 최고 인재 사이에서 줄어들 것을 우려한다. 그러나 미국 법무부는 설리번 사건을 기업 데이터 침해 대응 행동 균형 우려에서 받아들일 수 있는 행동과 받아들일 수 없는 행동 간 강력한 경계를 설정할 기회로 본다.
개인과 조직의 사이버 보안 관행 개선 방식을 집중적으로 연구하는 버지니아 공과대학 교수 겸 연구원 앤소니 반스(Anthony Vance)는 “설리번의 유죄 판결이 낙심 효과를 불러일으킬 것이 분명하다. 대부분 설리번이 유죄 판결을 받게 된 이유와 기존 조직 보안 관리자의 업무 관행 간 미묘한 차이를 분명하게 확인할 수 없다. 일반적으로 일부 인원이 데이터 침해를 책임지고 유죄 판결을 받은 전례 없는 사건이라는 관점이 지배적이다. 극단적인 사건이라고 보아도 업계 관계자 다수가 이해하지 못한다”라고 말했다.
설리번의 행동이 문제가 된 때는 2016년 11월로 거슬러 올라간다. 당시 우버는 운전자와 승객을 포함한 사용자 5,700만여 명의 개인 정보가 유출되는 데이터 침해를 겪었다. 우버는 이듬해 11월까지 데이터 침해 사실을 공개하지 않았다. 이후 우버 현 CEO 다라 코스로샤히(Dara Khosrowshahi)가 최고 경영자가 되어 사내 변호사 크레이그 클락(Craig Clark)과 함께 설리번을 해고하면서 데이터 침해 사실이 알려졌다. 2018년, 우버는 미국 전역의 검찰과 주 데이터 침해 공개법 위반 행위로 1억 4,800만 달러를 지급하기로 합의했다.
데이터 침해 사실 공지 지연 자체는 법무부가 설리번에게 유죄 판결을 선고한 이유가 아니다. 설리번이 2016년 데이터 침해 사실을 알게 되었을 때, 2014년 발생한 별도의 데이터 침해 문제를 두고 FTC의 조사에 협력 중이었다. 무엇보다도 설리번은 FTC에 2014년 데이터 침해 사건과 우버가 2014년 이후 개선한 디지털 보안 관행 조사에 대한 선서 진술서를 제출했다. 설리번은 진술 후 10일이 지난 시점에 또 다른 데이터 침해 사실을 확인했다. 해커 세력은 데이터값을 건네지 않으면, 우버 시스템에서 탈취한 데이터를 공개하겠다고 위협하며 금전 갈취를 시도했다.
현재 설리번은 해커 세력에게 우버의 버그 바운티 프로그램을 통해 10만 달러를 건네며 2016년 데이터 침해 사건을 해결하려 한 것 때문에 유죄 판결을 받았다. 법무부는 사건 해결 과정의 일부분으로 설리번이 해커 세력에게 탈취한 데이터를 삭제하고 사건을 외부에 알리지 않는다는 조건의 기밀 유지 협약에 서명할 것을 요청했다고 전했다. 법무부는 설리번이 해커와 협상한 과정이 사건 보고를 하지 못한 혐의와 더해져 중범죄가 성립돼, 결과적으로 중범죄 은닉죄로 기소되었다고 설명했다. 설리번은 2020년에 기소되었다. 그리고 2022년 10월, FTC에 2016년 발견한 데이터 침해 사건을 알게 된 후 우버의 보안 상황을 FTC에 추가로 증언하지 않으면서 사건 조사를 방해했다는 이유로 유죄 판결을 받았다.
법무법인 스펜서 페인(Spencer Fane) 소속 사이버 보안 및 데이터 프라이버시 전문 변호사 숀 투마(Shawn Tuma)는 “설리번의 사례는 FTC가 진행 중인 사건과 관련하여 유죄 판결을 받았다는 점에서 이례적이다. 설리번은 선서 진술서를 제출했으며, FTC에 관련 정보 추가 증언 및 제공 의무가 있었다. 따라서 유죄가 성립되었다”라고 설명했다.
데이터 침해 사건을 다루는 여러 기업의 사건을 담당한 투마 변호사는 앞으로 중범죄 은닉죄 기소 건 유죄 판결 여부를 추가로 다루게 될 것으로 내다보았다. 검찰은 설리번이 FTC 조사 도중 2016년 데이터 침해 사건을 추가로 알리지 못한 점에 주로 초점을 맞추어 유죄 판결을 선고한 듯하다. 그러나 데이터 프라이버시 유지 조건으로 금전 갈취를 시도하는 랜섬웨어 공격 세력이나 해커 세력의 금전 요구에 응해야 할 법적, 윤리적 책임이 없다는 점에서 중범죄 은닉죄가 성립된다는 대중의 인식이 형성될 수 있다.
반스 교수는 “FTC가 조사 중인 사건과 관련된 추가 사실을 알게 되는 즉시 보고해야 한다는 점은 보안 관련 책임이 매우 크며, 최고 보안 관리자가 매우 큰 압박을 받는다는 사실을 의미한다. 설리번은 데이터를 보호하는 데 성공한 듯하다. FTC도 사용자 데이터 보호에 성공했다고 생각하는 것으로 보인다. 그런데 개인적으로 FTC에 별도로 사실을 보고해야 할까? 아니기를 바란다”라고 말했다.
설리번은 2018년, 뉴욕타임스에 보낸 공식 성명을 통해 “우버를 부정적으로 묘사하고자 하는 세력이 2016년 데이터 침해 사건을 왜곡한 사실이 놀랍고 실망스럽다”라고 밝혔다.
설리번의 사건은 단순히 우버가 해커 세력에게 돈을 건네도록 한 것이 아니라는 점에서 특별하다. 설리번은 버그 바운티 프로그램 보상금으로 해커 세력에게 데이터값을 건네고, 2019년 10월 자로 데이터 침해 유죄 판결을 받은 해커 세력에게 기밀 유지 협약에 서명하도록 했다. 미국 연방수사국(FBI)은 해커 세력에게 데이터값을 건네는 행위를 받아들이지 않는다는 점을 분명하게 밝혔다. 그러나 미국 법률 집행 기관은 일반적으로 사이버 공격 발생 사실을 알리고, 사건 대응 과정을 전달하는 것이 중요하다는 메시지를 보낸다. 재무부도 피해자가 정부 기관과 법률 집행 기관에 사이버 공격 피해 사실을 알렸다면, 제재 대상에 해당하는 기관에 데이터값을 건네는 방안을 유연하게 선택할 수 있으며, 처벌이 더 가볍다고 밝혔다. 2021년 콜로니얼 파이프라인 랜섬웨어 당시 피해 기관의 사건 대응을 담당한 관료가 피해 기관이 해커 세력에 건넨 돈을 추적하고 데이터값을 되찾도록 지원한 사례도 발견할 수 있다.
투마 변호사는 “랜섬웨어 공격 세력에게 데이터값을 건네는 일이 랜섬웨어 발생 즉시 대중의 눈에 띈다는 점에서 가장 우려스럽다. 그리고 시간이 지나면서 데이터값을 건네는 일이 랜섬웨어 대응 기본 표준이 될 수도 있다. 반면, FBI는 랜섬웨어 발생 사실을 신고하도록 적극적으로 독려한다. 개인적으로 랜섬웨어 대응에 나선다고 해서 피해를 본 사례는 단 한 건도 없다. 기업 데이터를 탈취한 해커 세력에 돈을 건네면서 ‘버그바운티 프로그램 보상금이라고 합의하자. 그리고 사실을 폭로하지 않기로 기밀 유지 협약에 서명해달라’라고 요청하는 것과 법률 집행 기관에 알리면서 문제 해결을 기대하는 것과 별다른 차이가 없다. FTC에 추가 증언 의무를 다해야 한다면, 관련 정보를 전달하면서 침해 알림 법률을 준수하고 비판 여론을 감당해야 한다”라고 설명했다.
하지만 투마 변호사와 반스 교수 모두 미국의 데이터 탈취 상황 및 법률 집행 기관과의 랜섬웨어 사건 조사 분위기가 2016년 이후 크게 발전하였다는 점에 동의한다. 기업 명성과 서비스 제공 능력을 보호하고자 하는 기업 경영진에게는 지난 몇 년간의 상황이 지금보다 더 불투명했다는 문제에 대응할 여러 선택권을 부유한다. 법무부의 설리번 기소 이유를 설명할 수 있는 부분이기도 하다.
스테파니 힌즈(Stephanie Hinds) 검찰은 유죄 판결문에 “캘리포니아주 북부 지역 테크 기업 여러 곳이 사용자 데이터를 다량으로 수집하고는 보관한다. 테크 기업이 사용자 데이터를 보호하고, 해커 세력의 데이터 탈취 피해 발생 시 고객과 관련 법률 집행 기관에 경고할 것을 기대한다. 설리번이 FTC에 데이터 침해 사실을 숨기면서 해커 세력 체포가 어려워지도록 한 점이 분명하다. 설리번의 행위과 연방법 위반 사항이라면, 기소되어야 한다”라고 강조했다.
한편, 설리번은 유죄 선고 판결과 관련하여 입을 열지 않았다. 이번 사건은 법률 집행 기관이 기업 최고위급 관리자를 매우 가까운 곳에서 감시한다는 사실을 분명하게 보여준다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The Uber Data Breach Conviction Shows Security Execs What Not to Do
우버의 전 최고 보안 관리자 조 설리번(Joe Sullivan)이 미국 연방거래위원회(FTC)에 데이터 침해 사건을 적극적으로 숨기면서 중범죄를 발견하지 못하도록 막아 유죄 판결을 받았다. 설리번의 유죄 판결 사례는 기업 임원 개인이 소속 기업의 데이터 침해 문제를 다루어, 유죄 판결을 받은 첫 번째 사례라는 점에서 보안 업계와 테크 업계에 큰 파장을 불러일으켰다. 설리번의 유죄 판결이 일부 업계 관계자가 경계하는 가운데, 기업 보안 담당 경영진에게 미치는 영향을 전혀 직접 판단하지 못했다.
간혹 우스갯소리로 최고 보안 관리자를 ‘최고 피해 관리자’ 혹은 ‘최고 희생 관리자’라고 칭하기도 한다. 대규모 조직의 보안 유지라는 실질적 어려움이 매우 크기 때문이다. 어쩔 수 없이 많은 기업이 해킹과 데이터 침해 공격을 겪게 되며, 최고 보안 관리자가 그 여파를 담당한다. 이제 다수 업계 관계자가 설리번의 유죄 판결을 기점으로 이미 어려웠던 기업 보안 책임 역할의 매력이 최고 인재 사이에서 줄어들 것을 우려한다. 그러나 미국 법무부는 설리번 사건을 기업 데이터 침해 대응 행동 균형 우려에서 받아들일 수 있는 행동과 받아들일 수 없는 행동 간 강력한 경계를 설정할 기회로 본다.
개인과 조직의 사이버 보안 관행 개선 방식을 집중적으로 연구하는 버지니아 공과대학 교수 겸 연구원 앤소니 반스(Anthony Vance)는 “설리번의 유죄 판결이 낙심 효과를 불러일으킬 것이 분명하다. 대부분 설리번이 유죄 판결을 받게 된 이유와 기존 조직 보안 관리자의 업무 관행 간 미묘한 차이를 분명하게 확인할 수 없다. 일반적으로 일부 인원이 데이터 침해를 책임지고 유죄 판결을 받은 전례 없는 사건이라는 관점이 지배적이다. 극단적인 사건이라고 보아도 업계 관계자 다수가 이해하지 못한다”라고 말했다.
설리번의 행동이 문제가 된 때는 2016년 11월로 거슬러 올라간다. 당시 우버는 운전자와 승객을 포함한 사용자 5,700만여 명의 개인 정보가 유출되는 데이터 침해를 겪었다. 우버는 이듬해 11월까지 데이터 침해 사실을 공개하지 않았다. 이후 우버 현 CEO 다라 코스로샤히(Dara Khosrowshahi)가 최고 경영자가 되어 사내 변호사 크레이그 클락(Craig Clark)과 함께 설리번을 해고하면서 데이터 침해 사실이 알려졌다. 2018년, 우버는 미국 전역의 검찰과 주 데이터 침해 공개법 위반 행위로 1억 4,800만 달러를 지급하기로 합의했다.
데이터 침해 사실 공지 지연 자체는 법무부가 설리번에게 유죄 판결을 선고한 이유가 아니다. 설리번이 2016년 데이터 침해 사실을 알게 되었을 때, 2014년 발생한 별도의 데이터 침해 문제를 두고 FTC의 조사에 협력 중이었다. 무엇보다도 설리번은 FTC에 2014년 데이터 침해 사건과 우버가 2014년 이후 개선한 디지털 보안 관행 조사에 대한 선서 진술서를 제출했다. 설리번은 진술 후 10일이 지난 시점에 또 다른 데이터 침해 사실을 확인했다. 해커 세력은 데이터값을 건네지 않으면, 우버 시스템에서 탈취한 데이터를 공개하겠다고 위협하며 금전 갈취를 시도했다.
현재 설리번은 해커 세력에게 우버의 버그 바운티 프로그램을 통해 10만 달러를 건네며 2016년 데이터 침해 사건을 해결하려 한 것 때문에 유죄 판결을 받았다. 법무부는 사건 해결 과정의 일부분으로 설리번이 해커 세력에게 탈취한 데이터를 삭제하고 사건을 외부에 알리지 않는다는 조건의 기밀 유지 협약에 서명할 것을 요청했다고 전했다. 법무부는 설리번이 해커와 협상한 과정이 사건 보고를 하지 못한 혐의와 더해져 중범죄가 성립돼, 결과적으로 중범죄 은닉죄로 기소되었다고 설명했다. 설리번은 2020년에 기소되었다. 그리고 2022년 10월, FTC에 2016년 발견한 데이터 침해 사건을 알게 된 후 우버의 보안 상황을 FTC에 추가로 증언하지 않으면서 사건 조사를 방해했다는 이유로 유죄 판결을 받았다.
법무법인 스펜서 페인(Spencer Fane) 소속 사이버 보안 및 데이터 프라이버시 전문 변호사 숀 투마(Shawn Tuma)는 “설리번의 사례는 FTC가 진행 중인 사건과 관련하여 유죄 판결을 받았다는 점에서 이례적이다. 설리번은 선서 진술서를 제출했으며, FTC에 관련 정보 추가 증언 및 제공 의무가 있었다. 따라서 유죄가 성립되었다”라고 설명했다.
데이터 침해 사건을 다루는 여러 기업의 사건을 담당한 투마 변호사는 앞으로 중범죄 은닉죄 기소 건 유죄 판결 여부를 추가로 다루게 될 것으로 내다보았다. 검찰은 설리번이 FTC 조사 도중 2016년 데이터 침해 사건을 추가로 알리지 못한 점에 주로 초점을 맞추어 유죄 판결을 선고한 듯하다. 그러나 데이터 프라이버시 유지 조건으로 금전 갈취를 시도하는 랜섬웨어 공격 세력이나 해커 세력의 금전 요구에 응해야 할 법적, 윤리적 책임이 없다는 점에서 중범죄 은닉죄가 성립된다는 대중의 인식이 형성될 수 있다.
반스 교수는 “FTC가 조사 중인 사건과 관련된 추가 사실을 알게 되는 즉시 보고해야 한다는 점은 보안 관련 책임이 매우 크며, 최고 보안 관리자가 매우 큰 압박을 받는다는 사실을 의미한다. 설리번은 데이터를 보호하는 데 성공한 듯하다. FTC도 사용자 데이터 보호에 성공했다고 생각하는 것으로 보인다. 그런데 개인적으로 FTC에 별도로 사실을 보고해야 할까? 아니기를 바란다”라고 말했다.
설리번은 2018년, 뉴욕타임스에 보낸 공식 성명을 통해 “우버를 부정적으로 묘사하고자 하는 세력이 2016년 데이터 침해 사건을 왜곡한 사실이 놀랍고 실망스럽다”라고 밝혔다.
설리번의 사건은 단순히 우버가 해커 세력에게 돈을 건네도록 한 것이 아니라는 점에서 특별하다. 설리번은 버그 바운티 프로그램 보상금으로 해커 세력에게 데이터값을 건네고, 2019년 10월 자로 데이터 침해 유죄 판결을 받은 해커 세력에게 기밀 유지 협약에 서명하도록 했다. 미국 연방수사국(FBI)은 해커 세력에게 데이터값을 건네는 행위를 받아들이지 않는다는 점을 분명하게 밝혔다. 그러나 미국 법률 집행 기관은 일반적으로 사이버 공격 발생 사실을 알리고, 사건 대응 과정을 전달하는 것이 중요하다는 메시지를 보낸다. 재무부도 피해자가 정부 기관과 법률 집행 기관에 사이버 공격 피해 사실을 알렸다면, 제재 대상에 해당하는 기관에 데이터값을 건네는 방안을 유연하게 선택할 수 있으며, 처벌이 더 가볍다고 밝혔다. 2021년 콜로니얼 파이프라인 랜섬웨어 당시 피해 기관의 사건 대응을 담당한 관료가 피해 기관이 해커 세력에 건넨 돈을 추적하고 데이터값을 되찾도록 지원한 사례도 발견할 수 있다.
투마 변호사는 “랜섬웨어 공격 세력에게 데이터값을 건네는 일이 랜섬웨어 발생 즉시 대중의 눈에 띈다는 점에서 가장 우려스럽다. 그리고 시간이 지나면서 데이터값을 건네는 일이 랜섬웨어 대응 기본 표준이 될 수도 있다. 반면, FBI는 랜섬웨어 발생 사실을 신고하도록 적극적으로 독려한다. 개인적으로 랜섬웨어 대응에 나선다고 해서 피해를 본 사례는 단 한 건도 없다. 기업 데이터를 탈취한 해커 세력에 돈을 건네면서 ‘버그바운티 프로그램 보상금이라고 합의하자. 그리고 사실을 폭로하지 않기로 기밀 유지 협약에 서명해달라’라고 요청하는 것과 법률 집행 기관에 알리면서 문제 해결을 기대하는 것과 별다른 차이가 없다. FTC에 추가 증언 의무를 다해야 한다면, 관련 정보를 전달하면서 침해 알림 법률을 준수하고 비판 여론을 감당해야 한다”라고 설명했다.
하지만 투마 변호사와 반스 교수 모두 미국의 데이터 탈취 상황 및 법률 집행 기관과의 랜섬웨어 사건 조사 분위기가 2016년 이후 크게 발전하였다는 점에 동의한다. 기업 명성과 서비스 제공 능력을 보호하고자 하는 기업 경영진에게는 지난 몇 년간의 상황이 지금보다 더 불투명했다는 문제에 대응할 여러 선택권을 부유한다. 법무부의 설리번 기소 이유를 설명할 수 있는 부분이기도 하다.
스테파니 힌즈(Stephanie Hinds) 검찰은 유죄 판결문에 “캘리포니아주 북부 지역 테크 기업 여러 곳이 사용자 데이터를 다량으로 수집하고는 보관한다. 테크 기업이 사용자 데이터를 보호하고, 해커 세력의 데이터 탈취 피해 발생 시 고객과 관련 법률 집행 기관에 경고할 것을 기대한다. 설리번이 FTC에 데이터 침해 사실을 숨기면서 해커 세력 체포가 어려워지도록 한 점이 분명하다. 설리번의 행위과 연방법 위반 사항이라면, 기소되어야 한다”라고 강조했다.
한편, 설리번은 유죄 선고 판결과 관련하여 입을 열지 않았다. 이번 사건은 법률 집행 기관이 기업 최고위급 관리자를 매우 가까운 곳에서 감시한다는 사실을 분명하게 보여준다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
<기사원문>
The Uber Data Breach Conviction Shows Security Execs What Not to Do
저작권자 © WIRED Korea 무단전재 및 재배포 금지
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다