기술 지원
문서
로그인
문의하기
- 사이버 보안 사고는 가용성 문제 그 이상입니다.
- 악의적인 행위자는 법적 절차를 유리하게 이용하고 있습니다.
- 사이버 보안 취급 부주의에 대한 개인 책임이 점점 더 보편화되고 있습니다.
한때 사소한 장애로 치부되던 사이버 보안 사고는 이제 광범위한 결과를 초래하는 중대한 위협으로 진화했습니다. 처음에는 일시적인 장애로 간주되어 비즈니스 운영에 미치는 영향이 과소평가되었습니다. 시간이 지남에 따라 몸값 지불 및 규제 벌금과 같은 재정적 영향에 대한 인식이 커졌습니다. 이러한 인식의 변화는 사이버 보안 실패에 대한 법적 책임이 형사 책임으로 확대되면서 더욱 심화되었고, 사이버 보안 관리의 지형이 크게 바뀌고 위험 부담이 높아졌습니다.
역사적 맥락: "사무실에서의 나쁜 하루"
역사적으로 사이버 보안 사고는 업무에 지장을 주지만 지속적인 피해로 이어지지는 않는 '사무실의 나쁜 날'로 여겨졌습니다. 이러한 관점은 사이버 공간의 디지털 영역과 현실 세계의 결과 사이의 단절을 초래했습니다. 조직은 단기적인 복구에 집중하면서 장기적인 사이버 보안 전략의 필요성을 간과하는 경우가 많았습니다. 이러한 접근 방식은 반복적인 사고로 이어졌고, 각 사고는 시스템 취약성의 증상이라기보다는 고립된 사건으로 취급되었습니다.
현재 상태: 운영상의 위험부터 형사 책임까지
사이버 보안 실패를 형사 고발의 잠재적 근거로 보는 시각의 변화는 다음과 같은 사례에서 잘 드러납니다. 핀란드의 바스타모 전 CEO. 민감한 환자 데이터를 유출한 대규모 데이터 유출 사건 이후, 전 CEO는 기소되었고 (유예) 징역형.
이 유출 사고로 수만 명의 환자 개인정보와 치료 세션 기록이 노출되었으며, 이 중 일부는 다크웹에 게시되었습니다. 법원은 전 CEO가 환자 데이터를 암호화하지 않아 GDPR 요건을 준수하지 않았고, 수년간 사이버 보안의 허점을 알고 있었으며, 침해 사실을 은폐하려고 시도했다는 사실을 발견하여 형사 책임을 물었습니다.
사이버 범죄자들의 새로운 수법: 법률 시스템 악용
사이버 범죄자들은 점점 더 정교해지고 있으며, 법률 시스템을 악용하여 공격을 강화하고 있습니다. 랜섬웨어 조직인 ALPHV/BlackCat은 자신들이 직접 피해자인 MeridianLink를 상대로 SEC에 제소했습니다.를 상대로 심각한 데이터 유출을 보고하지 않았다는 이유로 SEC에 제소했습니다. 피해자에 대한 사이버 보안 사고 의무 공개에 대한 법적 요건을 이용하는 이 혁신적인 전술은 사이버 범죄자들이 법적 허점을 이용해 표적에 대한 압력을 높이고 디지털 갈취의 규칙을 재정의하는 우려스러운 추세를 보여줍니다.
참고로, 이 위협 행위자는 지난 9월에 발생한 라스베이거스 카지노 해킹 사건(MGM 및 시저스 사건)의 배후에 있는 것으로 알려진 것과 동일한 위협 행위자입니다.
SEC는 위협 행위자의 신고에 대해 조치를 취하지 않았지만, 이는 부분적으로는 최근 판결이 발효되지 않았기 때문입니다(새로운 신고 기간이 SEC의 승인을 받았지만 12월 중순에야 발효될 예정입니다). 이는 위협 행위자가 악용한 허점뿐만 아니라 규제 기관의 실효성에 대한 우려를 불러일으킵니다. 기억에 남는 영화 대사로 잘 설명되는 상황에서 규제 기관의 조치로 이어졌어야 하는 불만 사항 뒤에 사실적인 자료가 있는 것처럼 보였기 때문입니다: "(...)함께 사는 개와 고양이(...)".
다소 예상치 못한 상황으로 인해 이러한 모든 사고로 인해 (의무) 보고로 이어질 수 있으며, CEO/CIO/CISO는 법적 책임과 보고를 전혀 하지 않을 경우의 잠재적 위험을 비교 검토하게 됩니다.
이는 또한 초기 액세스 이후 침해가 탐지되지 않는 시간이라는 별도의 문제와도 깔끔하게 연결됩니다(이 수치는 추정치에 따르면 270일, 2022년 IBM 보고서에 따르면). 이러한 법적 허점이 계속 허용된다면 이 탐지되지 않은 시간은 보고되지 않은 침해에 대한 불만을 제기하기에 충분하며, 이는 사실에 근거한 것입니다.
사례 연구: 솔라윈즈와 강화된 법적 조사
솔라윈즈 사건은 사이버 보안에 대한 법적 조사가 강화되고 있음을 보여주는 대표적인 사례입니다. SEC는 SEC는 열악한 사이버 보안 관행과 위험을 은폐한 혐의로 SolarWinds와 그 CISO를 기소했습니다. 이 사건은 SEC가 개인을 상대로 사이버 보안 집행 소송을 제기한 첫 번째 사례입니다.
이 소장은 2018년 기업공개부터 최소 2020년 12월까지 솔라윈즈가 사이버 보안 관행에 대해 오해의 소지가 있는 공개 진술을 하고, 알려진 사이버 보안 취약성과 침해 사실을 공개하지 않았으며, 중요 자산을 보호하기 위한 적절한 통제를 유지하지 않았다고 주장했습니다. 이 사례는 정확한 사이버 보안 위험 공개와 경영진 및 보안 책임자의 개인적 책임에 대한 기대치를 강조합니다.
사이버 보안 책임의 새로운 시대
사이버 보안 사고가 운영상의 위험에서 형사 책임의 근거로 진화함에 따라 기업과 리더가 사이버 보안에 접근하는 방식에 큰 변화가 생겼습니다. 이는 조직과 경영진에게 강력한 사이버 보안 조치의 우선순위를 정하고, 규제 요건을 준수하며, 사이버 보안 관행을 투명하게 운영하라는 분명한 메시지입니다. 그렇게 하지 않으면 조직뿐만 아니라 경영진 개인에게도 심각한 법적, 재정적 불이익이 발생할 수 있습니다. 사이버 보안 위협의 환경이 계속 진화함에 따라 예방, 투명성, 책임을 강조하는 사이버 보안 위협에 대응하는 전략도 진화해야 합니다.
어쩌면 이것이 마침내 사이버 보안 문제를 산업 전반의 최우선 과제로 끌어올리는 계기가 될지도 모릅니다.
