ClickCease 부실한 사이버 보안 관행은 개인 형사 책임으로 이어질 수 있습니다.

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

부실한 사이버 보안 관행은 CEO의 개인 형사 책임으로 이어질 수 있습니다.

조아오 코레이아

2023년 4월 26일 - 기술 에반젤리스트

"사이버 보안이 허술하면 감옥에 갈 수 있다니 무슨 소리야?" 핀란드의 한 심리치료 클리닉의 전 CEO가 이런 생각을 했을 것입니다. 부실한 사이버 보안 관행과 그에 따른 기밀 환자 세션 녹음의 유출, 도난 및 공개 배포의 결과로 핀란드 법원은 이 상황에서 정확히 이런 결정을 내렸습니다. 위험을 무시하는 것은 좋은 전략이 아니며, 이 모든 이야기가 그 이유를 정확히 보여줍니다.

 

잠깐만요, 여기서 회사가 피해자가 아니었나요?

 

액면 그대로 보면 '범죄에 대한 피해자 탓'으로 인식될 수 있는 상황이지만, 이 모든 상황에는 이러한 결과를 초래하고 그에 따른 실형을 더욱 정당하게 만드는 몇 가지 뉘앙스가 있습니다.

 

예, 표면적으로는 회사가 사이버 공격의 피해자인 것처럼 보일 수 있습니다. 그러나 전 CEO에게 책임을 묻는 법원의 결정은 단순한 관점을 넘어서는 것입니다. 이 사건의 세부 사항을 살펴보면 혐의와 최종 징역형 집행 유예에 기여한 몇 가지 주요 요인이 드러납니다.

 

무엇보다도 이 회사는 환자 데이터의 가명화 및 암호화에 관한 GDPR 요건을 준수하지 못했습니다. 이러한 관리 소홀로 인해 수만 명의 환자들의 민감한 정보가 도난 및 무단 액세스에 취약하게 노출되었습니다. 이 치료 센터의 데이터베이스는 환자의 개인 정보와 세션 노트를 적절한 암호화 없이 일반 언어로 저장했습니다. 그 결과 공격자는 개별 치료사의 메모와 의료 기록을 환자의 개인 정보와 쉽게 대조할 수 있었습니다.

 

또한 법원은 데이터 유출의 규모와 관련 정보의 민감한 특성으로 인해 전 CEO의 행동이 특히 비난받을 만하다고 판단했습니다. 법원은 범죄의 심각성이 무조건적인 징역형을 선고해야 한다고 판단했습니다. 그러나 전 CEO의 깨끗한 범죄 기록 및 기타 상황를 고려하여 법원은 최종적으로 집행유예를 선고하기로 결정했습니다.

 

또한 조사 결과 CEO와 IT 관리자가 보안 문제, 데이터 유출 및 그에 따른 협박 요구를 인지하고 있었다는 사실이 밝혀졌습니다. CEO는 당국에 사건을 보고하는 대신 침해 및 협박 시도와 관련된 모든 증거를 은폐하도록 지시했습니다. 이 조치를 취하지 않은 점과 사건을 은폐하려는 시도 법원이 전 CEO에게 책임을 묻기로 결정한 중요한 요인이었습니다. CEO의 형량이 가장 적절했지만, 이 상황에서 과실로 인해 조사를 받은 개인은 CEO뿐만이 아니었습니다. 다른 고위 경영진도 조사를 받았습니다. 적절한 보안 조치를 취하지 않은 것에 대해 조사를 받았습니다.

 

해킹으로 인한 영향

 

심리치료 센터인 바스타모 해킹은 피해자와 회사 모두에게 막대한 피해를 입힌 대규모 데이터 유출 사고였습니다. 공격자들은 환자 기록, 치료 세션 노트, 일기, 진단, 연락처 정보 등 수만 명의 환자들로부터 매우 민감한 정보를 훔쳐냈습니다. 설상가상으로 이러한 파일 중 일부는 다크 웹에 게시되어 피해자의 가장 개인적이고 기밀적인 정보가 대중에게 노출되었습니다.

 

피해자들에게 미친 영향은 치명적이었습니다. 민감한 정보가 유출되어 많은 환자들이 정신 건강, 개인적 관계, 직업 생활에 잠재적인 피해를 입었습니다. 공격자들은 피해를 통제하기 위해 회사와 개별 환자 및 직원 모두에게 몸값을 요구했습니다. 요구가 받아들여지지 않으면 더 많은 정보를 유출하겠다고 협박했습니다. 그러나 회사와 피해자들은 몸값 지불을 거부했습니다.

 

데이터 유출은 피해자의 개인적 피해 외에도 회사로서 바스타모에 심각한 영향을 미쳤습니다. 민감한 정보가 공개적으로 노출되고 회사가 데이터 보안 및 보호에 실패하면서 조직에 대한 신뢰를 잃게 되었습니다. 3만 명 이상의 환자를 치료하고 여러 주요 공공 부문 병원 구역의 하청업체로 활동했던 Vastaamo는 유출 사실이 알려진 지 불과 몇 달 후인 2021년 2월에 파산 신청을 했습니다.

 

해커와 해커의 활동

 

바스타모 데이터 유출 사건의 바스타모 데이터 유출 사건의 배후에 있는 해커들은 는 매우 정교한 활동을 보여주었습니다. 그들은 회사 시스템에 침투하여 수만 명의 환자들의 민감한 정보를 훔치는 데 성공했습니다. 조사가 진행되면서 해커가 2018년 11월과 2019년 3월에 두 차례에 걸쳐 바스타모를 표적으로 삼아 데이터 유출을 시도한 것으로 밝혀졌습니다. 그러나 침해와 갈취 시도 사이에 시간적 간격이 있기 때문에 각 범죄의 가해자가 동일하지 않을 수도 있습니다.

 

침해가 발생한 후 해커는 회사와 개별 환자 및 직원에게 몸값을 요구하며 협박에 나섰습니다. 요구가 받아들여지지 않으면 더 민감한 정보를 유출하겠다고 협박했습니다. 그런 다음 공격자는 훔친 파일 중 일부를 다크웹에 게시했습니다.

 

수사가 진행되면서 당국은 주요 수사선이 유럽 외부를 향하고 있다는 사실을 발견했습니다. 또한 이 사건과 직접적으로 관련된 것으로 보이는 프랑스에서 핀란드로의 범죄인 인도도 이루어졌습니다.

 

개인 책임

 

환자 데이터의 가명화 및 암호화와 관련된 GDPR 요건을 충족하지 못하여 Vastaamo의 전 CEO인 빌 타피오가 개인적 책임을 지게 되었습니다. 이러한 데이터 보호 실패는 민감한 정보를 취약하게 만들었고 데이터 유출에 직접적으로 기여했습니다. 타피오의 행동(또는 행동의 부재)은 법원이 데이터 보호 범죄에 대한 책임을 묻기로 한 결정에 중요한 역할을 했습니다. 타피오는 사건 발생 2년 전부터 회사의 사이버 보안에 허점이 있다는 사실을 알고 있었으며, 이러한 허점을 보완하기 위한 조치를 취하지 않아 고객과 관련된 기밀 정보의 보안을 유지하지 못한 것으로 알려졌습니다.

 

타피오는 데이터 유출이 폭로된 후 2020년 가을에 CEO직에서 축출되었습니다. 타피오가 회사 경영진에서 해임된 것은 사태의 심각성과 부실한 사이버 보안 관행이 얼마나 큰 영향을 미쳤는지를 보여주었습니다. 이후 타피오는 데이터 보호 위반 혐의로 기소되어 법정에 서게 되었습니다.

 

재판 과정에서 법원은 유출 규모와 관련 정보의 민감한 특성으로 인해 타피오의 행위가 특히 비난받을 만하다고 판단했습니다. 법원은 범죄의 심각성이 무조건적인 징역형을 정당화할 수 있다고 판단했습니다. 그러나 법원은 사안을 전반적으로 고려하고 타피오의 깨끗한 범죄 기록을 고려하여 대신 3개월의 집행유예를 선고하기로 결정했습니다.

 

타피오는 실제 실형을 피했지만, 무죄 판결을 받은 것은 아니라는 점에 유의해야 합니다. 집행유예는 여전히 형사 처벌이며 그의 개인적, 직업적 평판에 중대한 영향을 미칩니다. 유죄 판결은 특히 신뢰나 권위가 있는 직책에서 향후 취업을 보장받는 데 방해가 될 수 있으며, 개인 생활에 오래 지속되는 결과를 초래할 수 있습니다.

 

다른 곳에서도 일어날 수 있는 일

 

사이버 보안 실무자, 최고정보보호책임자, IT 전문가로서 이번 사건은 부실한 사이버 보안 관행이 형사 고발 및 잠재적 징역형 등 심각한 결과를 초래할 수 있다는 점을 극명하게 보여줍니다. 강력한 보안 조치를 구현 및 유지하고, 규제 요건을 준수하며, 발생할 수 있는 모든 사고를 즉시 보고하고 해결하는 것이 중요합니다. 위험을 무시하고 적절한 조치를 취하지 않으면 회사의 평판과 재무 상태에 심각한 손상을 입힐 뿐만 아니라 개인적으로도 법적 처벌을 받을 수 있습니다. 따라서 너무 늦을 때까지 기다리지 말고 지금 조직의 사이버 보안에 투자하여 고객, 비즈니스, 자신을 보호하세요.

 

요약
부실한 사이버 보안 관행은 개인 형사 책임으로 이어질 수 있습니다.
기사 이름
부실한 사이버 보안 관행은 개인 형사 책임으로 이어질 수 있습니다.
설명
위험을 무시하는 것은 좋은 전략이 아니며, 이 전체 이야기는 열악한 사이버 보안 관행으로 인한 이유를 정확히 보여줍니다. 여기에서 그 이유를 읽어보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기