ClickCease 솔라윈즈에 대한 SEC의 법적 고지: 사이버 보안의 책임

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

솔라윈즈 경영진에 대한 SEC의 법적 고지: 사이버 보안에 대한 책임

조아오 코레이아

2023년 7월 13일 - 기술 에반젤리스트

사이버 보안 업계에 충격을 안겨준 이번 사건으로 미국 증권거래위원회(SEC)는 선도적인 IT 관리 소프트웨어 제공업체인 SolarWinds의 임원진에게 웰스 노티스를 발부했습니다. 이 공지는 전 세계 정부 기관과 기업을 포함한 수천 명의 고객에게 광범위한 영향을 미친 2020년 인프라에 대한 사이버 공격에 대한 회사의 대응과 관련하여 작성되었습니다.

 

최고재무책임자(CFO) 및 정보보호최고책임자(CISO)를 포함한 솔라윈즈의 현직 및 전직 직원과 임원이 받은 웰스 통지서에는 SEC 직원이 수신자를 상대로 민사 집행 소송을 제기할 것을 권고하기로 예비 결정을 내렸다는 내용이 명시되어 있습니다. 이 혐의는 미국 연방 증권법의 특정 조항을 위반한 것과 관련이 있으며, 이는 SolarWinds의 SEC 제출 서류에 명시되어 있습니다.

 

웰스 통지는 위법 행위에 대한 공식적인 기소나 법 위반에 대한 최종 결정은 아니지만, 잠재적인 법적 조치를 알리는 신호입니다. SEC가 소송에서 승소할 경우 향후 위반 행위에 대한 금지 명령 및 민사상 금전적 처벌부터 해당 개인이 상장 기업의 임원 또는 이사로 재직하는 것을 금지하는 것까지 다양한 결과가 초래될 수 있습니다.

 

네트워크 및 애플리케이션 모니터링 플랫폼 Orion으로 잘 알려진 SolarWinds는 러시아에 연계된 위협 행위자의 소행으로 추정되는 사이버 공격의 희생양이 되었습니다. 이 공격은 소프트웨어 사용자에게 수정된 업데이트를 배포하는 방식으로 이루어졌습니다.

 

사실, 이 문제에 대해 웰스가 보낸 통지는 이번이 처음이 아닙니다. 이전에도 사이버 보안 공개, 공개 진술 및 내부 통제에 관한 미국 연방 증권법 위반 혐의로 SolarWinds 자체에 통지를 보낸 적이 있습니다. 이 통지에 대한 조치는 아직 계류 중입니다.

 

SEC가 CISO에게 웰스 통지서를 발부한 것은 이례적인 일이며, 사이버 보안 전문가에게 잠재적 책임의 새로운 시대를 예고하는 것일 수 있습니다. 전통적으로 이러한 통지는 폰지 사기, 회계 사기 또는 시장 조작의 경우 CEO 또는 CFO에게 발행되었습니다. 그러나 CISO가 사고의 심각성과 같은 중요한 정보를 공개하지 않거나 적시에 공개하지 않으면 잠재적으로 법률을 위반할 수 있습니다. 그러나 사이버 보안 관리에는 다양한 이해관계자와 부서가 관여하는 경우가 많으므로 CISO 또는 CFO에게만 책임을 돌리는 것은 항상 공정하거나 정확하지 않을 수 있습니다.

 

SEC의 조치는 특정 상황, 법적 프레임워크, 입증된 과실 등 다양한 요인에 의해 영향을 받았을 수 있으며, CISO가 적절한 보안 조치를 구현하지 않았거나, SEC 정책, 지침 및 관행을 무시했거나, 알려진 취약점을 무시한 경우 등이 이에 해당합니다.

 

솔라윈즈는 '선버스트'라고 명명된 이번 공격은 글로벌 초강대국이 새로운 기술을 사용하여 수행한 고도로 정교하고 예측할 수 없는 공격이었다고 밝혔습니다. 또한 자사와 직원들에 대한 법적 조치가 보안 침해 공개를 위축시키는 효과를 가져올 수 있다고 경고했습니다.

 

이 상황은 핀란드의 유사한 사례를 반영합니다. 심리 치료 클리닉의 전 CEO가 부실한 사이버 보안 관행으로 인해 징역형 집행 유예를 받은 사례와 유사합니다.. 이 회사는 환자 데이터의 가명화 및 암호화에 관한 GDPR 요건을 준수하지 않아 민감한 정보가 도난 및 무단 액세스에 취약한 상태로 방치되어 있었습니다. CEO와 IT 관리자는 보안 문제와 데이터 유출을 인지하고 있었지만 당국에 사건을 보고하는 대신 유출 및 협박 시도와 관련된 증거를 은폐하기로 결정했습니다.

 

IT와 관련이 없는 과거의 다른 대형 수사를 거슬러 올라가면, "범죄가 아니라 은폐입니다.".

 

솔라윈즈 사례와 핀란드의 사례는 사이버 보안의 중요성이 점점 더 커지고 있으며, 사이버 보안을 소홀히 할 경우 법적 처벌을 받을 수 있다는 점을 강조합니다. 이 사례는 모든 기업과 경영진에게 사이버 보안이 단순한 기술적 문제가 아니라 법적, 윤리적 책임이라는 사실을 일깨워줍니다.

 

이 상황이 어떻게 전개될지는 아직 지켜봐야 하지만, 사이버 보안이 더 이상 단순한 IT 문제가 아니라는 것은 분명합니다. 사이버 보안은 최고 경영진의 관심과 감독이 필요한 중대한 비즈니스 리스크입니다. 법적 환경이 계속 진화함에 따라 기업과 경영진은 잠재적인 법적 영향을 피하기 위해 사이버 보안에 대한 정보를 파악하고 선제적으로 접근해야 합니다. 이는 사이버 보안 전문가에게 더 큰 책임을 부여하는 방향으로의 전환을 의미하며, 사이버 공격으로부터 적절히 보호하고 대응하지 못할 경우 발생할 수 있는 잠재적인 법적 결과를 강조합니다.

 

"1온스의 예방이 1파운드의 치료보다 낫다"는 속담이 있습니다. 사이버 보안의 맥락에서 이는 강력한 보안 조치에 투자하고, 보안 인식 문화를 조성하며, 사고에 대응할 때 투명성과 신속성을 보장하는 것을 의미합니다. 이러한 조치는 사이버 위협으로부터 보호하는 데 도움이 될 뿐만 아니라 침해 발생 시 법적 조치의 위험을 완화하는 데도 도움이 됩니다.

 

결국 목표는 기업이 번창하고 고객이 자신의 데이터가 안전하다고 신뢰할 수 있는 안전한 디지털 환경을 조성하는 것입니다. 솔라윈즈 사례는 끊임없이 진화하는 사이버 위협에 직면해 지속적으로 경계를 늦추지 말아야 한다는 사실을 일깨워 줍니다.

 

요약
솔라윈즈 경영진에 대한 SEC의 법적 고지: 사이버 보안에 대한 책임
기사 이름
솔라윈즈 경영진에 대한 SEC의 법적 고지: 사이버 보안에 대한 책임
설명
전 세계 정부 기관과 기업을 비롯한 수천 명의 고객에게 광범위한 영향을 미친 2020년 사이버 공격과 SolarWindis의 연관성에 대해 알아보세요.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기