Sec, SolarWinds 해킹으로 회사에 벌금 부과

미국 증권거래위원회(SEC)는 2020년 SolarWinds 해킹에 대해 오해의 소지가 있는 공개를 한 혐의로 4개 회사에 벌금을 부과했습니다. Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd 및 Mimecast Limited는 모두 침해의 피해자였지만 공개 성명에서는 피해와 영향을 최소화한 것으로 알려졌습니다. SEC는 이들 회사에 99만 달러에서 400만 달러에 이르는 민사 벌금을 부과했습니다.

유니시스는 추가 절차 위반으로 최대 벌금 400만달러를 선고받았다. Avaya Holdings는 100만 달러, Check Point는 995,000달러, Mimecast는 990,000달러를 지불할 것입니다. SEC의 조사에 따르면 약 18,000명의 SolarWinds 클라이언트가 악성 트로이 목마를 설치했지만, 러시아 정부가 후원하는 해커들은 선택적으로 소수의 피해자를 표적으로 삼았습니다.

벌금을 부과받은 회사들은 사이버 보안 공개를 부주의하게 과소평가하여 투자자들을 오도한 것으로 밝혀졌습니다. Unisys는 공격자가 시스템에 여러 번 침투하여 수십 기가바이트의 데이터를 유출했다는 사실을 알고 있었음에도 불구하고 이러한 위험은 가상적인 것이라고 설명했습니다. 어바이어는 공격자가 내부 이메일에 액세스하는 것 외에도 클라우드 호스팅 파일 145개 이상을 훔쳤다는 사실을 공개하지 않았습니다.

Mimecast는 도난당한 암호화된 자격 증명의 범위와 유출된 코드의 성격을 명시하지 않았습니다. Check Point는 지나치게 일반적인 용어로 침입을 설명했다는 비판을 받았습니다.

Sec는 사이버 보안 과실에 벌금을 부과합니다.

회사들은 구체적인 혐의를 인정하지 않고 향후 이러한 성격의 위반을 중단하기로 합의했습니다. SEC는 사이버 보안 통제 개선 조치를 포함한 각 회사의 자발적인 협력이 결정에 영향을 미쳤다고 지적했습니다. SolarWinds 해킹이 발생한 지 거의 5년이 지났지만 개발과 낙진은 계속되고 있습니다.

이 사례는 잠재적인 과실 또는 상황 경시와 관련된 사이버 보안 공개가 SEC의 집행 우선순위가 증가하고 있음을 보여줍니다. 작년 말부터 발효된 상장 회사에 대한 새로운 규정은 이제 중요한 사고를 발견한 날로부터 영업일 기준 4일 이내에 공개하도록 요구합니다. 연간 매출이 1억 달러 미만인 소규모 회사는 180일 연장을 받을 수 있습니다.

SEC는 국가 안보 또는 광범위한 재정적 피해와 관련된 주요 사건에서 사이버 보안 공개를 소급적으로 조사하겠다는 의지를 보여주었습니다. 그러나 그 기록은 흠집이 없는 것이 아니다. SolarWinds의 CISO인 Timothy Brown에 대한 무죄를 선고한 것 외에도, 7월 법원 판결은 SolarWinds가 공개한 내용에 대해 처벌을 가한 SEC의 정당성을 무효화했습니다.

두 명의 SEC 위원인 Hester Peirce와 Mark Uyeda는 피해자를 가해자로 취급해서는 안 된다고 주장하며 현행 벌금에 반대했습니다. 그럼에도 불구하고 조직은 중요한 사건에서 SEC의 유사한 조치를 예상해야 합니다. SolarWinds 해킹은 사이버 보안의 중추적인 사례로 남아 있으며, 데이터 위반의 지속적인 결과와 투명하고 책임감 있는 사이버 보안 관행의 중요성이 커지고 있음을 보여줍니다.