미국 철도 대기업 '암트랙'에 비서로 근무하고 있던 직원이 미국 법무부 관할 법 집행 기관인 마약 단속 국 (Drug Enforcement Administration, DEA)에 승객 관한 개인 정보를 판매하고 있었다 이 발각되었습니다.
이 보안 사고는 암트랙 감시 총감 실 (Office of Inspector General, OIG)이 발행하는 분기 보고서 에 의해 밝혀졌습니다.이 보고서를 받아 미국 아이오와 상원 의원 Chuck Grassley 씨가 보도 자료 를 포함 서한 에서 설명을 요구하는 소동으로 발전하고 있습니다.
■ 19 년간 약 8,700 만 원 상당의 개인 정보를 판매
이 사고의 가장 특징적인 부분은 직원이 승객의 개인 정보를 1995 년부터 19 년간 계속 부정하게 판매 계속 있었던 점에 있습니다. 즉 부정 행위가 19 년 동안 누구의 눈에도 멈추지 않고 계속해서 이루어지고 있었다는 것입니다. 이 개인 정보 불법 매각을 통해 직원은 누계 854,460 달러 (2014 년 8 월 15 일 현재 약 8,700 만원)를 받고 있던 것도 밝혀지고 있습니다.
또한 이번 사고에 있어서는 당해 2 조직이 가맹하는 태스크 포스를 통해 무료로 얻을 수있는 정보 임에도 불구하고 세금이 이런 형태로이 정보에 지불 받고 점도 문제를 더 복잡하게 있습니다. 또 사고 발각 이후이 직원은 결국 개인 사정 퇴직하는 것도 보고서에서보고되고 있습니다.
원래 이번 사고가 어떻게 발각했는지는 보고서 공표 내용에는 포함되어 있지 않지만, 왜 그러한 개인 정보의 외부 유출, 부정 매각이 19 년이라는 장기간 이루어 유지할 수있는 있는가하는 점에서 내부 통제 및 보안 대책의 상황이 의문시됩니다.
■ 5 개에 1 개 업체가 내부 시스템에서의 정보 유출을 경험
정보 유출 사고는 국내외에서 후 이어지고 있지만 사실 트렌드 마이크로가 2014 년 3 월에 국내에서 실시한 ' 조직의 보안 실태 조사 2014 "에서도 조사 대상이 된 1,175 샘플 중 19.8 % 인 233 건으로 사내 시스템에서 정보 유출을 2013 년에 경험했다고 답변하고 있습니다. 즉, 5 개에 1 개사가 사내에서 정보 유출을 경험하고 있다는 계산이됩니다. 그리고 정보 유출을 포함한 어떤 보안 사고를 2013 년에 경험하고 있다고 응답 한 778 샘플 중 3.6 %에 해당하는 28 건으로 「도난당한 정보가 악용 된 "사실을 확인했다고 답변하고 있습니다. 더 이상 정보 유출 사고는 남의 일이 아닙니다.
■ 조직적인 노력이 급선무
지금까지 정보 유출이라고하면 사이버 공격 등 외부에서 들어오는 것은 물론, 직원의 "실수"등이 대체로 부각되고 쉽지만, 이번 사례를 봐도 "내부 범」에 의한 정보 유출은 무시할 수없는 문제라는 것을 알 수 있습니다. 이러한 문제에 대해 기업 보안 정책과 지침 등을 정비하고 전사적으로 침투시키는 것이나, 직원 교육 및주의 환기 등 노력을 통해 일반 직원의 능력 향상과 억지력 향상 할 필요가 있습니다.
또한 표적 형 사이버 공격 등에서는 "침입은 반드시 일어난다는 전제로 대책을"의 중요성이 요즘 칭송 시작하고 있습니다 만, 이번 사례를 포함하여 정보 유출에서도 "내부 범행은 반드시 일어난다는 전제로 대책을한다 '는 생각을 기업에 있어서는 가져야 말라 보여줍니다.
참고 정보 :
'Security_News > 해외보안소식' 카테고리의 다른 글
| 대부분회사, 사고대응역량 부족 (0) | 2014.08.17 |
|---|---|
| FCC, 셀룰라 네트워크 해킹 조사 착수 (0) | 2014.08.17 |
| "Gizmodo"브라질 버전 변조 사례 확인 (0) | 2014.08.14 |
| 아프리카의 위협 전체 상 : 사이버 범죄의 변천과 최신 상황 (0) | 2014.08.14 |
| HP, 사물 인터넷 보안 취약점 발견 (0) | 2014.08.14 |