솔라윈즈 사태에 대한 책임을 CISO에게 묻는 증권거래위원회...역효과 우려돼

요약 : 보안 외신 시큐리티위크에 의하면 최근 보안 업계가 솔라윈즈(SolarWinds) 사태로 다시 뒤숭숭한 분위기라고 한다. 이번 주 미국 증권거래위원회(SEC)가 솔라윈즈의 CISO인 티모시 브라운(Timothy Brown)을 고소했기 때문이다. 규제 기관이 한 개인을 상대로 소송을 시작하는 건 흔한 일이 아니기 때문에 이번 일은 더욱 큰 화제가 되고 있다. SEC는 브라운이 솔라윈즈의 취약점들을 알고 있었지만 이를 투자자들에게 제대로 알리지 않았으며, 이는 보안 관리자로서의 책임을 소홀히 한 것이라고 주장하고 있다.


배경 : 2020년 말에 발생한 솔라윈즈 사태는 러시아가 배후에 있는 것으로 알려져 있다. 솔라윈즈라는 인기 높은 기업용 플랫폼의 제로데이 취약점을 공격자들이 익스플로잇 함으로써 수많은 기업들을 한꺼번에 침해할 수 있었다. 솔라윈즈 사태는 현재까지도 유행하고 있는 ‘공급망 공격’의 대명사로 지목되는 사건이다.

말말말 : “이번 사건으로 CISO들에게 주어지는 압박이 가중될 것이라고 봅니다. 그렇기 때문에 오히려 CISO들이 보안 사건이나 각종 취약점에 대해 함구하게 될 가능성이 높습니다. 즉 역효과가 우려되는 사건입니다.” -솔라윈즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>