요약 : 보안 외신 인포시큐리티매거진에 의하면 2020년 말 큰 화제가 됐던 솔라윈즈(SolarWinds) 사태와 관련하여 미국의 판결이 나왔다고 한다. 공급망 공격의 대명사가 된 솔라윈즈 사태 이후 미국의 증권거래위원회(SEC)는 솔라윈즈의 CISO인 티모시 브라운(Timothy Brown)을 여러 가지 혐의로 기소했었다. 하지만 이번에 법원에서 대부분의 혐의를 기각시켰다고 한다. 그 중에는 회사와 CISO가 회사의 부실한 보안 상황을 숨기고 투자를 유치함으로써 사기를 친 것이나 다름 없다는 혐의도 있었는데, 이 역시 인정되지 않았다. 법원에서 유죄로 인정한 혐의는 솔라윈즈 제품 내 보안 장치가 부실하다는 사실 하나였다.


배경 : 사이버 보안 사고로 인해 CISO가 SEC에 의해 기소까지 당한 건 대단히 드문 일이다. 가뜩이나 과도한 책임을 CISO가 홀로 짊어지게 하는 문화가 보안을 망가트린다는 소리가 나오는 가운데 SEC가 강력하게 움직인 거라 비판도 많이 받았었다. 하지만 보안과 관련된 문제만이 아니라 투자 유치와 관련된 의혹이 불거지면서 CISO를 의심할 수밖에 없는 정황이라고 SEC는 해명해 왔다.

말말말 : “애초에 SEC의 주장은 상당히 부정확했습니다. 저희는 법원에서 그 점을 명확하게 인정했다는 사실이 기쁩니다.” -솔라윈즈-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>