파트너 컨설팅 업체 직원, 개인 메일로 민감한 정보 빼돌려
2년 전 8천만 고객 정보 유출 후 또 다른 악몽 시작되나

[보안뉴스 문가용 기자] 앤섬의 수난시대는 끝나지 않는다. 2015년 대규모 유출 사고가 일어난 데 이어 또 18580명의 고객 정보가 유출된 사실이 드러난 것이다. 이번엔 앤섬의 서드파티 업체이자 컨설팅 전문 업체인 론치포인트 벤처스(LaunchPoint Ventures)의 직원 한 명이 악성 행위를 저질러서 일어난 일이었다.


이 직원이 한 일은 민감한 정보가 담긴 파일을 계속해서 자신의 개인 이메일 계정으로 전송한 것이었다. CNBC의 보도에 의하면 론치포인트 측은 이미 2개월 전 직원 중 한 명이 아이덴티티 도난 및 정보 유출 사건에 연루된 사실을 파악하고 자체 수사에 들어갔다고 한다. 그리고 특정 직원이 민감한 정보를 이메일로 빼돌리고 있다는 걸 파악하고 6월 14일 앤섬 측에 알렸다.

앤섬과 론치포인트가 확인한 결과 해당 직원이 자신의 이메일 계정으로 보낸 정보는 1) 메디케어 번호, 2) 사회보장번호, 3) 헬스플랜(Health Plan) ID 번호, 4) 메디케어 계약서 번호, 5) 이름(특히 성) 일부, 6) 생년월일 일부인 것으로 드러났다. 론치포인트는 포렌식 전문 업체와 계약을 맺고 이 사건을 좀 더 깊게 파헤쳤으나, 아직 해당 정보가 거래되었다거나 악용된 사례는 없는 것으로 보인다.

론치포인트는 문제의 직원을 파면하고 사업 당국에 법적 처분을 요청한 상태이다. 범인은 또 다른 사건에 연루되어 있는 것으로 보여 현재 경찰의 조사를 받고 있기도 하다. 앤섬은 잠재적인 피해 고객들에게 이러한 사실을 알렸다. 또한 해당되는 고객들에게 무료로 신용 모니터링 및 아이덴티티 도난 당지 서비스를 2년 간 제공할 방침이라고 한다.

6월 14일에 통보를 받은 앤섬은 왜 한 달 반 정도가 지난 시점에서야 이 사실을 공개하고 멤버들에게 알렸을까? 앤섬의 PR 책임자인 진 로드리게즈(Gene Rodriguez)는 “앤섬과 론치포인트는 유출되었을 가능성이 높은 정보들과 진짜 고객 데이터베이스 내 정보들을 비교해봐야 했다”며 그 이유를 설명했다. “피해가 없었던 고객들에게도 통보가 갈 필요는 없으니까요. 피해자와 사건의 규모를 정확히 파악하는 데에 시간이 들어간 것입니다.”

앤섬은 2년 전인 2015년 해킹 공격을 통해 7천 8백 8십만명의 개인정보가 유출되는 사건을 겪은 바 있다. 이 사건 때문에 집단소송이 시작됐고, 올해 7월 7일 1억 1천 5백만 달러라는 데이터 유출 사고 관련 사상 최대 보상금 판결을 받았다. 이 판결은 현재 연방법원의 최종 승인만 받으면 되는 상태다. 공판은 8월 17일에 열릴 예정이다.

내셔널로리뷰(The National Law Review)라는 매체는 “대부분의 정보 유출 사건은 내부자의 악성 의도나 실수로 인해 발생한다”며 “다행히 막는 것이 불가능하지는 않다”고 오늘자 기사를 통해 밝혔다. “위험 요소들을 재평가하되, 가장 민감하고 가치가 높은 정보를 둘러싼 위험들을 파악해야 합니다. 그런 다음 데이터 사용에 관한 강력한 정책을 마련하고 직원들의 데이터 접근 및 사용 현황을 모니터링 해야 하죠. 그러면서 지속적인 교육을 통해 ‘실수’를 최소화하고, 내부 상담을 통해 심리 상태도 최대한 파악해야 합니다.”

보안 업체 세클로어(Seclore)의 CEO 비샬 굽타(Vishal Gupta)는 인포시큐리티라는 매체와의 인터뷰를 통해 “서드파티를 통한 정보 유출 사건은 항상 일어나는 일”이라며 “데이터가 아니라 네트워크 경계선(perimeter)에 보안의 초점을 맞추기 때문에 그렇다”고 분석했다. 내셔널로리뷰의 말 대로 “데이터를 위주로 보안 전략과 정책을 갖추어야 한다”는 것이다. “보안은 가장 바깥 경계선에서부터 가장 안쪽의 데이터까지 계속해서 이어져 있어야 합니다. 한 개의 고리도 소홀히 하면 안 됩니다. 데이터가 보안의 새로운 경계에요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>