• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

증권거래위원회도 취약점 공개에 대해 목소리 냈다 2018.02.22

취약점 공개에 대한 표준, 아직도 부표하는 가운데 나온 월가의 목소리
일각에서는 “효과 기대”... 반대편에서는 “이도 저도 아닌 내용일 뿐”

[보안뉴스 문가용 기자] 미국의 증권거래위원회(SEC)가 취약점 공개와 관련된 가이드라인을 발표했다. 보안 업계가 아닌 증권가에서 이런 발표를 했다는 것이 이례적이라 전문가들의 이목이 집중되고 있다.

[이미지 = iclickart]


SEC의 의장인 제이 클레이튼(Jay Clayton)은 성명 발표를 통해 “취약점을 공개하는 문제에 대한 우리 위원회의 입장과 의견을 밝히는 것이 사이버 리스크를 관리하고 사건에 대응하는 것에 도움이 되겠다는 판단이 들었다”고 설명했다. “오늘날 사이버 보안은 시장과 기업의 활동에 있어 필수적인 요소입니다. 그저 특정 분야에 국한된 다른 사람의 문제가 아닌 것이죠. 증권가도 참여해야겠다는 의지입니다.”

SEC은 “사이버 보안 사고의 빈도, 규모, 피해액을 고려했을 때 공개 기업들이 구체적인 사이버 보안 위협과 사고에 대한 내용을 투자자들에게 제 때 알리는 것은 매우 중요한 일”이라고 짚으며, “이는 꼭 사고를 당한 후가 아니더라도, 실질적인 위험이 있다고 판단된다면 성취되어야 할 책임”이라고 발표했다. 이런 ‘적절한 시기의’ 공개가 현실화 되려면 취약점 공개 과정이 마련되어야 하고, 이에 대한 통제 장치가 반드시 필요할 것이라고 제안하기도 했다.

엄중한 주의를 요하는 부분도 있었다. “이사, 관리자 등을 포함한 내부 임직원들은 비공개된 정보를 보유하고 있는 상태에서 공개 기업의 증권을 거래할 수 없습니다. 여기에는 사이버 보안과 관련된 정보도 포함됩니다.” 이 부분은 지난 해 발생한 에퀴팩스 사건으로부터 파생된 것으로 보인다. 사실상 미국 성인 모두의 개인정보가 도난당한 이 사건이 공개되기 전 회사 고위직 임원 몇몇이 주식을 매각한 것이 드러났기 때문이다.

결국 SEC은 이번 ‘가이드라인’을 통해 두 가지를 강조한 것으로 볼 수 있다. 공개 기업들이 보안 향상을 위해 1) 정책과 대응 절차 방안을 마련함으로써 취약점 정보를 최초로 취득한 시간과 그것이 대중들에게 알려지는 시간 사이에 그 어떤 내부자도 거래할 수 없도록 해야 한다는 것과 2) 보안 및 취약점, 사이버 사건과 관련된 정보를 늦지 않도록 공개해야 한다고 것.

보안 업계 일각에서는 뭔가 대중이 알고 있지 못한 정보를 취득한 상태에서는 내부 거래를 할 수 없다는 항목을 반가워하는 눈치다. 여기에는 취약점 정보도 포함되기 때문에, “내부자가 주식 거래로 이득을 보고 싶다면 취약점을 공개할 수밖에 없으니 효과가 있을 것”으로 예상하고 있는 것이다.

하지만 이를 어겼을 때의 벌칙이 구체적으로 언급되어 있지는 않아 아쉬움을 남긴다. 게다가 SEC의 이 문건 자체가 ‘가이드라인’으로, 정책이나 규정과 같은 힘을 갖고 있진 않다. 보안 업체 아칼비오(Acalvio)의 수석 보안 아키텍트인 크리스 로버츠(Chris Roberts)는 외신인 SC매거진을 통해 “문건의 전체적인 톤이 너무 흐리멍덩해, 버드와이저가 맥주로 보일 지경”이라고 비꼬기도 했다.

그가 보는 이번 위원회 보안 문건의 내용은 다음과 같다. 심히 비꼬고 있다. “공개 기업들이여, 우리 위원회는 당신들이 가지고 있는 리스크가 궁금하긴 한데, 꼭 보고하지는 않아도 돼. 월스트리트만 살아남는다면 상관없으니까 어지간하면 알아서 처리하고, 정말 정말 위험한 문제라면, 그건 알려줘도 돼. 알고 싶기도 하고 알고 싶지 않기도 하니까 알아서 판단해.”

하지만 민주당 의원인 로버트 잭슨(Robert Jackson)은 “완전하지 않을지라도 첫 번째 걸음을 뗐다는 게 중요하다”는 입장이다. “우리의 경제를 위협하는 적들을 이겨내기 위한 시작입니다. 이 가이드라인을 중심으로 보충해야 할 것을 찾아내고, 또 다른 대책들을 마련해야 하겠죠. 효과가 있는 항목은 강화하고, 없는 부분은 대체하는 식으로요.”

SEC의 보고서는 여기(https://www.sec.gov/rules/interp/2018/33-10459.pdf)에서 다운로드가 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>