세 번째 발표...1억 4천 550만명에서 1억 4천 790만명으로
국회의원들, 강력한 책임 물을 수 있는 법안 마련...수사 원래 오래 걸린다 옹호론도

[보안뉴스 문가용 기자] 작년 에퀴팩스(Equifax) 해킹 사고의 피해자 수가 다시 한 번 증가했다. 가장 최근 발표로는 1억 4천 790만 명이다. 현재 임시 CEO를 맡고 있는 파울리노 도 레고 바로스 주니어(Paulino do Rego Barros Jr.)는 “탈취된 데이터가 새롭게 발견된 것이 아니라 이전 에 발견된 데이터를 다시 한 번 분석했을 때 나온 숫자”라고 설명했다.


바로스는 “지난 공격으로 영향을 받은 소비자들을 파악하고, 해당 사실을 알리며, 보호하기 위해 모든 방법을 총동원하고 있다”고 설명하기도 했다. 또한 “소비자들의 신뢰를 찾기 위해 투명성을 강화화고 보안을 향상시키는 데 집중하고 있다”고 현재 상황에 대한 설명도 덧붙였다.

현재 에퀴팩스 사건을 검토 중인 법조계 담당자들은 “에퀴팩스가 정보를 제대로 제공하고 있지 않다”며 “정확한 숫자라고 하는 것들이 자꾸만 바뀐다”고 말한다. 피해 규모가 처음에는 1억 4천 3백만명이었고, 그 다음은 1억 4천 550만명이었다. 그리고 다시 1억 4천 790만명이 된 것이다.

그런 어려움을 적극 호소하고 있는 사람 중 하나가 엘리자베스 워렌(Elizabeth Warren) 의원이다. 그는 어제 트위터를 통해 “에퀴팩스 사건을 5개월째 수사 중에 있는데, 아직도 에퀴팩스는 해킹 사건에 대해 모든 사실을 공개하고 있지 않다”고 고발했다. “보안에 대한 실수로 수많은 피해자를 남겼는데 그 뒷수습도 책임감 있게 해내고 있지 못하다는 것.” 그는 “이제 질렸다”며 “이제 신용 관련 산업의 조직들에도 책임을 물 법이 필요하다”고 쓰기도 했다.

하지만 보안 업체 주니퍼 네트웍스(Juniper Networks)의 최고 위협 분석가인 무니르 하하드(Mounir Hahad)는 “원래 유출 사고에 대한 수사는 대단히 오랜 시간을 소요하는 일”이라고 반박한다. “사건이 발생한 이후 추가 사실이 발굴되는 건 흔한 일입니다. 산업별로 사고가 발생할 경우 며칠 안에 보고를 해야만 한다는 표준이나 규정이 마련되어 있는데, 대부분 최초 보고를 마치더라도 후속 보고를 하기 마련이죠.”

에퀴팩스는 작년 사건 당시 덤핑된 자료로부터 추가적인 운전자 면허 번호들을 찾아냈다. 이 때문에 2백 4십만 명의 피해자가 기존에 발표된 수치에 추가된 것이다. 하지만 “여권번호가 도난당했다는 증거는 찾을 수 없었다”고 한다.

워렌 의원은 에퀴팩스와 같은 기업들이 일으킨 피해에 대해서 정부가 막중한 법적 책임을 부과할 수 있게 해주는 법안을 마크 워너(Mark Warner)라는 의원과 함께 마련했다. 그리고 상원과 하원에 이를 빨리 통과시켜달라고 촉구 중에 있다.

“에퀴팩스의 해킹 사고는 그 영향력이 어마어마했고, 지금까지도 피해가 확산되고 있습니다. 게다가 아직도 정확한 규모가 파악되지 않고 있고요. 이것이 먼저는 기업들이 사이버 보안에 신경을 써야만 하는 이유이자 사례로 남길 바랍니다.” 소프트웨어 기업인 봄가르(Bomgar)의 CEO 맷 덕스(Matt Dircks)의 설명이다.

대부분의 유출 사건에서 공격자들은 도난당해 암시장에서 거래가 가능한 비밀번호나 사용자가 약하게 설정한 비밀번호를 통해 네트워크에 들어오는 사례가 많다는 맷 덕스는 “이중인증 혹은 다중인증으로 계정과 크리덴셜을 보호하고, 중요한 계정은 복잡하고 어려운 비밀번호를 설정해두는 게 너무도 당연한 일”이라고 강조한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>