한 에너지 기업, 데이터 유출 사고 관련해 270만 달러 벌금형
PG&E가 가장 유력한 후보...서드파티 통해 데이터 노출된 듯

[보안뉴스 문가용 기자] 미국의 에너지 산업에 속한 한 기업이 2백 70만 달러라는 어마어마한 벌금을 물게 생겼다. 데이터 유출 사건에 대한 최근의 판결 때문이다.


지난 달 북미전력안정성회사(North American Electric Reliability Corporation, NERC)는 한 전력 관련 회사가 심각한 정보 유출 사건을 겪었고, 그에 따라 엄청난 벌금을 물게 되었다고 발표했었다. 또한 미래에 비슷한 사고가 일어나는 것을 방지하기 위한 대책 마련에도 큰 돈을 지출하게 되었다고도 했다.

아직 이 회사의 정확한 이름은 밝혀진 바가 없다. 하지만 NERC의 발표문을 상세히 들여다보면 단서가 될 만한 정보들을 발견할 수 있다. 대략 어떤 경위로 사건이 발생했고, 어떤 정보가 새나갔으며, 회사는 벌금을 내는 것에는 동의했지만 자신들이 보안 표준이나 정책 등을 어겼다는 것에는 인정도 부정도 하지 않고 있다는 것 등이다.

사건에 대한 상세한 묘사는 나와 있지 않지만, ‘심각하다(serious)’는 표현이 계속해서 등장하고 있으며, 서드파티 파트너사를 통해 민감한 정보가 복사되어 외부 망으로 빠져나간 것으로 보인다. 서드파티는 정보보안과 관련된 교육과 훈련을 받았음에도 불구하고 규정을 어긴 것으로 결론이 내려졌다.

이 서드파티 업체는 사용자 이름과 비밀번호를 입력하는 최소한의 인증과정도 없이 아무나 데이터에 접근할 수 있도록 네트워크를 설정해두었다고 한다. NERC에 따르면 3만개가 넘는 기록들이 외부로 노출됐는데, 여기에는 치명적인 사이버 자산(CCA), IP 주소, 서버 호스트 이름 등이 포함된다. 이러한 정보들이 무려 70일 동안이나 온라인에 공개되어 있었다.

이 벌금형에 대해 최초로 보도한 E&E 뉴스에 따르면 270만 달러를 벌금으로 내야 하는 기업으로 의심되는 회사는 PG&E(Pacific Gas and Electric)다. 캘리포니아에 위치한 천연가스 및 전기 시설 전문 기업으로 지난 2016년 대규모 정보 유출 사고를 겪은 바 있다.

2016년 당시 보안 업체 맥키퍼(MacKeeper)에서 근무했던 보안 전문가 크리스 비커리(Chris Vickery)는 약 4만 7천 대의 컴퓨터, 서버, 가상기기 등에 관한 정보가 가득히 들어있는 데이터베이스가 잘못 설정된 채로 방치된 것을 발견했고, 이것이 PG&E 유출 사건이다. 당시 PG&E 측은 “유출된 것으로 보이는 데이터는 가짜”라고 발뺌했으나 얼마 안 가 자사 정보임을 시인했다.

NERC 발표문에 나오는 상세 내용과 당시 PG&E 유출 사건과 상당 부분이 겹치기도 한다. 당시 비커리는 E&E와의 인터뷰에서 “PG&E가 데이터를 지우고 선서 진술서에 서명하라고 요구했다”고 밝혔는데, 이 내용은 NERC 보고서에 그대로 나온다. 하지만 PG&E 측은 아직 어떠한 발표도 하고 있지 않다.

몇 년 전 사이버 공격으로 인한 우크라이나 대규모 정전 사태가 발생한 이후 미국의 에너지 산업은 비슷한 사고가 일어날까 방어에 나서기 시작했다. 미국 에너지부는 최근 2천만 달러 이상을 사이버 보안에 투자할 용의가 있다고 발표하기도 했다.

연방에너지규제기관(Federal Energy Regulatory Commission, FERC)은 최근 새로운 사이버 보안 관리 제어 시스템을 제안하기도 했다. 한 마디로 정리하자면 국가 전체의 전기 시스템에 대한 사이버 보안을 강화해야 한다는 내용이다. 이번에 내려진 엄청난 규모의 벌금형 역시 에너지 산업의 보안 강화를 위한 노력의 일환으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>