미국 대형유통업체인 타깃의 개인정보유출 사건은 제 때 보안 경고에 대응하지 못해 불거진 '인재'였던 것으로 드러났다.
개인정보유출사고가 끊이지 않고 있는 우리나라에서도 탐지 자체 보다 관리상 허술함이 문제를 키웠던 사례가 많았다는 점에서 시사하는 바가 크다.
14일(현지시간) 미국 지디넷 등 외신에 따르면 타깃은 사건 발생 6개월 전 내부 시스템에 적용했던 파이어아이 악성코드 탐지 솔루션을 통해 해커의 침입사실을 파악했으나 추가적인 대응을 하지 않아 결국 대형 개인정보유출사고로까지 이어졌다.
이 사건에서 유출된 신용카드 번호만 4천만건, 회원 주소 및 전화번호 등을 포함한 개인정보는 7천만건에 달한다.
비즈니스위크에 따르면 타깃은 인도 방갈로르에 보안 전문가팀을 운영하고 있다. 지난해 11월30일 해커들은 유출된 데이터들을 옮기기 위한 탈출구를 타깃 시스템 내에 만들어 놓은 뒤 신용카드 정보를 미국에서 러시아로 빼내갔다. 파이어아이는 이 과정을 포착해 미국 현지에 있는 보안 운영 센터에 알렸으나 별다른 조치가 취해지지 않았다.
타깃은 파이어아이의 경고를 11월30일에 인지했으나 12월2일 해커가 새로운 악성코드를 설치하기 전 까지 아무런 조치도 취하지 못했던 것이다.
이 과정에서 그렉 스테인하펠 타깃 최고경영자(CEO)는 경영상 매출 급감 위기에 처했고, 이 회사 베스 제이콥 최고정보책임자(CIO)는 문제에 대한 책임을 지고 사퇴했다. 타깃은 이번 사건을 계기로 최고준법책임자(CCO), 최고정보보호책임자(CISO)아라는 보직을 새롭게 추가할 예정이다.
관련기사
- POS 시스템, 해커들의 놀이터?2014.03.17
- POS 단말기통한 고객정보 유출 조심하라2014.03.17
- 도난당한 개인정보, 가짜 신용카드 제작에 악용2014.03.17
- 美대형마트 타깃, 4천만명 고객정보 유출 파장2014.03.17
이와 관련 월스트리트 분석가들은 타깃의 보안 및 IT 분야에 대한 투자를 두고 새로운 임원들을 뽑는 것은 많은 비용이 들 것이라며 그동안 타깃은 IT 분야에 대해 낮은 투자비용을 들여왔다고 지적했다.
타깃은 지난달 1일부터 개인정보유출사고에 대응하기 위해 6천100만달러를 썼으며, 이 과정에서 타깃은 휴일 쇼핑 기간 실적은 같은 기간 대비 46%가 감소했다. 지난 2008년 이후 최대 거래적자폭을 나타내고 있다.