이원영 기자
2020년 발생한 솔라윈드(SolarWinds) 소프트웨어인 오리온플랫폼(Orion Platform)을 이용한 심각한 사이버 공격의 영향에 대해 중대한 오해를 불러일으킬 수 있는 공시를 했다는 이유로 미국 증권거래위원회(SEC)가 4개 기업(Unisys, Avaya Holdings, Check Point Software Technologies, Mimecast)을 고발했다. 4개 기업은 해결을 위해 698만 5,000달러 벌금 지불에 동의했다.
2020년 발생한 솔라윈드 소프트웨어를 악용한 사이버 공격은 정부기관과 대기업도 광범위하게 피해를 입었으며 마이크로소프트 브래드 스미스 사장이 지난 10년간 가장 심각한 사이버 공격 중 하나라고 평가했다.
SEC 측은 이번 조치가 보여주듯 상장기업은 사이버 공격 표적이 될 수 있지만 직면한 사이버보안 사고에 관해 오해 소지가 있는 공시를 해 주주와 다른 일반 투자자 피해를 늘리지 않을 책임이 있다면서 SEC 명령은 이들 기업이 해당 사고에 대해 오해의 소지가 있는 공시를 하고 사고 실제 범위를 투자자로부터 숨겼다는 걸 인정하는 것이라고 말했다.
SEC에 따르면 유니시스, 아바야, 체크포인트 3개사는 2020년, 미메캐스트는 2021년에 각각 오리온플랫폼을 이용한 사이버 공격의 위협 행위자가 자사 시스템에 무단 접근했다는 사실을 알면서도 최소한의 정보만을 공개했다고 한다.
예를 들어 유니시스의 경우 두 차례에 걸쳐 침입을 당하고 수 GB 단위 데이터 유출이 있었음에도 불구하고 위험을 가정적인 것으로 설명했다. 또 아바야는 클라우드상에서 공유하고 있던 최소 145개 파일에 위협 행위자가 부정 접근했다는 사실을 인지하면서도 정보공개에서는 제한된 수 이메일에 접근 당했다고 과소 보고했다.
고발을 받아 유니시스는 400만 달러, 아바야는 100만 달러, 체크포인트는 99만 5000달러, 미메캐스트는 99만 달러 벌금을 지불하게 된다.
SEC는 중대한 사이버보안 침해를 과소 보고하는 건 잘못된 전략이라며 이들 사례 중 2건에서는 경고된 위험이 이미 현실화됐다는 걸 알고 있었음에도 불구하고 가정이나 일반적인 틀에서 설명했다면서 연방증권법은 부분적 진실의 공개를 금지하고 있으며 위험 요인 공시에 있어 기재에 예외는 없다고 말했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
정용환 기자
