**이 글은 1월 16일 하루만 무료입니다**
누구나 당할 수 있는 데이터 유출, 오늘은 유출 후 대응에 있어 신뢰회복의 정석을 보여준 사례 하나를 들고 왔어요. #타겟 은 데이터가 털리는 과정은 어이없었지만, 이후 대응과정에서 막대하게 훼손된 신뢰를 차곡차곡 극복해요. 데이터가 털리면 어떻게 해야 하냐구요? 여기 타겟처럼 하시와요!
금주엔 쿠팡 사태를 다각도로 짚어볼 수 있는 5개의 사례를 모아봅니다
- [ft. 쿠팡] 외국기업 제재 사례① : 미국 정부의 틱톡 매각 명령 (1월 12일)
- [ft. 쿠팡] 외국기업 제재 사례② : 프랑스 르노 CEO가 일본에서 체포되다 (1월 13일)
- [ft. 쿠팡] 외국기업 제재 사례③ : 미국·유럽의 Shein·Temu 제재와 중국 정부의 입장 (1월 14일)
- [ft. 쿠팡] 기업 데이터 유출 사례① : 쉬쉬하며 소설 쓰다 자백한 Uber (1월 15일)
- [ft. 쿠팡] 기업 데이터 유출 사례② : 신뢰회복의 정석 Target (1월 16일) → 오늘은 여기
어제는 데이터 침해 이후 가장 뻘짓을 한 기업 중 하나로 풀이되는 우버의 이야기를 들려드렸는데요. 오늘은 데이터침해를 당한 과정은 어이없지만, 이후 대응을 착실하게 수행해 신뢰를 회복한 기업의 이야기를 들려드릴께요.
2013년, 미국의 유명 할인백화점인 타겟(Target)은 사상 초유의 데이터 침해 사건을 겪어요. 이 사건은 지금도 전 세계 기업 보안 교육에서 빠지지 않는 사례 중 하나인데, 해커가 뛰어나서 해킹을 당한 게 아니라, 회사가 이미 불이 들어 온 경고 사인을 무시해서 벌어진 일이었어요.
2013년 말, 타겟은 미국 내 약 1,800개 매장을 운영하던 초대형 유통사였어요. 사건의 시작은 타겟 내부 시스템이 아니라, 외부 냉난방(HVAC) 협력업체였는데요. 해커는 이 협력업체의 계정을 탈취했고, 이를 통해 타겟의 내부 네트워크에 접근했어요. 문제는 이 협력업체 계정이 결제 시스템과 연결된 네트워크로 이동할 수 있는 권한을 갖고 있었다는 점이에요. 당시 타겟은 보안의 필수 요소인 ‘최소 권한 원칙’을 지키지 않고 있었던 거죠.
타겟은 당시 최신 보안 솔루션을 도입해 두고 있었어요. 아이러니하게도, 이 보안 시스템은 악성코드가 들어오자 그 활동을 명확히 탐지했고, 내부 보안팀에 여러 차례 경고를 보냈어요. 그런데 이 경고는 무시되었답니다.
해커는 수주 동안 내부에 머물며 POS 단말기에 악성코드를 설치했고, 결제되는 순간의 카드 정보를 실시간으로 빼내가고 있었는데요. 타겟의 보안 시스템은 POS 단말기에서 발생하는 비정상적 메모리 접근과 데이터 외부 전송 패턴을 탐지했고, 실제로 해커가 카드 정보를 빼내기 시작한 직후부터 여러 차례 경고(alert)를 발생시켰어요.
이 알림은 보안팀에 전달되었지만, 즉각적인 차단이나 네트워크 분리 권한은 운영 조직(IT 운영·매장 시스템 담당)이 쥐고 있었고, 이 조직은 연말 쇼핑 시즌 직전이라는 점, POS 시스템 중단 시 전국 매장 결제 불능이 된다는 점, 수 시간만 멈춰도 매출에 지장이 오고 고객 불만이 폭증한다는 점 등을 들어, 이 이벤트를 ‘즉시 차단’ 대신 ‘상황 모니터링’ 대상으로 분류했어요. 리테일러들은 이렇게나 영업 중단을 싫어합니다, 여러분….
하지만 카드사 쪽에서 이상 징후를 먼저 포착해요. 여러 카드사에서 부정 결제(fraud)가 급증하고 그 카드들의 공통점이 최근 타겟 매장에서 사용된 카드임이 알려지면서, 카드 네트워크가 타겟에 “귀사 가맹점에서 데이터 유출 가능성이 높다”는 통보를 해왔죠.
이런 통보를 받으면 외부 포렌식을 착수할 의무가 생기는데, 타겟은 지체없이 조사에 착수하고 늦었지만 시스템을 부분 차단하죠. 이 조사 결과 데이터 유출 규모는 신용·직불카드 약 4,000만 건, 이름·주소·전화번호 등 개인정보 7,000만 명 이상으로 확대됐어요. 사건은 미국 소비자 사회에 큰 충격을 주었고, 연말 쇼핑 시즌 한복판에서 벌어졌다는 점에서 파장이 더욱 컸죠.
타겟도 뒤늦게 사건의 엄중함을 알게 되어요. 타겟은 우버와는 달리 사건을 은폐할 생각은 없었어요. 다만, 이 당시가 타겟이 이제 막 DX를 배워가던 무렵 걸음마처럼 자사몰을 오픈한 시절이라, 디지털 양아치들이 무서우면 얼마나 무서운지, 디지털 피해가 크면 얼마나 큰지 제대로 감을 잡지 못하고 있었어요.
타겟의 가장 큰 자산은 고객 신뢰라는 점을 잊지 않았고, 이걸 어떻게든 회복해야겠다고 마음 먹어요. 이미 신뢰는 크게 훼손된 상태였지만, 복구란 불가능한 것이 아니죠. 이 지점부터 타겟은 리스크 관리의 내공을 보여주는데요.
초기 혼선 이후, 타겟은 우선 책임을 사용자나 협력사로 돌리지 않고 회사 책임으로 명확히 규정했어요. CEO가 직접 나서 공개 사과했고, “우리가 보호하지 못했다”는 메시지를 반복했죠.
그리고 말로만 사과하지 않았답니다. 유출된 카드를 소비자가 재발급받고 신용을 모니터링하는 비용을 회사가 전적으로 부담했고, 집단소송을 장기전으로 끌지 않고 조기 합의했어요.
또 사건 이후 타겟은 결제 인프라를 빠르게 전환하고 네트워크를 분리해요. 서드파티가 접근할 때 통제하고 보안 조직의 권한을 강화하는 일련의 조치를 취하면서, 이 상황을 공개적으로 발표했죠. ‘구체적으로 이런 이런 점을 이렇게 바꿨습니다’라고 공개한 건, 그간의 데이터 침해사건이 있을 때마다 기업들이 ‘우리가 이제 다 고쳤습니다’라고 퉁쳐서 말하던 기업들의 태도와는 확연이 구분되는 점이었어요.
그리고 CEO와 CIO가 사임했어요. 이는 상징적 조치가 아니라, 경고를 무시한 의사결정에 책임을 묻는 신호였어요. 시장은 이를 ‘진짜 반성’으로 해석하게 되었죠. 왜냐면 그들은 남의 탓을 하지 않고, 이것이 전적으로 타겟의 책임임을 인정하는 태도를 보였으니까요.
이 일련의 작업을 하느라 타겟은 4억-5억불에 달하는 비용을 써야 했어요. 다행인 건 사이버 보험이 적용되어 약 2억 9천만 불만 현금을 지출하면 되는 거였죠. 이 비용에는 카드사 합의, 소비자 집단 소송 합의, 주 검찰 합의 비용으로 약 6천불이 쓰였고, 나머지는 보안과 IT를 개선, 사고 대응하는 작업(포렌식, 로그 분석 등)에 사용되었어요.
잃을 수 밖에 없을 때에는 최소로 잃는 방법을 생각해야 해요. 타겟 매출은 일시 하락했지만 1년 내 정상화되었고, 고객 트래픽도 곧 회복되었답니다.
이 사건은 우버와 사례와 비교하면, 사이버 공격을 은폐하겠다는 것이 얼마나 어리석은 사건인지 알려주는 사례기도 해요.
요즘 기업들은 여러 보안 장치를 써요. Crowdstrike, Cloudflare, Octa, 이키가미, 뭐든 간에 보안 솔루션을 쓰게 되어있죠. 내가 뭔가를 숨기려고 해도, 우리 회사의 기록은 나만 가지고 있는 게 아니라 이런 보안 회사들도 일부 가지고 있어요.
또 누군가는 다크웹을 실시간으로 모니터링하고 있어요. 우리 점포에서 결제된 카드들이 다크웹에 일괄 등장한다든지(타겟 당시 실제로 이랬어요) 하면 내가 감추려고 해도 전부 드러나죠. 한국의 쿠팡 고객 정보도 타오바오에 돌아다녔다고 확인된 바 있지요?
문제가 터졌을 땐 신속하게 판단하고 최소한으로 잃어야 해요. 타겟은 데이터가 침해되는 과정은 어이 없었지만, 적어도 대응 과정에 있어서는 어떻게 해야 하는지를 몸소 보여 준 사례예요.
