예방 가능했던 영국 선거 관리 위원회의 40백만 유권자 정보 유출 사건

 

목차

• 1. 사건 개요
  • (1) 사건의 배경
  • (2) 유출된 정보와 그 영향
• 2. 보안 결함 및 문제점
  • (1) 보안 패치 미적용 문제
  • (2) 취약한 비밀번호 관리
• 3. ICO의 조사 및 결과
  • (1) 문제의 원인
  • (2) 반응 및 후속 조치
• 4. 공공 부문 데이터 보호 정책의 변화
  • (1) 벌금 대신 훈계의 선택
  • (2) 효과적인 정책 변화의 필요성
• 5. 향후 전망
  • (1) 이번 사건의 교훈
  • (2) 향후 데이터 보호의 중요성

1. 사건 개요

(1) 사건의 배경

이번 사건은 2021년 8월부터 시작된 영국 선거 관리 위원회의 서버 해킹으로 인해 40백만 명의 유권자 정보가 유출된 것을 중심으로 합니다. 이번 유출은 영국 정보 보호 감시 기관에 의해 철저히 조사되었고, 그 결과 이번 사건은 기초적인 보안 조치만 취했어도 예방 가능했음이 밝혀졌습니다.

(2) 유출된 정보와 그 영향

해커들은 선거 관리 위원회의 서버에 침투하여 이메일과 영국 유권자 등록 정보를 포함한 여러 데이터를 훔쳤습니다. 이 정보는 2014년부터 2022년 사이에 등록된 유권자들의 이름, 우편 주소, 전화번호 및 비공개 유권자 정보를 포함하고 있습니다.

 

2. 보안 결함 및 문제점

(1) 보안 패치 미적용 문제

ICO의 보고서에 따르면, 선거 관리 위원회는 해커들이 초기 침투 지점으로 삼았던 이메일 서버의 "알려진 소프트웨어 취약성"을 패치하지 않은 것이 문제였습니다. 이 서버는 자체 호스팅된 Microsoft Exchange 서버로 밝혀졌으며, 해커들은 ProxyShell이라 불리는 세 가지 취약성을 이용해 서버에 침투했습니다.

(2) 취약한 비밀번호 관리

조사 결과, 선거 관리 위원회는 비밀번호 관리 역시 부실했으며, 쉽게 추측 가능한 비밀번호를 허용했습니다. 또한, 일부 인프라가 업데이트되지 않고 있다는 사실을 인지하고도 이를 개선하지 않은 점도 문제로 지적되었습니다.

3. ICO의 조사 및 결과

(1) 문제의 원인

ICO는 이번 사건의 주된 원인으로 선거 관리 위원회의 보안 패치 미적용과 취약한 비밀번호 관리 등을 지적했습니다. 만약 해당 기관이 기초적인 보안 조치를 취했다면, 이번 데이터 유출은 발생하지 않았을 것이라고 보고서는 결론짓고 있습니다.

(2) 반응 및 후속 조치

선거 관리 위원회는 이번 사건이 발생한 후 보안 개선 조치를 취했다고 발표했습니다. 구체적으로, 인프라 현대화 계획을 마련하고, 비밀번호 정책 통제 및 모든 사용자에 대해 다중 인증을 도입했습니다.

 

4. 공공 부문 데이터 보호 정책의 변화

(1) 벌금 대신 훈계의 선택

이번 사건에서는 ICO가 선거 관리 위원회에 벌금을 부과하지 않고, 대신 공식적으로 경고하는 방식을 선택했습니다. 이는 ICO가 2022년 6월부터 시행하고 있는 공공 부문에 대한 새로운 정책의 일환으로, 벌금 부과 대신 훈계와 예방적인 접근 방식을 택하고 있습니다.

(2) 효과적인 정책 변화의 필요성

이러한 정책 변화는 공공 부문 내에서 데이터 보호 수준을 높이기 위한 시도이지만, 선거 관리 위원회 사건은 여전히 문제점이 많음을 보여줍니다. 공공 기관의 책임성을 강화하고, 데이터 보호 정책의 실질적인 개선을 위해 보다 강력한 조치가 필요합니다.

 

5. 향후 전망

(1) 이번 사건의 교훈

이번 사건은 기본적인 보안 조치의 중요성을 다시 한번 상기시켜줍니다. 모든 조직은 기초적인 보안 규칙을 준수하여 데이터 유출을 예방해야 할 것입니다.

(2) 향후 데이터 보호의 중요성

데이터 보호는 앞으로도 중요한 문제가 될 것입니다. 공공 부문을 포함한 모든 조직이 철저한 보안 조치를 취하고, 정기적인 점검을 통해 취약성을 확인하고 수정해야 합니다. 이를 통해 더 안전한 데이터 보호 환경을 구축할 수 있을 것입니다.