스타벅스가 보안취약점으로 인해 해킹 등으로 고객개인정보·고객예치금이 탈취될 우려가 있다는 내용의 보고서를 작성한 보안담당 임원을 대기발령 조치한 것으로 확인됐다.
9일 유통업계와 과학기술정보통신부에 따르면 스타벅스코리아에서 CISO·CPO를 겸직하고 있던 A씨가 스타벅스코리아 IT거버넌스의 부실함을 지적하며 개선 요청 보고서를 작성해 내부 보고를 하던 과정에서 대기발령·직무정지 조치됐다. A씨는 현재 무기한 자택대기 중이다. 회사 시스템 접근권한도 정지됐다.
A씨는 송호섭 대표이사에 관련 내용을 보고하기 직전인 지난달 28일, 회사 HR(인사관리) 조직으로부터 '직장내 괴롭힘' 신고를 받았다고 통보받았다. 이후 아무런 내용 공유나 사실여부 확인 없이 즉시 직위해제가 됐다고 A씨는 주장했다.
A씨는 이 같은 상황에 대해 보안담당 임원의 업무와 지위를 보호하는 개인정보보호법 제31조 5항에 대한 위반이라며 과학기술정보통신부 측에 알린 상태다.
A씨가 작성한 보고서를 보면 스타벅스코리아는 2년 전부터 아마존웹서비스(AWS), 구글클라우드플랫폼(GCP) 등 퍼블릭 클라우드에서 일부 서비스를 운영하고 있으며, 클라우드 보안에 치명적인 취약점이 지속 발생하고 있다. 이에 근본적 문제 해결이 이뤄지지 않을 경우 조만간 사고가 터질 수 있다는 경고가 A씨가 작성한 보고서의 골자다.
A씨는 디지털타임스와의 통화에서 "신세계I&C 등에 보안 업무 대부분을 맡겨버리고 잘 안되면 책임전가를 하는 관행이 팽배한 상태"라며 "서머 캐리백 등 이슈가 되고 있는 품질관리뿐 아니라 IT 전반적인 관리체계도 문제가 많아 이를 고치지 않으면 보안부문까지 피해볼 수 있다고 문제제기를 하다가 묵살을 당하고 인사조치 됐다"고 토로했다.
이어 "취약점이 나올 때마다 대응하는 게 아니라 관리체계를 근본적으로 고치지 않으면 취약점을 악용한 해킹으로 인해 고객 ID, 패스워드 등 계정정보가 쉽게 유출될 수 있는 것은 물론이고 스타벅스 카드 예치금 등 고객 금전정보가 탈취될 수 있다"고 경고했다.
스타벅스 카드를 통해 2000여억원의 고객 돈이 서버와 클라우드 상에 예치돼 있는 것으로 알려졌다.
현재 스타벅스코리아는 본사 직원 400여명 중 보안인력은 개인정보보호담당자 포함 4명, 1%에 불과하다. 이렇다보니 대부분의 보안업무를 협력업체에 의존할 수 밖에 없는 구조라고 A씨는 지적했다.
이러한 가운데 스타벅스에서는 그간 내부 보안 사고가 다수 발생했는데도 쉬쉬하고 덮은 것으로 파악됐다. 지난 2017~2018년에는 DI(Duplication Information) 중복사고, O Auth 2.0(간편로그인 기술)이식 오류 사고 등으로 고객 개인정보 유출이 발생했다. 개인정보 보호법 제34조(개인정보 유출 통지 등) 3항에 따르면 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고해야 한다.
하지만 DI 중복사고의 경우 소관부처에 신고하지 않았다. 회사가 DI 값을 잘못 개발하는 바람에 서로 다른 고객의 DI값이 같게 설정되는 오류가 발생한 것으로, A고객이 로그인했는데 B고객 계정으로 로그인 되는 식이다. 스타벅스는 이 사고를 개발관리를 잘못으로 인한 문제로 내부적으로 결론내고, 외부에 사고 발생 사실을 알리지 않은 채 개발 품질관리 파트를 신설했다.
이어 2017년에는 간편로그인 기술을 스타벅스 앱에 이식하는 과정에서 오류가 났다. 이 오류로 A라는 고객이 로그인했는데 앱에는 B라는 고객의 정보가 떠버리는 일이 발생했다.
A씨는 "DI 사고는 법 기준으로는 신고대상이었지만 신고하지 않은 것으로 알고 있다"며 "피해를 호소한 고객들에게만 소정의 보상을 진행한 것으로 알고 있다"고 말했다.
스타벅스 측은 "A씨가 제기한 주장과 내부 인사는 무관하며, 직장내 괴롭힘 건으로 인한 신고가 접수돼 회사 규정에 따라 최우선적으로 신고자 보호 및 추가 피해를 미연에 방지하고자 CISO 대기발령을 통해 신고자들과 분리 조치를 진행했다"면서 "현재 신고된 직장내 괴롭힘 건에 대한 사실 관계 확인 중"이라고 입장을 밝혔다.
이어 "스타벅스 카드 예치금은 서버와 클라우드 상에 예치돼 있지 않으며, 금융 계좌에 안전하게 예치돼 보관되고 있다"고 반박했다.
이에 대해 A씨는 "스타벅스 카드 예치금 부분은 재무입장에서는 금융기관에 넣었을 것이고, 고객 입장에서는 서버상에 장부(원장)에 보관돼 클라우드와 IDC(인터넷데이터센터)를 통해 실시간 처리(사용·예치)하는 것"이라고 재반박했다.
한편 과기부는 이날 스타벅스의 보안담당 임원을 대기발령한 조치와 관련한 사실관계 파악에 들어간 상태다. 과기부 관계자는 "개인정보보호위원회에 민원을 제기하도록 조언한 상태"라며 "부처 차원에서 처리할 사안이 있는지 살펴보고 있다"고 밝혔다.
http://news.v.daum.net/v/20220809114511297
9일 유통업계와 과학기술정보통신부에 따르면 스타벅스코리아에서 CISO·CPO를 겸직하고 있던 A씨가 스타벅스코리아 IT거버넌스의 부실함을 지적하며 개선 요청 보고서를 작성해 내부 보고를 하던 과정에서 대기발령·직무정지 조치됐다. A씨는 현재 무기한 자택대기 중이다. 회사 시스템 접근권한도 정지됐다.
A씨는 송호섭 대표이사에 관련 내용을 보고하기 직전인 지난달 28일, 회사 HR(인사관리) 조직으로부터 '직장내 괴롭힘' 신고를 받았다고 통보받았다. 이후 아무런 내용 공유나 사실여부 확인 없이 즉시 직위해제가 됐다고 A씨는 주장했다.
A씨는 이 같은 상황에 대해 보안담당 임원의 업무와 지위를 보호하는 개인정보보호법 제31조 5항에 대한 위반이라며 과학기술정보통신부 측에 알린 상태다.
A씨가 작성한 보고서를 보면 스타벅스코리아는 2년 전부터 아마존웹서비스(AWS), 구글클라우드플랫폼(GCP) 등 퍼블릭 클라우드에서 일부 서비스를 운영하고 있으며, 클라우드 보안에 치명적인 취약점이 지속 발생하고 있다. 이에 근본적 문제 해결이 이뤄지지 않을 경우 조만간 사고가 터질 수 있다는 경고가 A씨가 작성한 보고서의 골자다.
A씨는 디지털타임스와의 통화에서 "신세계I&C 등에 보안 업무 대부분을 맡겨버리고 잘 안되면 책임전가를 하는 관행이 팽배한 상태"라며 "서머 캐리백 등 이슈가 되고 있는 품질관리뿐 아니라 IT 전반적인 관리체계도 문제가 많아 이를 고치지 않으면 보안부문까지 피해볼 수 있다고 문제제기를 하다가 묵살을 당하고 인사조치 됐다"고 토로했다.
이어 "취약점이 나올 때마다 대응하는 게 아니라 관리체계를 근본적으로 고치지 않으면 취약점을 악용한 해킹으로 인해 고객 ID, 패스워드 등 계정정보가 쉽게 유출될 수 있는 것은 물론이고 스타벅스 카드 예치금 등 고객 금전정보가 탈취될 수 있다"고 경고했다.
스타벅스 카드를 통해 2000여억원의 고객 돈이 서버와 클라우드 상에 예치돼 있는 것으로 알려졌다.
현재 스타벅스코리아는 본사 직원 400여명 중 보안인력은 개인정보보호담당자 포함 4명, 1%에 불과하다. 이렇다보니 대부분의 보안업무를 협력업체에 의존할 수 밖에 없는 구조라고 A씨는 지적했다.
이러한 가운데 스타벅스에서는 그간 내부 보안 사고가 다수 발생했는데도 쉬쉬하고 덮은 것으로 파악됐다. 지난 2017~2018년에는 DI(Duplication Information) 중복사고, O Auth 2.0(간편로그인 기술)이식 오류 사고 등으로 고객 개인정보 유출이 발생했다. 개인정보 보호법 제34조(개인정보 유출 통지 등) 3항에 따르면 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고해야 한다.
하지만 DI 중복사고의 경우 소관부처에 신고하지 않았다. 회사가 DI 값을 잘못 개발하는 바람에 서로 다른 고객의 DI값이 같게 설정되는 오류가 발생한 것으로, A고객이 로그인했는데 B고객 계정으로 로그인 되는 식이다. 스타벅스는 이 사고를 개발관리를 잘못으로 인한 문제로 내부적으로 결론내고, 외부에 사고 발생 사실을 알리지 않은 채 개발 품질관리 파트를 신설했다.
이어 2017년에는 간편로그인 기술을 스타벅스 앱에 이식하는 과정에서 오류가 났다. 이 오류로 A라는 고객이 로그인했는데 앱에는 B라는 고객의 정보가 떠버리는 일이 발생했다.
A씨는 "DI 사고는 법 기준으로는 신고대상이었지만 신고하지 않은 것으로 알고 있다"며 "피해를 호소한 고객들에게만 소정의 보상을 진행한 것으로 알고 있다"고 말했다.
스타벅스 측은 "A씨가 제기한 주장과 내부 인사는 무관하며, 직장내 괴롭힘 건으로 인한 신고가 접수돼 회사 규정에 따라 최우선적으로 신고자 보호 및 추가 피해를 미연에 방지하고자 CISO 대기발령을 통해 신고자들과 분리 조치를 진행했다"면서 "현재 신고된 직장내 괴롭힘 건에 대한 사실 관계 확인 중"이라고 입장을 밝혔다.
이어 "스타벅스 카드 예치금은 서버와 클라우드 상에 예치돼 있지 않으며, 금융 계좌에 안전하게 예치돼 보관되고 있다"고 반박했다.
이에 대해 A씨는 "스타벅스 카드 예치금 부분은 재무입장에서는 금융기관에 넣었을 것이고, 고객 입장에서는 서버상에 장부(원장)에 보관돼 클라우드와 IDC(인터넷데이터센터)를 통해 실시간 처리(사용·예치)하는 것"이라고 재반박했다.
한편 과기부는 이날 스타벅스의 보안담당 임원을 대기발령한 조치와 관련한 사실관계 파악에 들어간 상태다. 과기부 관계자는 "개인정보보호위원회에 민원을 제기하도록 조언한 상태"라며 "부처 차원에서 처리할 사안이 있는지 살펴보고 있다"고 밝혔다.
http://news.v.daum.net/v/20220809114511297
|
