• 돌아가기
  • 아래로
  • 위로
  • 목록
  • 댓글
보안

SEC, 경매된 하드 드라이브 1,000개에 대한 고객 데이터 노출 후 모건 스탠리에 3,500만 달러 벌금

달소 달소 65

0

0
출처 https://www.techspot.com/news/96058-sec-fines-morgan-stanley-35-million-after-exposing.html

역시 하드는 제로필 하고 2중 3중 ㄱ물리적 파쇄까지..!!

외국은 과태료도 상당하네요 ㄷㄷ

 


 

수요일 Morgan Stanley는 2016년에서 2021년 사이에 발생한 "놀라운" 보안 실패에 대해 SEC(Securities and Exchange Commission)의 불만 사항을 해결했습니다. 이 금융 대기업은 한 컴퓨터에서 하드 드라이브를 부적절하게 폐기한 데 대해 3,500만 달러의 벌금을 지불하는 데 동의했습니다.

 

폐기된 데이터 센터의 SEC의 불만 사항 에 따르면 Morgan Stanley는 내용이 지워지지 않은 약 1,000개의 암호화되지 않은 HDD를 경매했습니다. 또한 회사가 수천 개의 하드 드라이브와 백업 자기 미디어를 부적절하게 폐기하여 1,500만 명이 넘는 Morgan Stanley 고객의 데이터를 노출했다고 주장합니다. 관리 들은 보안 실패를 "놀랍다"고 말했다.

 

SEC 집행부 책임자인 Gurbir S. Grewal은 "이번 사건에서 MSSB의 실패는 놀랍습니다. 고객은 자신의 개인 정보가 보호될 것이라는 이해와 기대를 가지고 금융 전문가에게 개인 정보를 맡겼는데, MSSB는 그렇게 하는 데 매우 부족했습니다."라고 말했습니다. "적절하게 보호되지 않으면 이 민감한 정보가 잘못된 사람의 손에 들어가 투자자에게 재앙적인 결과를 초래할 수 있습니다."

SEC에 따르면 Morgan Stanley는 2016년에 2개의 데이터 센터를 폐기했으며, 그 결과 회사의 부주의로 인한 일련의 보안 결함이 발생했습니다.

image.png.jpg

우선 하드 드라이브를 파괴하거나 내부 IT 팀에서 하드 드라이브를 0으로 만드는 대신 하드웨어를 관리하기 위해 타사 이사업체와 계약했습니다. 이동자는 약 1,000개의 HDD와 약 8,000개의 백업 테이프로 구성된 53개의 RAID 어레이를 소유했습니다. 이름 없는 회사는 저장 매체를 해체한 경험이 없는 것으로 알려졌다.

 

이사 회사는 처음에 IT 회사에 하청을 주어 드라이브를 닦았습니다. 그러나 두 회사가 사이가 나빠지면서 이사업체는 저장장치를 지우지 않은 채 온라인 경매에 부쳐 다른 업체에 저장장치를 팔기 시작했다.

해체 프로젝트가 시작된 지 거의 1년이 지난 2017년, 오클라호마의 한 IT 전문가가 Morgan Stanley에게 이메일을 보내 회사의 고객 데이터가 포함된 하드 드라이브가 있다고 알렸습니다.

 

IT 컨설턴트는 "당신은 주요 금융 기관이며 하드웨어 폐기를 처리하는 방법에 대한 몇 가지 매우 엄격한 지침을 따라야 합니다."라고 썼습니다. "또는 최소한 장비를 판매하는 공급업체로부터 데이터 파괴에 대한 일종의 검증을 받아야 합니다."

"당신은 주요 금융 기관이며 하드웨어 폐기를 처리하는 방법에 대한 몇 가지 매우 엄격한 지침을 따라야 합니다."

 

자산 관리 회사는 이후 컨설턴트가 소유하고 있던 모든 HDD를 다시 사들였습니다.

 

드라이브를 제로화하지 않고 계약업체가 드라이브로 무엇을 하고 있는지에 대한 탭을 유지하지 않는 과실 외에도 많은 HDD에 내장형 암호화 지원이 있음에도 불구하고 대부분의 고객 데이터는 암호화되지 않았습니다. Morgan Stanley는 2018년에야 암호화를 사용하기 시작했으며 새 파일에 대해서만 -- 오래된 데이터는 여전히 보호되지 않았습니다. SEC는 2018년 이후에도 데이터 보호 제품군의 보안 실패로 인해 일부 정보가 여전히 암호화되지 않았다고 주장합니다.

 

Morgan Stanley는 죄나 잘못을 인정하지 않고 벌금을 내기로 동의했습니다. Business Standard 는 대변인이 어떤 고객도 영향을 받았다는 징후가 없다고 말했습니다.

대변인은 "몇 년 전에 발생한 이러한 문제에 대해 해당 고객에게 사전에 통지했으며 개인 고객 정보에 대한 무단 액세스 또는 오용을 감지하지 못했다"고 말했다.

신고공유스크랩
0

댓글 쓰기 권한이 없습니다. 로그인

취소 댓글 등록

신고

"님의 댓글"

이 댓글을 신고하시겠습니까?

댓글 삭제

"님의 댓글"

삭제하시겠습니까?


목록

공유

facebooktwitterpinterestbandkakao story