기업 내부 보안 실패 소송전으로 비화
미국 대표 생활용품 기업 클로락스(Clorox)가 2023년 발생한 대규모 사이버 공격의 책임을 물어 IT 아웃소싱 업체 코그니전트(Cognizant)를 상대로 캘리포니아주 법원에 손해배상 소송을 제기했다고 밝혔다. 소장은 “해커가 단순히 전화로 비밀번호를 요청했을 뿐인데 코그니전트 헬프데스크 직원들이 이를 확인 절차 없이 건네줬다”는 내용을 핵심으로 한다.
2025년 7월 23일, 인베스팅닷컴의 보도에 따르면 이번 사건은 미국 동부권 IT·보안 업계에 적잖은 충격을 주고 있다. 소송 문서에서 클로락스는 “코그니전트가 어떠한 고도화된 해킹 전술에 속은 것이 아니다. 그저 전화 한 통에 속수무책으로 내부 인증 정보를 내줬다”고 지적했다.
문제가 된 해킹 조직은 ‘스캐터드 스파이더(Scattered Spider)’로, 미국·유럽 주요 기업의 헬프데스크를 노려 소셜 엔지니어링 방식으로 인증 정보를 탈취해온 것으로 악명이 높다. 소셜 엔지니어링이란 시스템 기술적 취약점 대신 사람의 심리를 교묘히 공략해 정보를 얻어내는 수법을 뜻한다. 전화·이메일·메신저 등을 통해 ‘IT 지원팀’ 또는 ‘직원’으로 속여 상대의 경계심을 낮추는 것이 전형적 수단이다.
클로락스는 소장에서
“코그니전트는 헬프데스크 상담 시 △직원 ID △소속 부서 △직속 상사 이름 등 기본적인 신원 확인 절차조차 수행하지 않았다”
며 “이는 단순 과실을 넘어 업무상 주의의무 불이행에 해당한다”고 주장했다. Reuters가 열람한 소장 사본에는 해커와 헬프데스크 상담원이 나눈 통화 녹취록 일부도 첨부돼 있다. 녹취록에 따르면 해커가 “패스워드가 없어 접속이 불가하다”고 말하자 상담원은 “그러면 새 비밀번호를 바로 알려주겠다”고 답하며 절차 없이 암호를 재설정한 정황이 담겼다.
코그니전트 측은 이메일 성명을 통해 “당사는 클로락스의 전사(全社) 보안을 총괄한 적이 없다. 단순 헬프데스크 기능만을 제한적으로 수행했을 뿐이며 계약 범위 내 의무는 모두 준수했다”고 반박했다. 이어 “해킹 이후 발생한 손실을 모두 당사 책임으로 돌리려는 시도”라고도 주장했다.
380백만 달러 피해, 공급망까지 타격
소장에 따르면 2023년 8월 해킹 사건으로 클로락스는 총 3억 8,000만 달러(한화 약 5,200억 원)의 손해를 입었다. 이 가운데 5,000만 달러는 시스템 복구·포렌식 조사·법률 자문 등 사후 조치 비용이며, 나머지는 제품 배송·유통 차질로 발생한 매출 손실이다. 당시 클로락스는 표백제·세척제 등 주요 제품 생산 및 물류가 일시 중단돼 대형 리테일러 납품 일정이 대폭 지연된 바 있다.
클로락스는 또 “해킹 이후 코그니전트가 △퇴사자 계정 비활성화 △백업 데이터 복원 절차 수행 등 기본 대응책마저 지연해 피해가 확산됐다”고 적시했다. 이에 따라 추가 매출 손실과 브랜드 신뢰도 하락까지 떠안게 됐다는 주장이다.
전문가 시각: 단순 과실인가, 조직적 책임인가
사이버 보안 연구원 맥시 레이놀즈(Maxie Reynolds)는 해당 사건 당사자는 아니지만 “‘비밀번호만 요청해도 준다’는 것은 사회공학 기법이라기보다 관리 소홀, 즉 명백한 과실에 가깝다”고 지적했다. 그는 “전체 녹취록을 검토해야 정확한 판단이 가능하겠지만, 녹취록 일부만으로도 헬프데스크 절차 미비는 뚜렷해 보인다”는 견해를 내놓았다.
반면 일각에서는 “거듭되는 인력 감축과 외주화로 헬프데스크 교육·모니터링이 약화된 구조적 문제가 드러난 사례”라고 보고 있다. 기업들이 IT 지원 부문을 외부 업체에 맡길 때, ‘인증 절차 준수’를 구체적으로 계약서에 명시하고 정기 감사를 실시해야 한다는 지적이 뒤따른다.
추가 설명: 스캐터드 스파이더와 대응 과제
스캐터드 스파이더는 주로 미국·영국 젊은 층으로 구성된 해킹 그룹으로 알려져 있다. 최근 2~3년 사이 멀티팩터 인증(MFA) 우회, 랜섬웨어 배포 전술을 활용해 대형 리테일·엔터테인먼트·제약 기업 등을 공격했다. 미 연방수사국(FBI)과 사이버보안·인프라안전국(CISA)도 이 조직을 ‘고도화된 위협(Advanced Persistent Threat·APT)’으로 분류하고 주의를 당부하고 있다.
업계 전문가는 “MFA(다단계 인증)·제로 트러스트(Zero Trust)·행동 기반 모니터링이 기본이 돼야 한다”며 “특히 헬프데스크가 발급하는 임시 비밀번호나 계정 재설정 절차에 음성·화상 인증, 직원 정보 교차 검증 등을 도입해야 한다”고 강조한다.
© 2025 Investing.com — All rights reserved.
