Wyndham 결정은 우리에게 "보안으로 시작하라"는 것을 상기시켜 줍니다.

게시 됨: 2015-09-01

디지털 생태계는 데이터 보안을 규제할 FTC의 권리를 확인하는 Wyndham Worldwide Corporation에 대한 미국 제3순회 항소 법원의 최근 결정 에 주목해야 합니다 .

FTC 법의 섹션 5에 따라 "소비자 보호"를 감독 하는 기관의 광범위한 권한을 고려할 때 데이터 개인 정보 를 규제하는 FTC의 권한 은 의심의 여지가 없습니다 . 그러나 데이터 보안 관행을 규정하는 FTC의 권한은 두 명의 개별 원고인 Wyndham Hotels Lab MD관련된 사건에서 의문을 제기했습니다 .

최종 사용자로부터 민감한 개인 데이터를 수집하는 회사에 이 판결이 어떻게 적용되는지 알아보기 전에 관련 배경을 살펴보겠습니다.

Wyndham에 대한 FTC의 소송

해커는 2008년과 2010년 사이에 Wyndham의 컴퓨터 시스템에 세 번 침입하여 619,000명의 개인으로부터 신용 카드 정보를 훔쳤고 1,060만 달러 이상의 사기 혐의를 받았습니다. 이러한 시스템에는 7,000개 이상의 Wyndham 관리 호텔 및 프랜차이즈의 컴퓨터 시스템에 연결된 Wyndham의 기업 네트워크가 포함되었습니다. 이러한 반복적인 해킹에도 불구하고 Wyndham은 보안 절차 업데이트를 거부하여 시스템 에 추가로 침투했습니다.

이러한 기본 보안 절차를 구현하지 않은 결과 해커는 Wyndham 관리 및 프랜차이즈 호텔의 기업 네트워크 및 자산 관리 시스템에 "메모리 스크래핑" 멀웨어를 설치할 수 있었습니다. 2년에 걸쳐 해커들은 60만 명 이상의 개인 및 민감한 정보(이름, 주소, 신용 카드 번호)를 체계적으로 추출하고 해당 데이터를 러시아에 등록된 도메인으로 불법적으로 유출했습니다.

이에 대해 FTC는 Wyndham이 개별 최종 사용자로부터 민감한 개인 데이터(신용 카드 및 기타 청구 정보 포함)를 계속 수집하면서 합리적인 데이터 보안 조치를 구현하는 것을 반복적으로 거부하는 것이 섹션 5에 따라 "불공정"하다고 주장하는 소송을 제기했습니다.

또한 FTC는 Wyndham이 개인 정보 보호 정책에서 개인 및 민감한 데이터를 보호하기 위해 "표준" 보안 조치를 사용할 것이라고 약속했기 때문에 이러한 기본 데이터 보안 절차를 채택하지 않는 것이 섹션 5에 따라 "기만적"이라고 판단했습니다.

Perkins Coie의 @JanisKestenbaum이 작성한 이 훌륭한 업데이트에서 사건의 배경에 대해 자세히 알아볼 수 있습니다 .

Wyndham이 네트워크 보안에 실패한 방법

FTC 불만 사항 에는 Wyndham이 네트워크 보안을 위해 하지 않은 많은 작업 중 일부가 자세히 설명되어 있습니다.

  • 방화벽과 같은 내부 컴퓨터 시스템을 보호하기 위해 쉽게 사용할 수 있는 보안 조치를 사용하지 않습니다.
  • 소프트웨어를 잘못 구성하여 결과적으로 최종 사용자의 신용 카드 정보를 일반 텍스트로 저장합니다.
  • 서버의 알려진 보안 취약점을 해결하지 못하는 경우
  • 서버에 액세스하기 위해 기본 사용자 이름과 암호를 사용합니다.
  • 직원이 회사 서버에 액세스하기 위해 복잡한 사용자 ID 및 암호를 사용하도록 요구하지 않음
  • 회사 네트워크 및 컴퓨터에 대한 제3자의 액세스를 합리적으로 제한하지 않는 경우.

FTC는 이러한 관행이 개인 및 민감한 데이터를 수집하는 기업의 표준이며 이러한 관행을 채택하지 않음으로써 세 번의 연속 해킹 후에도 Wyndham의 행동은 불공정하다고 주장했습니다.

세 번째 순회 연설

FTC의 조치에 대한 반응으로 Wyndham은 무엇보다도 FTC가 데이터 보안 조치를 취할 권한이 없다고 주장하면서 지방 법원에 소송을 제기했습니다. 또한 FTC가 "합리적인" 데이터 보안 관행이 무엇인지 적절하게 식별하지 못했다고 주장했습니다.

지방 법원에서 이 청구를 패소한 후, Wyndham은 제3 순회에 항소했습니다. 제3순회법원 판결은 Wyndham에 대해 상당히 비판적이며 " Certiorari "의 원칙에 따라 대법원 상고에 대한 근거가 희박한 판결로 응답 했습니다.

법원의 의견은 Wyndham이 제기한 두 가지 중요한 질문에 대한 답변이었습니다.

  1. FTC는 FTC 법에 따라 "합리적인" 데이터 보안 관행을 사용하지 않는 회사에 대해 데이터 보안 조치를 취할 권한 있습니다.
  2. FTC "합리적인" 데이터 보안을 구성하는 요소에 대해 업계에 적절한 통지를 제공했습니다 . 이 점에서 법원은 최종 사용자와 고객으로부터 수집한 데이터를 부적절하게 보호한 피고에 대한 수많은 제출 서류에서 FTC의 주장을 살펴보았습니다. 그들은 또한 표준을 명확히 하기 위해 주로 업계 모범 사례를 기반으로 하는 FTC의 발행된 지침을 살펴보았습니다.

제3 순회에서는 Wyndham의 행동이 FTC 지침에 따라 실제로 "비합리적"인지 여부에 대한 특정 질문을 다루지 않았습니다. 이 질문은 현재 사건이 환송된 뉴저지 지방 법원에서 다룰 것입니다.

게시물에서 이 지점에 도달했다면 축하합니다. 여기에서 상황이 흥미롭고 관련성이 있기를 바랍니다.

합리적인 데이터 보안은 귀하의 비즈니스에 무엇을 의미합니까?

Third Circuit의 분석에 따르면 FTC는 수많은 피고인과의 화해와 업계에 발행된 지침을 통해 개인 및 민감한 데이터를 보호하는 데 있어 "합리적"이라고 생각하는 관행에 대해 충분히 통지했습니다.

실제로 FTC는 Start with Security 가이드 에서 모바일 앱 개발자를 위한 "합리적인 데이터 보안" 관행에 대한 구체적인 지침을 제공했습니다 .

“모든 앱을 보호하기 위한 체크리스트는 없습니다. 앱마다 보안 요구 사항이 다릅니다. 예를 들어, 데이터를 거의 수집하지 않거나 전혀 수집하지 않는 알람 시계 앱은 위치 기반 소셜 네트워크보다 보안 고려 사항이 적습니다. 더 복잡한 앱은 사용자 데이터를 저장하고 조작하기 위해 원격 서버에 의존할 수 있습니다. 즉, 개발자는 소프트웨어 보안, 데이터 전송 보안 서버 보안에 익숙해야 합니다. 문제에 추가: 보안 위협과 모범 사례가 빠르게 진화하고 있습니다.”

즉, FTC는 앱 개발자가 수집하는 데이터의 유형과 해당 데이터를 사용하는 방법에 따라 합리적인 데이터 보안 관행을 채택하고 유지하기를 기대합니다. 그들은 일률적 인 접근 방식을 처방하지 않습니다.

따라서 수집한 데이터와 해당 데이터를 사용 및 공유하는 방법에 비추어 "합리적"인지 여부를 결정하기 위해 데이터 및 보안 관행에 대한 인벤토리를 작성하는 것이 좋습니다. FTC의 보안 시작 가이드 를 살펴보고 이러한 단계가 귀하에게 적용되는지 확인하는 것이 좋습니다.

특히 FTC는 개인 및 민감한 데이터를 수집하는 회사에 다음을 수행할 것을 촉구합니다.

  • 보안을 책임지는 사람을 만드십시오 .
  • 수집하고 보관하는 데이터를 재고하십시오 .
  • 데이터 최소화 연습 : 필요하지 않은 데이터를 수집하거나 저장하지 마십시오.
  • 작업 하는 모바일 플랫폼의 보안 관행을 조사하고 이해 하십시오 .
  • 서버를 보호하십시오. 앱과 통신하는 서버를 유지 관리하는 경우 적절한 보안 조치를 취하여 앱을 보호하세요. 상용 클라우드 제공업체에 의존하는 경우 서버의 소프트웨어 보안 및 업데이트 책임 분담을 이해하십시오.
  • 금융 데이터, 건강 데이터 또는 아동 데이터를 다루는 경우 해당 표준 및 규정을 이해해야 합니다 . TUNE이 최근 출시한 개인정보 보호 및 데이터 마이크로사이트 에 적용되는 법률 및 산업 프레임워크 유형에 대한 자세한 내용을 확인할 수 있습니다 .
  • 보안, 데이터 및 개인 정보 보호 관행에 대한 통지 를 제공하고 "자신의 언어로 사용자와 대화"하십시오.
  • 자격 증명(사용자 이름, 암호)을 안전하게 생성합니다.
  • 민감한 데이터를 일반 텍스트로 저장하거나 전송하지 마십시오 . 청구 데이터 및 기타 중요한 데이터에 대중 교통 암호화를 사용합니다. FTC는 일반 텍스트 데이터 저장 및 전송에 대해 Lifelock, RockYou 및 ValueClick에 대해 조치를 취했습니다.
  • 전송 및 저장 암호화는 또한 "개인 데이터"가 침해된 경우 주 법무장관과 최종 사용자에게 보고해야 하는 주 데이터 침해 법규 준수와 관련이 있습니다. 캘리포니아 및 기타 주법에 따른 개인 데이터에는 암호화되지 않은 데이터가 포함됩니다. 예를 들어 신용 카드 정보, 비밀번호로 저장된 이메일 주소와 같은 일반 텍스트로 저장된 데이터입니다.
  • 앱이 출시된 후에도 앱에 계속 참여하세요 . 매일 새로운 취약점이 발생하며 가장 평판이 좋은 소프트웨어 라이브러리라도 보안 업데이트가 필요합니다.

따라서 보안으로 시작하십시오.

Wyndham에 대한 제3순회 결정은 개인 및 민감한 데이터를 취급하는 모든 회사가 데이터 및 보안 관행을 검토해야 함을 상기시키는 중요한 사실입니다. 그러한 데이터의 위반은 FTC 책임, 집단 소송으로 이어질 수 있으며 가장 중요한 것은 최종 사용자와의 신뢰 상실로 이어질 수 있습니다.

이것이 당신이 기꺼이 감수할 수 있는 위험입니까? 그렇지 않다면 오늘 "보안으로 시작"하는 것이 합리적입니다.

추가로 중요한 리소스:

"합리적인" 데이터 보안이 무엇이며 비즈니스에 적용할 수 있는 방법에 대해 더 자세히 알고 싶다면 저명한 개인 정보 보호 학자인 Dan Solove와 Woody Hartzog 의 "개인 정보 보호 일반법" 을 확인하는 것이 좋습니다. FTC가 "동의 법령" , 즉 회사가 일정 기간(보통 20년) 동안 특정 특정 행위를 수행하도록 요구하는 합의를 통해 현대 미국 개인 정보 보호법을 형성할 수 있었던 방법을 탐구합니다. 여기에는 Microsoft (Passport용) 에 대한 데이터 보안 동의 법령이 포함됩니다 . 이 기관은 이제 Facebook (2009년 개인 정보 보호 정책 변경 이후) 및 Google (2010년 Buzz 출시 이후 )과 개인 정보 보호 동의 법령을 가지고 있습니다.

사진 제공: @dillustrated

이 기사가 마음에 드시나요? 블로그 다이제스트 이메일에 가입하세요.