인터콘티넨탈 익스체인지(ICE)는 2021년 4월 발생한 보안 침해 사건을 신속히 보고하지 않은 혐의로 미국 증권거래위원회(SEC)와 1천만 달러(한화 136억 이상) 벌금에 합의했다고 밝혔다.

이번 보안 침해는 ICE의 가상사설망(VPN)에서 발생한 취약점을 악용한 것으로, 정교한 위협 행위자들, 특히 국가 지원 해커로 의심되는 이들이 손상된 VPN 장치에 웹쉘을 설치하여 직원 이름, 비밀번호, 다중 인증 코드와 같은 민감한 데이터를 노출시켰다.

SEC의 조사에 따르면 ICE는 침해 사실을 자회사 법무 및 준법 담당자들에게 며칠 동안 알리지 않아, 시스템 준수 및 무결성 규정(Reg SCI)을 위반한 것으로 드러났다.

Reg SCI는 기업이 보안 사건 발생 시 즉시 SEC에 통보하고 24시간 이내에 업데이트를 제공하도록 요구하고 있음에도 불구하고, ICE는 침해의 영향을 평가하는 데 4일을 소요하며 내부적으로 사소한 사건으로 결론지었다.

SEC는 이러한 지연이 중요한 시장 중개자들에게 있어서는 용납될 수 없다고 판단했다.

이번 합의는 특히 금융 시장에서 중요한 역할을 하는 기관들이 사이버 보안 위협을 관리하고 신속히 소통하는 것이 중요하다는 것을 말해주고 있다.

ICE와 그 자회사는 Reg SCI 규정 위반을 방지하기 위한 중지 명령에도 동의했다.