영국 교육 대기업 피어슨, 데이터 침해 은폐 혐의로 100만 달러 벌금

8월 16일, 미국 증권거래위원회(SEC)는 영국에 본사를 둔 다국적 교육 출판 서비스 회사인 Pearson이 2018년 데이터 유출 사건에서 공시 절차를 잘못 처리한 혐의에 대해 합의했다고 발표했습니다. 데이터 유출을 경시한 혐의로 100만 달러의 벌금을 부과받은 교육 대기업 Pearson

피어슨이 적시에 침해 사실을 공개하지 않은 경우
SEC에 따르면 Pearson은 2018년 데이터 유출로 인해 미국 내 13,000개 학교의 학생 및 관리자 로그인 정보가 유출된 사건을 은폐하고 축소하려 한 '조사 결과를 인정하거나 부인하지 않았다'는 혐의를 해결하기 위해 100만 달러의 민사 벌금을 지불하기로 합의했습니다. 유출되었습니다.

SEC에 따르면, 2019년 7월에 제출된 Pearson의 반기 검토 보고서에서는 데이터 유출이 이미 발생한 후에도 데이터 유출을 '가상 위험'으로 설명했습니다. 같은 달 성명서에서 Pearson 그룹은 유출된 정보에 생년월일과 이메일 주소가 포함되었을 수 있으며, 실제로 당시 Pearson은 이러한 기록이 도난당했다는 사실을 알고 있었다고 주장했습니다.

SEC 집행부의 사이버 부서 책임자인 크리스티나 리트먼은 다음과 같이 말했습니다: "성명서에 따르면 피어슨은 언론이 유출 사실을 접할 때까지 투자자들에게 유출 사실을 공개하지 않기로 결정했으며, 그 후에도 사건의 성격과 범위를 과소평가하고 회사의 데이터 보호 역량을 과대평가했습니다. 데이터 보호 역량"; "상장 기업은 사이버 침입의 위협이 증가함에 따라 투자자에게 중대한 사이버 사고에 대한 정확한 정보를 제공하는 것이 필수적입니다."

언론 문의 이후에만 부정행위 공개
피어슨은 2019년 7월 SEC와의 커뮤니케이션에서 회사가 데이터 개인정보 침해의 위험에 처할 수 있다고 밝혔습니다. 그럼에도 불구하고 Pearson은 1년 전에 발생한 데이터 유출을 공개하지 않았습니다. 영향을 받은 고객에게 침해 사실을 통보한 후에야 SEC에 위험 요소 공개를 제출했습니다.

8월 16일에 발표된 성명에서 SEC는 "2019년 7월 26일에 제출된 피어슨의 위원회 보고서에는 회사가 데이터 유출의 위험에 처해 있다고 언급했지만 실제로 피어슨이 데이터 유출을 경험했다는 사실은 공개하지 않았다"고 설명했습니다.

2019년 7월 31일, 영향을 받은 고객에게 침해 알림을 보낸 지 2주 후, Pearson은 유출된 데이터 행 수와 데이터 유형이 포함된 준비된 미디어 성명을 발표했습니다.

SEC 보도 자료에 따르면, 교육 대기업이 AIMSweb 1.0 보안 업데이트를 받은 후 최소 6개월이 지나도록 패치를 적용하지 않았음에도 불구하고, 이로 인해해커이 회사는 침입에 대한 심각한 취약성에도 불구하고 고객의 데이터를 보호하기 위해 엄격한 '안전장치'를 마련했다고 밝혔습니다.