옥타 사이버보안 실패로 주주들에게 6000만 달러 배상... `투명성` 교훈

옥타(Okta)가 2022년 초 겪은 데이터 유출 사건과 관련해 주주들에게 6000만 달러(약 802억원)를 배상하기로 합의했다. 이번 사건은 기업의 투명성과 사이버보안의 중요성을 다시 한번 일깨워주는 계기가 됐다.

주요 내용:

2022년 1월 옥타에서 데이터 유출 사건 발생, 회사는 2개월 후에야 사건의 전모 공개
옥타 경영진, 유출 사건의 심각성과 보안 미흡 문제를 축소하고 수익 손실 언급 회피
초기 부인에도 불구, CEO가 트위터로 사건 인정하며 주가 11% 하락
2022년 5월 투자자들이 회사 상대로 주주 소송 제기
옥타, 주주들에게 6000만 달러 배상 합의... 피해 투자자들 현재 배상금 청구 가능

사건 개요

옥타(나스닥: OKTA)는 2022년 초 해커 그룹이 고객 데이터를 탈취하는 보안 사고를 겪었다. 하지만 회사는 사건 내용을 즉시 공개하지 않았고, 뒤늦게 공개했을 때도 문제의 심각성과 보안 미흡을 축소했다. 이에 2022년 5월 주주들이 허위 진술과 과실 등을 이유로 소송을 제기했고, 2년 가까이 지난 2024년 7월 19일 옥타는 6000만 달러 배상에 합의했다.

옥타의 자업자득

이번 스캔들은 옥타가 Auth0를 인수·통합하는 과정에서 비롯됐다. 2021년 5월 65억 달러에 Auth0를 인수한 옥타는 두 회사의 영업 조직을 통합하는 데 어려움을 겪었다. 인수 후 Auth0와 옥타의 고위 임원들이 대거 이탈하면서 사업에 차질이 빚어졌지만, 경영진은 이런 문제를 투자자들에게 제대로 알리지 않았다.



이런 와중에 2022년 1월 데이터 유출 사고가 발생했다. 옥타는 'SuperUser' 도구 등 관리자 도구의 보안을 제대로 하지 않아 정식 교육을 받지 않은 직원들도 개인 노트북으로 고객 데이터에 접근할 수 있었다고 한다. 또 제3자 업체에 대한 '제로 트러스트' 보안 기준을 제대로 적용하지 않아 해커 그룹 LAPSUS$에 취약점을 노출했다.

LAPSUS$는 자신들의 텔레그램 채널에 옥타 시스템 접근을 확인하는 메시지를 올렸다. 그들이 올린 스크린샷 중 하나는 클라우드플레어 테넌트에 접근해 직원 비밀번호까지 재설정할 수 있는 권한을 가졌음을 보여줬다.



옥타는 처음에 해킹 사실을 부인했지만, 3월 22일 CEO가 트위터를 통해 사건을 인정하면서 홍보 대재앙에 직면했다. 이는 주가 하락과 애널리스트 등급 하향, 경영진 사과, 집단소송으로 이어졌다.



CEO 토드 맥키넌의 트윗 이후 옥타는 심각한 후폭풍에 휩싸였다. 데이비드 브래드버리 CSO는 공식 성명에서 고객의 약 2.5%가 해킹 피해를 입었을 수 있다고 밝혔다. 이로 인해 3월 23일 주가가 11% 폭락했고, 일주일 만에 시가총액 60억 달러가 증발했다.

이에 레이먼드 제임스는 옥타의 등급을 하향 조정하며 다음과 같이 평가했다.

"파트너들이 옥타의 실적을 믿으려 했지만, 최근 보안 사고 대응은 우리의 우려를 더욱 키웠다."

상황은 2022년 5월 주주들이 옥타를 상대로 소송을 제기하면서 더욱 악화됐다. 주주들은 회사가 보안 사고 세부 정보를 공유하지 않고, 예방 조치를 충분히 취하지 않았으며, 공개를 지연하면서 취약점을 축소했다고 주장했다.

2023년 10월 옥타는 또다시 고객 지원 시스템에서 데이터 유출 사고를 겪으며 주가가 12% 하락했다. 해커들은 도난당한 인증 정보로 지원 사례 관리 시스템에 로그인했다. 다음 달 경영진은 지원 시스템의 모든 사용자 정보가 유출됐다고 밝혔다.

이런 보안 위협과 소송 문제 속에서 옥타 주가는 지난 5년간 35% 하락했다. 같은 기간 매출은 2019년 3억9900만 달러에서 2023년 22억6000만 달러로 크게 늘었음에도 불구하고 말이다.

소송 해결

옥타는 보안 사고와 주주 소송 관련 청구를 해결하기 위해 6000만 달러를 지급하기로 합의했다. 2022년 옥타에 투자했다면 이번 합의금 일부를 청구해 손실 일부를 만회할 수 있다.

RT ProExec의 케빈 라크로이가 지적했듯, 이번 합의와 보안 사고는 투명성과 사이버보안을 우선시하지 않을 때 발생할 수 있는 심각한 법적·재정적 위험을 보여준다. 경영진에게는 분명한 메시지를 던진다. 법적 문제는 해결할 수 있지만, 잃어버린 신뢰를 회복하는 것은 훨씬 더 어려운 싸움이라는 점이다.