모건 스탠리, 고객 데이터를 부적절하게 관리하여 6천만 달러 벌금형

Morgan Stanley Receives $60 Million Fine for Improper Handling of Customer Data

 

통화 감독국(OCC)에서 모건 스탠리 (Morgan Stanley) 투자 은행이 민감 고객 정보를 저장한 여러 기업 데이터 센터를 적절히 해체하지 않은 혐의로 6천만 달러 벌금형을 받았다고 밝혔습니다.

 

민사 처벌 동의 명령에 따르면 데이터센터 해체 처리에 대한 감독은 2016년 시작되었습니다. 하지만 2019년, 은행이 한 로컬 지점의 컴퓨터 서버에 저장된 고객의 데이터를 적절하게 폐기하지 않았음을 발견했습니다.

 

통화 감독국은 이에 대해 아래와 같이 밝혔습니다.

 

“2016년, 은행은 미국에 있는 자산 관리 기업 데이터 센터 두 곳의 해체 작업을 제대로 감독하지 않았습니다.”

 

“은행은 무엇보다도 하드웨어 해체와 관련된 위험을 효과적으로 평가하거나 해결하지 못했습니다. 하청 업체를 포함한 타사 공급 업체 제품 사용에 대한 위험을 적절히 평가하지 못했습니다. 기기에 저장된 고객 데이터에 대한 적절한 인벤토리를 유지하지 못했습니다. 타사 공급업체를 선정할 때 적절한 자산 실사를 하지 않았으며, 고용한 타사 공급업체의 성과를 적절히 모니터링하지 못했습니다.”

 

올해 초, 100명의 고객이 모건 스탠리측에 500만 달러 규모의 집단 소송을 제기했습니다.

 

이들은 모건 스탠리가 이전에 해체된 회사 소유 기기 내 개인 식별 정보를 적절히 보호하지 못했다고 주장했습니다.

 

또한 은행이 SSN, 여권번호, 주소, 전화번호, 이메일 주소, 계좌번호, 생년월일, 소득, 자산가치, 보유정보와 같은 고객 데이터를 암호화하지 않은 채 저장하고 있는 폐기된 기기의 위치를 모르고 있었다고 밝혔습니다.

 

데이터 침해는 반드시 회사 네트워크에 대한 공격자의 침입을 통해서만 발생하는 것은 아닙니다. IT 부서, 직원, 타사 공급 업체의 실수로 인해 데이터 관리상의 허점이 발생하기도 합니다.

 

 

 

 

출처:

https://hotforsecurity.bitdefender.com/blog/morgan-stanley-receives-60-million-fine-for-improper-handling-of-customer-data-24310.html

https://www.occ.gov/static/enforcement-actions/ea2020-058.pdf