보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[주말판] 해킹 피해로 인한 브랜드 이미지 타격, 어떻게 최소화 할까

입력 : 2023-10-14 08:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
침해 사고가 발생하면 여러 가지 피해를 입게 되는데, 그 중 하나가 브랜드 이미지다. 수치로 나타낼 수 없어 간과되기 쉬운데, 그래서 더 위험할 수 있다.

[보안뉴스 문정후 기자] 기업의 브랜드 이미지에 있어 ‘신뢰’라는 요소는 그 중요도를 아무리 강조해도 지나치지 않다. 데이터 침해 사고가 발생하면 신뢰도라는 것이 떨어지고, 그러면서 소비자는 물론 파트너사들과 시장 전체가 브랜드를 좋지 않은 눈으로 바라본다. 그런 시선 속에서 점점 나쁜 이미지가 쌓이기도 한다. 그럴 때 기업이 어떤 식으로 대처하느냐에 따라 기업 자체가 크게 휘청일 수도 있고, 심지어 사업을 접어야 하는 상황도 있을 수 있다. 그렇다면 데이터 침해를 겪은 기업은 어떻게 해야 실추된 브랜드 이미지를 되살릴 수 있을까?

[이미지 = gettyimagesbank]


기업 이미지 훼손 이해하기
침해 사고로 인한 브랜드 이미지 손상을 회복하려면, 제일 먼저 어느 정도의 손상이 있었는지를 파악해야 한다. 손상의 ‘정도’는 어떤 식의 침해 사고가 발생했느냐에 따라 달라진다. 컨설팅 회사 BPM의 파트너인 프레드 리카(Fred Rica)는 “주로 어떤 데이터, 얼마나 민감한 데이터가 침해되었느냐에 따라 브랜드 이미지에 대한 타격의 크고 작음이 결정된다”고 설명한다. “예를 들어 계좌 비밀번호가 새나갔다고 한다면, 이메일 주소가 유출된 것보다 더 큰 이미지 훼손이 있겠죠.”

침해 사고를 겪은 기업이 어떤 산업에 속해 있고, 얼마나 많은 사람이나 파트너사들이 피해를 같이 입었으며, 어느 정도의 벌금형을 받게 되었느냐 역시 이미지 손상 정도를 좌지우지 한다. 예를 들어 사이버 보안 업체가 침해 공격에 당했다고 한다면, 일반 출판사나 디자인 회사와 같은 사용자 기업이 당한 것보다 훨씬 큰 이미지 손상을 입는다. 또한 수백만 명의 소비자들과 각종 파트너사 직원들의 개인정보가 유출된 사건이, 내부 마케팅 데이터 일부가 침해된 사건보다 치명적이다. 감독 기관이 꽤나 무거운 벌금형을 결정한 경우도, 그렇지 않은 경우보다 이미지가 많이 손상된다.

침해 피해와 관련된 시간도 중요하게 작용한다. 침해가 상당히 오래 전에 일어났는데, 그 사실을 뒤늦게 알았다면 그 브랜드에 대한 신뢰도가 왕창 깎여나간다. 침해로부터 복구되는 데 걸리는 시간이 지나치게 오래 걸려도 소비자나 파트너사들은 실망한다. 모든 부분에서 시간을 줄이고 줄이는 것이 관건이 되는 이유다. “실적이 낮아졌을 때, 그 정도를 수량적으로 계산할 수 있습니다. 시장 점유율이 낮아졌을 때도 마찬가지입니다. 주가가 줄어들 때도 그렇지요. 하지만 브랜드 가치가 손상될 때에는 그 정도를 계산하나는 게 쉬운 일이 아닙니다.” 리카의 설명이다.

신뢰를 수치로 나타내는 것도 어렵긴 마찬가지다. 다만 브랜드 관련 연구와 조사를 꾸준히 정기적으로 실행하다 보면 브랜드 신뢰도의 현 가치와, 그 가치가 어떤 사건에 어느 정도의 영향을 미치는지를 어느 정도 이해할 수는 있게 된다. 클로벌 커뮤니테이션 회사 에델만(Edelman)의 부회장 케이티 클라크(Katie Clark)의 경우 “브랜드 시장 조사를 꾸준히 하는 것이 브랜드의 실제 가치와 각종 사건 사건의 실제 피해를 가장 정확하게 파악할 수 있는 척도”라고 강조한다. “평상시에도 하고 변화가 있을 때도 이런 조사를 계속 해나가는 것이 중요합니다.”

기업 이미지를 보호하기 위한 계획 수립
수년 전부터 보안 업계는 "If가 아니라 When”이라는 메시지를 온 세상에 전파해 왔다. 사이버 공격은 ‘걸릴 수도 있고 안 걸릴 수도 있고(if)’의 문제가 아니라 ‘언제라도 한 번은 걸리는 문제(when)’이라는 것이다. 사용자 기업들도 점점 더 이러한 측면의 이해도가 높아지고 있다. 높아진 이해도는 언젠가 발생할 것이 분명한 사이버 공격에 대한 대비로 이어지고 있으며, 따라서 ‘브랜드 신뢰도 손상’이라는 것 역시 미리 대비하는 기업들이 많아지는 중이다.

“브랜드 이미지 훼손에 대비하려면 보다 광범위한 수준의 위기 관리 계획을 수립해야 합니다. CISO나 IT 담당자들의 할 일만 나열한 그런 계획이 아니라 조직 내 전 직원들과 임원들까지 아우르는 그런 계획이 필요합니다.” 금융 자문 서비스 업체 BDO의 총괄 이사인 제임스 맥도넬(James MacDonnell)의 설명이다. “또한 그 계획 안에는 기술 요소와 소통의 요소들이 고루 포함되어 있어야 합니다. 혼자서 아무런 도움이나 논의 없이 혼자서 상황에 대처할 수 있는 사람은 극히 적다는 걸 기억해야 합니다. 한 사람이라도 더 연대되어 있을 때 제대로 된 대처가 가능합니다.”

그렇다고 서로 연락을 할 수 있다는 그 단순한 사실만으로 ‘소통’의 계획이 다 이뤄진 건 아니라고 클라크는 강조한다. “진짜 소통을 이루려면 IT 부문에서는 기술적인 대응을 실제로 하고 있어야 합니다. 또한 법적이 파급과 사업적 리스크라는 ‘내용’이 충실히 소통되어야 하기도 합니다. 서로 얼굴만 쳐다보고 ‘어떻게 하지?’라면서 임기응변으로 그 때 그 때 대책을 마련하는 건 소통이 아닙니다. 즉 CISO와 보안 팀, C레벨 임원들, 내외부 법률 자문 위원이나 PR 대행 업체, 위기 관리 대행 업체, 사이버 보험사 등이 전부 하나로 대응을 해야 한다는 뜻입니다.”

그러면서 클라크는 “침해 사고 등 브랜드 이미지가 훼손되는 사태가 발생했을 때 ‘소통’에 참여하는 사람들이 각자 무엇을 소통하고 알려야 하는지를 정확히 이해하고 있어야 한다”고 말한다. “예를 들어 비상시 직원들이 엄수해야 할 소셜미디어 사용 가이드라인을 설정해 두었다면 어떨까요? 회사에 사고가 난 사실을 각자가 각자의 버전으로 인터넷 여기 저기로 퍼트린다면 미비한 사건이라도 브랜드 신뢰도에 지대한 악영향을 미칠 수 있습니다. 사건이 발생했을 때에는 대외적으로 말할 사람과 내부적으로 말할 사람이 따로 두어야 합니다. 이런 식의 역할 분담이 매우 중요합니다.”

이는 평소에 훈련을 해두는 것도 중요하다고 맥도넬은 강조한다. “간단한 모의 훈련을 통해서도 충분히 교육과 훈련을 이뤄갈 수 있습니다. 물론 한두 번에 교육 효과가 나타나기를 기대하기는 어렵겠지만요. 각자의 역할을 주기적으로 주지시키고, 가볍지만 여러 차례 반복되는 연습을 통해 확실히 익히게 하는 게 중요합니다. 이런 훈련이 충분히 되어 있다면 사건 대응에 걸리는 시간을 크게 단축시킬 수 있습니다.”

위기 관리
평소 훈련을 통해 ‘사건 발생 시’를 대비한다고 했을 때 ‘어차피 침해 사고가 터지는 순간 브랜드 이미지가 나빠지는 건데 대응 훈련을 해서 무슨 소용일까?’라는 의문이 들 수 있다. 사건이 터지면서 브랜드 이미지가 실추되는 건 맞는 현상이다. “하지만 모든 브랜드가 사이버 보안 사고 한 방으로 나락행 열차를 타는 건 아닙니다. 사건 후에 회사가 어떤 식으로 대응하고, 대중과 어떤 식으로 소통하는지에 따라 ‘소프트 랜딩’이 될 수 있고 문을 닫는 수준으로까지 갈 수 있습니다. 그래서 모든 침해 사고마다 파급력이 달라지는 겁니다. 사건을 예방하지 못했다 하더라도 할 수 있는 일이 충분히 있습니다.” 로펌 위더스(Withers)의 사이버 보안 담당 파트너인 도론 골드스타인(Doron Goldstein)의 설명이다.

이미지 실추를 최소화 하는 사건 대응이란 무엇일까? 어떤 나라, 어떤 시장이나 비슷한데 빠르게 움직이는 것을 말한다. 미국의 경우 증권거래위원회에서 특정 기한 내에 유관 기관이나 사건의 직접적인 영향을 받은 당사자 등에 고지할 것을 규정으로 정하고 있기도 하다. 사건이 터졌을 때 그 무엇보다 늑장부리는 태도가 가장 지탄을 받는다는 것을 알 수 있다. “그래서 미리 훈련을 해두는 게 중요한 것입니다. 실제 상황이 발생했을 때 평소 훈련을 해둔 조직만큼 빨리 움직이는 곳은 없거든요.” 클라크가 강조한다.

사건 관리 대행 플랫폼인 에버브리지(Everbridge)의 CISO 제레미 카펠(Jeremy Capell)은 “빠르게 움직여야 한다는 건 곧 투명해져야 한다는 뜻”이라고 해석한다. “완벽하게 사건을 종결지은 후에 외부에 알리기 시작하면 좋은 소리가 나오지 않습니다. 차라리 정직하게 사건이 발생했음을 알리고 처리 중에 있다고 이실직고 하는 게 낫습니다. 어떤 식의 처리를 하고 있는지 역시 투명하게 공개해야 하고요. 시간이 조금이라도 끌리면 ‘뭔가 숨기려 한다’는 의심을 받게 됩니다. 그 의혹이 사실이든 아니든 브랜드 이미지에 타격을 주는 것이고요. 지금은 소비자나 사용자들이 기업이나 기관들로부터 투명성을 강력하게 요구하는 시대라는 걸 잊으면 안 됩니다.”

그래서 필요한 게 사건 대응 계획이라고 카펠도 강조한다. “사건이 터졌을 때를 미리 상정하지 않고, 그러므로 아무런 계획도 세우지 않거나 대략적인 계획만 가지고 있다가 사건을 맞닥트리게 되면 냉정하게 움직일 수 없게 됩니다. 무엇을 해야 하는지조차 파난이 되지 않거든요. 우왕좌왕 하다가 시간이 다 가고, 그러면서 투명성마저 놓치게 됩니다. 사이버 보안 사고는 막을 수 없을 지 모르지만, 후속 조치를 잘못해서 피해를 키우는 일은 얼마든지 막을 수 있습니다.”

흔히 저지르는 실수들
빠르고 투명하게 움직여야 한다는 건 실수를 저지를 확률이 높다는 것을 뜻한다. 게다가 사고가 터진 후이니 모든 상황에서 완벽한 판단을 제 때 내린다는 건 불가능에 가깝다. 아무리 대비를 잘 하고 훈련을 잘 한 조직이더라도 모든 실수를 예측하고 예방할 수는 없다. 그러니 사건 대응 계획을 세우고, 미리 훈련을 해두는 것에 더해 흔히 저지르는 실수들을 알아두는 것도 도움이 된다. 이런 지식들이 실수를 한두 개 줄여줄 수 있다.

1) 너무 이르게 발표한다 : 빠르고 투명한 태도를 견지해야 한다고 말했으면서 너무 이르게 발표하는 것을 중대한 실수로 꼽는 게 모순처럼 느껴질 수 있다. 그런데 빠르고 투명하게 소통을 한다면서 타이밍을 아예 재지 않는 실수를 너무 많은 사람들이 저지르는 게 사실이다. 너무 이르게 발표할 경우 조사 과정에서 다른 사실이 발굴되었을 때 이미 발표된 말을 번복해야 하는데, 공식 ‘번복’은 브랜드 신뢰도를 꽤나 크게 하락시키는 것 중 하나다.

너무 빠르게 발표를 하면 CEO가 말하는 것과 PR 부서가 말하는 내용이 달라질 수도 있다. 심지어 상호 충돌할 수도 있다. 종종 나타나는 현상이다. CEO는 고객 데이터에 아무런 피해가 없다고 발표했는데 조금 뒤 PR 측에서 일부 개인정보가 유출됐다고 보도자료를 뿌리면 어떻게 될까? 빠르게 발표하지 않느니만 못한 결과를 낸다. 최소한 내부적으로는 바깥으로 송출할 메시지의 내용을 통일시킬 시간을 가져야 한다. “또, 처음부터 너무 많은 말을 할 필요도 없습니다. 확실하지 않은 것은 있는 그대로 확실하지 않으니 조사 결과가 더 나오면 발표하겠다고 발표해도 됩니다.” 골드스타인의 설명이다.

2) 실제 피해 상황을 제대로 파악하지 않는다 : 사이버 공격자가 정확히 어떤 장비들에 접근했는지 어떻게 알 수 있을까? 언제 알 수 있을까? 맥도넬은 랜섬웨어 공격에 당했던 한 기업을 위해 후속 조치를 담당했던 때를 떠올리며 다음과 같이 말한다. “그 기업 임원들은 랜섬웨어 공격에 당했음을 인지하자마자 곧바로 회의를 소집하여 빠른 결정을 내렸습니다. 일단 돈을 내고 데이터를 살리자는 데 대다수가 동의했죠. 그리고 실제로 범인들과 협상에 들어갔죠.”

하지만 그 기업 임원진들은 협상을 진행하다가 적잖이 놀랐다고 한다. “협상이라 함은 대부분 돈에 관한 것이죠. 공격자들은 높은 금액을 요구하고 피해자들은 어떻게든 낮춰보려 하지요. 이 회사도 그렇게 접근했어요. 그런데 공격자들이 스크린 캡처 파일을 하나 보내주더군요. CFO와 CEO가 회사가 보유한 현금이 얼마인지, 보험사가 줄 수 있는 돈이 얼마인지를 논한 이메일이었습니다. 즉 공격자들이 회사 재무 사정을 낱낱이 알고 있었다는 겁니다. 그러니 협상에서 회사 측의 제안이 하나도 통하질 않았죠. 공격자가 우리 조직의 어디에까지 얼마나 깊숙하게 들어왔는지를 최대한 정확히 파악하는 것부터 사건 대응을 시작해야 합니다.”

3) 직원들을 간과한다 : 클라크는 “회사가 정신없이 후속 조치를 하는 과정 중에 직원들을 챙기지 못하는 경우가 대부분”이라고 지적한다. “고객들과 유관 기관에 알리고, 파트너사들에 통보하거나 협조를 구하고, 투자자들을 달래는 것은 잘 잊지 않아요. 하지만 직원들은 뒷전이 되죠. 그들이 사건과 가장 가까운 곳에서 사건을 지켜보고 있으며, 그들 역시 말을 할 줄 안다는 것을 생각하지 않는 겁니다. 그들 역시 브랜드 신뢰도와 이미지의 중요한 한 축을 담당하고 있는데 말이죠. 직원들 입단속을 시키라는 게 아니라, 직원들이 갖고 있는 회사에 대한 이미지도 비중 있게 고려해야 한다는 뜻입니다.”

4) 책임 소재를 불분명하게 하거나 다른 곳으로 돌린다 : 때로는 회사의 잘못이 하나도 없는데도 해킹 사건의 피해자가 되기도 한다. 국가의 지원을 받는 고급 해킹 단체가 공격에 책임이 있을 경우 특히 그러하다. 하지만 그런 경우는 극히 드물고 대부분은 어느 정도 책임의 지분을 갖게 된다. 이런 점을 이제 대다수의 사람들이 잘 알고 있다. 그런데도 “해킹을 저지른 자들의 잘못이고, 우리는 불가항력적인 것에 당한 것”이라는 식으로 말하며 책임 회피에 급급한 모습을 보일 때 브랜드 신뢰는 급격히 떨어진다고 골드스타인은 경고한다. “사과하고 더 잘하겠다고 약속하는 말이 조금이라도 더 신뢰를 줍니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)