Home > 전체기사 > 외신

정보 유출 사고 시에도 지켜야 할 예의가 있다

  |  입력 : 2021-02-22 18:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보 유출 사고는 매일처럼 일어난다. 그럴 때 우리는 기업들의 다양한 얼굴들을 보게 된다. 그 때 어떤 얼굴을 보여주느냐가, 사고로 인한 피해를 최소화 하느냐 혹은 극대화 하느냐를 결정한다. 예의를 지켜야 한다는 소리다.

[보안뉴스 문가용 기자] ‘우리 회사 정보가 지금 외부로 새나가고 있다’라는 사태보다 더한 압박감과 공포심을 자극하는 사건은 얼마 되지 않는다. 운영진들과 보안 담당자들 새파랗게 질린 표정으로 여기 저기 들쑤시고 다니고 큰 소리로 통화를 하면서 이 공포심은 전 사원들에게 전파된다. 물론 그럴 만하다. 정보 침해의 대가는 꽤 비싸기 때문이다. 브랜드 하나가 완전히 사라질 수도 있다.

[이미지 = utoimage]


정보 침해가 발생했을 때 모든 행동과 사고의 목표는 ‘최대한 부드럽고 안정적으로 사업을 정상궤도에 올려놓는 것’이다. 사이버 보안 컨설팅 업체인 디지잭스(Digijacks)의 CEO 알란 실버그(Alan Siberg)는 “손실을 막을 수는 없지만, 그 규모를 최소화 하는 건 가능하다”고 강조한다. 그리고 손실을 줄여주는 여러 가지 방법 중 하나가 ‘에티켓’이라고 그는 지적한다. 보안 컨설팅 업체 EY의 데이비드 버그(David Burg) 역시 “사건 발생 후 대응과 소통의 방식이 생각보다 많은 것을 좌지우지 한다”고 강조한다. 그 에티켓의 규칙은 다음과 같이 정리할 수 있다.

1. 교전 수칙을 이해하라
사이버 침해 사고는 의외로 - 매우 의외로 - 외식과 비슷한 점을 가지고 있다. 버그에 따르면 “어떤 일이 벌어지고(즉, 어떤 음식이 서빙되고) 있는지 파악하고, 그 메뉴와 음식에 맞는 태도로 반응하는 것이 바로 에티켓”이기 때문이다. “예를 들어 미슐랭 별 3개를 받은 고급 식당에서 코스 요리를 먹는 것과, 패스트푸드 점에서 포장한 메뉴를 차 안에서 먹는 것과는 방식이 달라지겠죠. 데이터 침해 사고도 모두 똑같이 반응할 수 없습니다.”

금융과 의료 서비스 업체들은 비교적 엄격한 산업 규정을 가지고 있고, 침해 사고 발생 시 지켜야 할 보고의 의무 역시 타 산업에 비해 빡빡하다. 그러므로 이 두 산업에 속해 있을 경우 사고 대응에 대한 기대치가 남다르다. 식당이나 화장실 수리 자재상에서 발생한 침해 사고와 은행에서의 침해 사고는 그 무게감이 다르며, 국민들과 정부 기관의 관심이 다를 수밖에 없다. 우리 조직이 지금 어느 정도의 이목을 끌고 있는지 파악하는 것이 대단히 중요한 첫 걸음이다.

그 다음은 공격의 특성과 규모를 파악해야 한다고 버그는 강조한다. “어떤 사건은 매우 악의적이긴 하지만 규모가 매우 제한적일 수 있습니다. 별다른 악의가 없는데도 어마어마한 규모로 사건이 확대될 수도 있고요. 이를 통해 이번 사건으로 조직과 주주, 소비자들이 유의미한 피해를 입을 수 있는지, 혹은 브랜드 명성에 살짝 금이 가는 정도로 그칠 수 있는지도 판단해야 합니다. 예를 들어 개인 식별 정보나 영업 비밀이 아주 소량으로 새나간 경우가 있을 수 있겠고, 랜섬웨어로 직원용 이메일이 마비되었을 수 있습니다. 파괴형 멀웨어 때문에 백업 드라이브가 전부 폐품이 되었을 수도 있고요. 각 사건들마다 대응의 톤이 달라져야 합니다.”

2. 아는 것만 말하라
침해 직후 조직 차원에서는 빨리빨리 움직이는 것이 중요하다. 조금만 늑장을 부리면 벌금이 올라가고 여론이 악화된다. 하지만 이것만 고려하다가 스스로 발에 걸려 넘어져서는 안 된다. 이런 일은 실제로 자주 일어난다. 실버그는 “확실하지 않은 정보, 쓸데없이 공포심을 조장할 수 있는 정보, 수사에 방해가 되는 정보 등이 조급한 정보 공유 과정 속에 새나갈 수 있다”며 “이 때문에 오히려 조직에 대한 불신 여론이 커지는 경우도 많이 있다”고 경고한다. “아무리 조급해도 지켜야 할 규칙이 있습니다. 확실하게 아는 것만 정확하게 공개하는 겁니다. 아는 만큼만 알리고, 나머지는 수사가 진행되는 대로 추가 발표하겠다는 선에서 마무리 짓는 게 좋습니다.”

반대의 경우가 많은 것도 사실이다. 즉, 정보를 제대로 공유하지 않고 숨기려는 시도가 많은 조직들 사이에서 행해진다는 것이다. “정보를 너무 많이 공개해 공격자들이 유리한 위치를 점하게 될까봐, 혹은 회사의 수치가 될까봐 정보를 꽁꽁 감추는 경우를 심심찮게 볼 수 있습니다. 아니, 아예 공개되지 않도록 하기 위해 애쓰기도 하지요. 경영하는 입장에서는 상당히 유혹이 강한 선택지입니다. 규정이 약한 산업에서는 더더욱 그렇고요.”

하지만 숨기려 하다가 언론이 냄새를 맡고 조사해 보도를 하기 시작할 경우, 오히려 더 큰 피해를 입을 수 있다고 실버그는 경고한다. “매체들은 분명히 ‘소비자들에게 알리지 않고 있었다’는 걸 강조할 겁니다. 그러면 사고가 일어난 조직들은 법적으로 더 무거운 대가를 치르게 됩니다. 그러니 아는 선 안에서는 투명하고 정직하게 정보를 공유하는 게 제일 안전합니다. 수사를 위해 지금은 다 공유할 수 없다고 해도 여론은 이해해 줍니다.”

3. 윤리적인 선을 지키고 진실된 태도를 견지한다
정보 유출 사고를 ‘법적 테두리’ 안에서만 냉정히 처리하려 하다가 도리어 고객들의 마음을 잃게 되는 경우가 많다고 버그는 강조한다. “규정 상의 가이드라인보다 더 중요한 건 ‘보편적 윤리 상의 가이드라인’을 따르는 겁니다. 조직도 사고의 피해를 입었다고 볼 수 있지만, 더 큰 피해를 입은 건 고객 개개인인 경우가 많습니다. 그들에 대한 진심어린 사과가 크게 도임이 될 수 있는데, 의외로 기업들이 ‘우리는 규정상 잘못한 게 없다’는 것부터 내세웁니다. 사과 받으면 용서해줄 고객들인데, ‘고소하려면 해봐’라고 도발하는 격입니다.”

급작스런 할인율이나 상품권을 제공하는 것도 주의해야 한다고 실버그는 경고한다. “딱 정해진 건 아니지만, ‘대강 돈으로 때우려는’ 태도 역시 화를 불러일으킵니다. 개인정보가 유출된 것에 대한 당신들의 걱정을 진심으로 이해하고 있으며, 정말로 미안하게 생각한다는 걸 표현할 수 있는 방법을 찾아야 합니다.” 실버그의 설명이다.

결국 침해 사고가 발생한 조직들은 명문화된 규정만큼 그렇지 않은 관행적인 도덕적 기대치도 충족시킬 수 있어야 한다는 것이 실버그의 주장이다. “침해 사고가 발생한 것에 대해 일반 직원들도 충분한 스트레스를 받습니다. 거기에다가 성난 소비자의 불만사항도 접수해야 한다면 더욱 그렇지요. 그런 직원들을 생각하면 회사가 고객들의 화를 가라앉힐 생각을 해야지, 더 돋우면 안 되겠죠. 회사 대응에 실망을 하는 건 고객들만이 아닙니다. 내부의 분열을 막느냐 못 막느냐까지도 이 ‘윤리적 대응’에 달려 있습니다.”

4. 연습이 있어야 완벽해진다
침해 사고 대응은 중요한 행사 진행과 같다. 예를 들어 결혼식을 떠올려 보자. 신랑신부는 아닐 수 있지만 주례, 사회 등을 맡은 사람들과 조명과 음악 등을 제어하는 스탭들은 부드러운 행사 진행을 위해 계속해서 연습한다. 그러면서 실제 상황에서 발생할 수 있는 모든 변수들을 숙지하고, 그에 대한 대응 절차를 수립한다. 몸에 익을 때까지 할수록, 실제 상황에의 대처는 부드러워진다.

버그는 “여러 침해 상황을 상상해가며 실제 유관 기관에 올릴 보고서를 만들어 보고, 고객들에게 보낼 이메일도 작성해 보면서 대비하는 게 필요하다”고 강조한다. “이렇게 연습한다는 건, 침해 사고가 누구에게도 일어날 수 있다는 걸 실제로 받아들이고 있다는 뜻입니다. 조직으로서는 그러한 사고방식을 가지고 있는 게 지금 상황에서 대단히 중요합니다. 진짜로 해킹 사고는 ‘언제 일어나느냐’ 혹은 ‘언제 알게 되느냐’의 문제이기 때문입니다.”

실버그는 “유출 사고가 발생했을 때 꼼꼼하고 경제적인 복구 플랜을 갖는 것도 좋지만, 윤리적으로 소비자들의 마음을 위로해줄 수 있는 소통 플랜도 있어야 한다”고 강조했다. “유출 사고가 불가항력적인 일이라고만 여기는 조직은 면피 행위만 하게 될 것이고, 이는 곧 소비자의 불신으로 이어질 겁니다. 말 한 마디로 천냥 빚을 갚는 건 옛날에만 적용되는 말이 아닙니다.”

글 : 사무엘 그린가드(Samuel Greengard), IT writer
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비