삶의 일부가 된 보안 사고, 시장에서의 신뢰를 잃지 않으려면

“보안 사고가 일어나면 고객들의 신뢰를 잃게 된다고? 아니, 사고 자체가 아니라 후속 대처가 신뢰를 잃게 한다. 반대로 말하면 신뢰를 안 잃을 길도 존재한다는 것이다”라고 필자가 말하는 이유.

[보안뉴스 문가용 기자] 보안 사고는 이제 삶의 일부가 되어버렸다. 온갖 보안 수칙들이 등장하고 보호 기술들이 나오고 있지만 아직 사이버 공격과 보안 사고로부터 완전한 면역력을 갖춘 조직은 하나도 없다. 오히려 디지털 데이터에 대한 의존도가 높아지고 원격 근무 체제가 확산되면서 사이버 공격의 위험에 더 크게 노출된 상태다.

[이미지 = utoimage]

이런 때 ‘100% 방어를 통해 시장에서의 신뢰를 얻는다’는 전략은 현명하지 못하다. 오히려 현대 사회에서의 신뢰란, 사고가 발생한 다음 조직이 취하는 태도로 결정된다. 그리고 그러한 태도도 전략적으로 가져가야 한다. 대 보안 사고의 시대에 신뢰를 잃지 않게 해 주는 방법을 공유하고자 한다. 셀프 스포일러를 하자면, 그리 대단할 건 없다.

1. 투명하라
모든 관계에서 ‘신뢰’를 논하려면 ‘투명성’은 기본 전제로 깔고 들어가야 한다. 기본 상식이며, 사람이라면 배우지 않아도 본능적으로 알게 되는 부분이다. 보안 사고를 겪은 기업들이라면 반드시 발동시켜야 할 상식이기도 하다. 침해 사고를 알리고 처리하는 모든 과정에서 기업은 고객들에게 항상 투명한 태도를 유지해야 한다. 숨기거나 축소시키려고 급급한 태도만큼 소비자들을 실망시키는 건 없다. 솔직히 이거 모르는 기업은 없을 것이다. 지키기가 어려워서 그렇지.

지키기가 어려운 이유는 ‘투명함’이 뭔지 정확하게 이해하지 못해서다. 투명함이란 단순히 말해 사고가 발생했을 때 고객들에게 빠르게 알리는 것을 의미한다. 언제 어떻게 사고가 발생했으며 그 시점까지 파악된 피해 규모가 어느 정도이며, 고객 개개인에게 그 사고가 어떤 의미를 갖는지 구체적으로 설명해 주어야 한다. 고객들이 이 소식을 다른 통로로 먼저 접하지 않을 정도로 빠르게, 그리고 고객들이 스스로 연구와 조사를 하지 않아도 될 정도로 자세하게 하는 것이 중요하다.

2. 똑 부러지는 대처가 중요하다
정직한 태도 자체는 가지고 있는데, 보안 사고에 대한 대처 자체를 하지 못해 어영부영 헤매는 모습을 노출시키는 것도 커다란 ‘마이너스’ 요인이 된다. 암만 정직하고 착해봐야, 능력이 없는데 어떻게 신뢰할 수 있을까. 그렇다면 기업의 대처 능력은 어떻게 고객들에게 전달될까? 먼저는 침해 사고를 빠르게 알아낸 기업일수록 보안 능력이 높은 것으로 여겨진다. 사고가 발생했는데 1년이나 모르고 있다가 언론사가 먼저 터트렸을 때, 그 기업이 소비자들 눈에 어떻게 비춰질지는 자명하다.

또한 지속적으로 사고 경위와 조사 결과를 알리는 기업이 좋은 대처를 하는 것처럼 보인다는 것도 기억해야 한다(실제로도 그렇다). 처음에 ‘피해 규모를 파악 중이다’라고 발표했다면, 당연히 조금 지나서 중간 발표라도 해서 알려야 한다. 아니면 계속 ‘뭔 피해를 당했는지도 모르는 기업’으로 남게 된다. 또한 이렇게 조사 결과를 부지런히 알려야 ‘아직 책임지려 하고 있구나’라는 인상도 심어줄 수 있다. 고객 정보 털려놓고 나 몰라라 입 싹 씻는 기업을 어떻게 믿을 수 있을까?

그러나 이런 똑 부러지는 대응 능력은 사전 준비 없이 나타날 수 없다. 모든 조직들은 보안 사고 후 어떻게 대응하고 어떻게 소통할 것인지 미리 계획을 갖추고 있어야 한다. IT 분야를 잘 알고 있으니 임기응변으로 가능하다든가, 신문과 각종 매체에서 나쁜 사례들을 수없이 많이 봐왔으니 양호한 대처를 할 수 있을 것이라는 기대감만 가지고 있다간 정직하고 투명하기만 하지만 능력은 없는 바로 그 조직이 되고 만다.

‘베스트 프랙티스’라는 게 괜히 있는 것이 아니다
똑 부러지는 대처라는 것에 대해 썰을 좀 더 풀어보고자 한다. 사실 이것도 설명하자면 한도 끝도 없는데, 간단히 말하자면 ‘우리가 이미 알고 있는 베스트 프랙티스를 실천하는 것’이라고 요약할 수도 있다. 베스트 프랙티스가 모든 것을 해결해 주는 건 아니다. 하지만 생각보다 많은 위험에서 건져주는 것도 사실이다. 베스트 프랙티스란 상식처럼 모든 기업들의 직원들이 지켜야 할 준수 사항들과 산업마다 다르게 적용되는 규정들을 포함한다.

조직 차원에서의 ‘베스트 프랙티스’란, 기업 운영을 위해 하는 모든 일들에 보안 개념을 적용시키는 것이라고 요약이 가능하다. 보안을 일종의 독립적인 별도 기능으로만 여긴다면 안 된다는 뜻이기도 하다. 보안도 결국 사업적 목적과 부합하여 구성되어야 하는 게 맞다. 실제로 보안을 ‘전체적인 사업 요소의 일부’로 받아들이는 조직들이 일반적으로 보안 사고에 대한 대처가 뛰어나다.

그 외에도 GDPR을 통해 처음 도입된 DPO를 임명한다든지, 프라이버시 전담 책임자를 새로 뽑거나 확충하는 움직임 역시 고객들의 신뢰를 회복하는 데 도움이 된다. 그런 새로운 책임자들이 가시적인 성과를 내기 시작하면 금상첨화다.

보안 사고가 일어나면 고객들의 신뢰를 잃게 된다고? 아니, 사고 자체가 아니라 후속 대처가 신뢰를 잃게 한다. 반대로 말하면 신뢰를 안 잃을 길도 존재한다는 것이다.

글 : 제임스 플레저(James Pleger), SpecOps
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)