Home > 전체기사

삶의 일부가 된 보안 사고, 시장에서의 신뢰를 잃지 않으려면

  |  입력 : 2021-04-01 16:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“보안 사고가 일어나면 고객들의 신뢰를 잃게 된다고? 아니, 사고 자체가 아니라 후속 대처가 신뢰를 잃게 한다. 반대로 말하면 신뢰를 안 잃을 길도 존재한다는 것이다”라고 필자가 말하는 이유.

[보안뉴스 문가용 기자] 보안 사고는 이제 삶의 일부가 되어버렸다. 온갖 보안 수칙들이 등장하고 보호 기술들이 나오고 있지만 아직 사이버 공격과 보안 사고로부터 완전한 면역력을 갖춘 조직은 하나도 없다. 오히려 디지털 데이터에 대한 의존도가 높아지고 원격 근무 체제가 확산되면서 사이버 공격의 위험에 더 크게 노출된 상태다.

[이미지 = utoimage]


이런 때 ‘100% 방어를 통해 시장에서의 신뢰를 얻는다’는 전략은 현명하지 못하다. 오히려 현대 사회에서의 신뢰란, 사고가 발생한 다음 조직이 취하는 태도로 결정된다. 그리고 그러한 태도도 전략적으로 가져가야 한다. 대 보안 사고의 시대에 신뢰를 잃지 않게 해 주는 방법을 공유하고자 한다. 셀프 스포일러를 하자면, 그리 대단할 건 없다.

1. 투명하라
모든 관계에서 ‘신뢰’를 논하려면 ‘투명성’은 기본 전제로 깔고 들어가야 한다. 기본 상식이며, 사람이라면 배우지 않아도 본능적으로 알게 되는 부분이다. 보안 사고를 겪은 기업들이라면 반드시 발동시켜야 할 상식이기도 하다. 침해 사고를 알리고 처리하는 모든 과정에서 기업은 고객들에게 항상 투명한 태도를 유지해야 한다. 숨기거나 축소시키려고 급급한 태도만큼 소비자들을 실망시키는 건 없다. 솔직히 이거 모르는 기업은 없을 것이다. 지키기가 어려워서 그렇지.

지키기가 어려운 이유는 ‘투명함’이 뭔지 정확하게 이해하지 못해서다. 투명함이란 단순히 말해 사고가 발생했을 때 고객들에게 빠르게 알리는 것을 의미한다. 언제 어떻게 사고가 발생했으며 그 시점까지 파악된 피해 규모가 어느 정도이며, 고객 개개인에게 그 사고가 어떤 의미를 갖는지 구체적으로 설명해 주어야 한다. 고객들이 이 소식을 다른 통로로 먼저 접하지 않을 정도로 빠르게, 그리고 고객들이 스스로 연구와 조사를 하지 않아도 될 정도로 자세하게 하는 것이 중요하다.

2. 똑 부러지는 대처가 중요하다
정직한 태도 자체는 가지고 있는데, 보안 사고에 대한 대처 자체를 하지 못해 어영부영 헤매는 모습을 노출시키는 것도 커다란 ‘마이너스’ 요인이 된다. 암만 정직하고 착해봐야, 능력이 없는데 어떻게 신뢰할 수 있을까. 그렇다면 기업의 대처 능력은 어떻게 고객들에게 전달될까? 먼저는 침해 사고를 빠르게 알아낸 기업일수록 보안 능력이 높은 것으로 여겨진다. 사고가 발생했는데 1년이나 모르고 있다가 언론사가 먼저 터트렸을 때, 그 기업이 소비자들 눈에 어떻게 비춰질지는 자명하다.

또한 지속적으로 사고 경위와 조사 결과를 알리는 기업이 좋은 대처를 하는 것처럼 보인다는 것도 기억해야 한다(실제로도 그렇다). 처음에 ‘피해 규모를 파악 중이다’라고 발표했다면, 당연히 조금 지나서 중간 발표라도 해서 알려야 한다. 아니면 계속 ‘뭔 피해를 당했는지도 모르는 기업’으로 남게 된다. 또한 이렇게 조사 결과를 부지런히 알려야 ‘아직 책임지려 하고 있구나’라는 인상도 심어줄 수 있다. 고객 정보 털려놓고 나 몰라라 입 싹 씻는 기업을 어떻게 믿을 수 있을까?

그러나 이런 똑 부러지는 대응 능력은 사전 준비 없이 나타날 수 없다. 모든 조직들은 보안 사고 후 어떻게 대응하고 어떻게 소통할 것인지 미리 계획을 갖추고 있어야 한다. IT 분야를 잘 알고 있으니 임기응변으로 가능하다든가, 신문과 각종 매체에서 나쁜 사례들을 수없이 많이 봐왔으니 양호한 대처를 할 수 있을 것이라는 기대감만 가지고 있다간 정직하고 투명하기만 하지만 능력은 없는 바로 그 조직이 되고 만다.

‘베스트 프랙티스’라는 게 괜히 있는 것이 아니다
똑 부러지는 대처라는 것에 대해 썰을 좀 더 풀어보고자 한다. 사실 이것도 설명하자면 한도 끝도 없는데, 간단히 말하자면 ‘우리가 이미 알고 있는 베스트 프랙티스를 실천하는 것’이라고 요약할 수도 있다. 베스트 프랙티스가 모든 것을 해결해 주는 건 아니다. 하지만 생각보다 많은 위험에서 건져주는 것도 사실이다. 베스트 프랙티스란 상식처럼 모든 기업들의 직원들이 지켜야 할 준수 사항들과 산업마다 다르게 적용되는 규정들을 포함한다.

조직 차원에서의 ‘베스트 프랙티스’란, 기업 운영을 위해 하는 모든 일들에 보안 개념을 적용시키는 것이라고 요약이 가능하다. 보안을 일종의 독립적인 별도 기능으로만 여긴다면 안 된다는 뜻이기도 하다. 보안도 결국 사업적 목적과 부합하여 구성되어야 하는 게 맞다. 실제로 보안을 ‘전체적인 사업 요소의 일부’로 받아들이는 조직들이 일반적으로 보안 사고에 대한 대처가 뛰어나다.

그 외에도 GDPR을 통해 처음 도입된 DPO를 임명한다든지, 프라이버시 전담 책임자를 새로 뽑거나 확충하는 움직임 역시 고객들의 신뢰를 회복하는 데 도움이 된다. 그런 새로운 책임자들이 가시적인 성과를 내기 시작하면 금상첨화다.

보안 사고가 일어나면 고객들의 신뢰를 잃게 된다고? 아니, 사고 자체가 아니라 후속 대처가 신뢰를 잃게 한다. 반대로 말하면 신뢰를 안 잃을 길도 존재한다는 것이다.

글 : 제임스 플레저(James Pleger), SpecOps
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화