보안 / 프라이버시

데이터 유출 사고를 당했을 때, "알림 계획"에 대해 알아야 할 점

Michael Nadeau  | CSO 2018.04.27
방금 전, 자사에서 글로벌 고객 개인정보가 유출되는 침해 사건이 발생했음을 인지했다. 만약 지금이 5월 25일 이후라면, EU의 일반데이터보호규정(GDPR)을 준수하기 위해 72시간 이내에 이 침해 사건을 보고해야 한다. 시간이 촉박하다. 그런데 침해 사건이 발생한 이후, EU 규제 기관에 보고하는 절차에 대해 알고 있는가? 고객과 일반 대중에 공개하는 절차는? 많은 기업이 아직 잘 모른다.

지난 3월 정보정책리더십 센터(Centre for Information Policy Leadership)와 애브포인트(AvePoint)가 발표한 2차 GDPR 조직 준비(GDPR Organisational Readiness) 보고서를 보면 글로벌 조직의 침해 알림 준비 상황은 제각각이다.

응답자의 70%는 내부 보고 절차를 두고 있고 66%는 사고 대응 계획을 갖고 있지만 침해 시나리오를 연습한 적이 있는 비율과 PR 업체를 확보해 둔 비율은 각각 31%, 22%에 불과했다.

에버셰드 서덜랜드(Evershed Sutherland)의 글로벌 사이버보안 및 데이터 기밀 부문 책임자인 마이클 바하르는 "사이버 위기 상황에서는 법적인 논의를 할 시간이 많지 않으며 특히 랜섬웨어 공격으로 인해 시스템이 잠긴 경우에는 더욱 그렇다"고 말했다. 미국을 비롯한 각국 정부에서 새로운 또는 개정된 침해 법률과 규정을 시행함에 따라 연구는 갈수록 많은 시간이 소요되고 복잡하고 부담이 큰 작업이 되는데, 침해 사건 중에는 시간이 무엇보다 중요한 요소다.

모든 해당 규정에 따른 의무적 보고 단계가 포함된 마스터 침해 알림 계획을 만들면 이 부담을 줄일 수 있다. 이 계획을 수립하는 데 도움이 되는 조언을 하자면 다음과 같다.

이해 관계자와 내부 전문가와 협업
알림 계획을 실행하는 데 필요한 모든 지식을 IT 부서만 갖춰야 하는 것은 아니다. 바하르는 "변호사, 보안 담당자, 위기 커뮤니케이션 전문가, IT 전문가 모두의 책임"이라며, "이들의 전문 지식과 판단을 조합해야 한다"고 말했다.

더 나아가 아예 조직의 법무 팀이 알림 프로세스에서 리더십 역할을 맡는 것이 좋다. 바하르는 "회사의 대외 이미지와 평판은 물론 잠재적인 소송과 규정과 관련된 이해관계도 상당히 크기 때문에 변호사가 세부적으로 개입해야 한다"고 말했다. 법무 팀은 법적 요구 사항을 충족하면서 위험을 최소화하기 위해 무엇을 어떻게 보고해야 하는지 결정하는 데 도움이 될 수 있다. 또한 법적 조사를 수행하는 데 시간을 낭비할 필요도 없다.

많은 규정에서 고객, 주주, 파트너 등 침해 대상을 불문하고 침해 사실을 대중에게 공개하기를 요구한다. 마케팅 및 홍보 팀이 도움이 될 수 있는 부분이다. 여기서도 마찬가지로 법무 팀과의 공조가 중요하다. 바하르는 "중요한 것은 법적인 검토없이는 PR 또는 위기 커뮤니케이션 팀에 정보 공개의 전권을 위임할 수 없다는 점"이라고 말했다.

바하르는 "같은 이유로, 변호사가 쓰는 글은 대중이 이해하기 어려운 경우도 있으므로 IT, 위기 커뮤니케이션, 보안, 변호사 간의 협력이 중요하다"고 덧붙였다.

해당되는 모든 침해 보고 규칙 파악
알림 계획 수립에서 가장 어려운 부분은 해당되는 모든 침해 보고에 대한 규칙을 파악하는 일이다. 바하르에 따르면, 미국의 50개 주 모두가 조만간 개인정보보호 규정을 갖게 된다. 여기에 사업 유관 부처와 외국 정부가 요구하는 규칙도 감안해야 한다. 회사의 법무 팀은 회사에 적용되는 모든 규정을 면밀히 추적해야 한다.

에버셰드 서덜랜드의 브리치로워치(BreachLawWatch) 모바일 앱과 같은 툴은 글로벌 데이터 침해 상태의 간략한 개요를 보여주고, 누구에게, 언제 알려야 하고 그 알림 내에 어떤 내용이 포함되어야 하는 지에 대한 정보를 제공한다. 바하르는 "핵심은 알림의 내용이다. 판단력과 경험이 중요하게 작용하는 부분이다"고 말했다.

바하르에 따르면, 미리 답을 준비해야 하는 질문은 "무엇을, 어떻게 말할 것인가"이다. 침해의 영향을 받는 대상(고객, 파트너, 직원)과 규제 기관, 양 측의 질문에 모두 답해야 한다. 일부 규정의 경우 알림 요건이 비슷하기도 하지만 적용되는 상황은 다를 수 있는데, 이는 규정이 핵심 개념을 어떻게 정의하느냐에 따라 좌우된다.

뉴욕 금융서비스국과 GDPR은 정해진 시간 내에 침해를 보고할 것을 요구한다. 개인 식별 정보(PII)의 정의는 규정마다 다르므로 보고해야 할 내용은 침해된 데이터가 무엇인가에 따라 달라질 수 있다. 바하르는 "잘 만든 침해 알림 계획은 보고하는 내용에 규칙을 어떻게 적용해야 하는지에 대한 가이드를 제공한다"고 말했다.

알림 템플릿을 만들어야 하는가
침해에 해당하는 데이터만 집어넣으면 되는 알림 템플릿을 만들면 시간을 절약할 수 있을 것 같지만 실제로는 그다지 효용성이 없을 수도 있다. 바하르는 "중요한 질문은 '알려야 하는가', '언제 알려야 하는가', '알림에서 무엇을 말해야 하는가'인데, 모두 중대한 의사 결정이므로 확인란에 점만 찍는 방식은 사용할 수 없다"며, "정확하게 하지 않으면 사고의 여파가 오히려 더 커질 수 있다"고 경고했다.

그러나 일부 알림의 대본을 미리 작성하는 방법에도 몇 가지 장점은 있다. 바하르는 "중요한 것은 사실 관계다. 이런 사전 대본의 가치는 팀이 협력하면서 이런 문서를 법적 검토 없이 누구도 공개해서는 안 된다는 것을 모두가 알게 되는 데 있다"고 말했다.

또한 바하르는 이 프로세스는 변호사에게 기술적인 측면을 완전히 이해할 수 있는 기회를 부여해 "시간이 촉박할 때 기술 용어를 이해하느라 시간을 낭비할 일이 없게 해준다. 템플릿 초안을 작성하는 것도 좋지만 템플릿을 너무 고수해도 실수를 할 수 있다"고 말했다.

규칙은 변한다는 점을 예상
캠브리지 애널리티카(Cambridge Analytica)/페이스북 스캔들, 에퀴팩스(Equifax)와 같은 대대적인 침해 사건에 의해 촉발된 개인정보 논란은 규제 기관과 정부에 더 엄격한 규정을 마련해야 한다는 압박을 가하고 있다. 따라서 침해 알림 계획은 정기적으로 업데이트해야 하는, 살아있는 문서로 생각해야 한다.

바하르는 "사이버보안은 지속되는 문화여야 한다. 침해도 빠른 속도로 진화하지만 규제 역시 빠르게 발전하기 때문이다. 한번 하고 끝내는 일도 아니고, 확인란에 점만 찍어서 될 일도 아니다"라고 말했다. 바하르는 관련 규정 준수에 따른 이해관계가 있는 다른 사람들과의 협업이 핵심이라고 강조했다.

연습하기
바하르는 모든 사이버보안 교육에 침해 알림이 포함되어야 한다고 주장했다. 바하르는 "이는 군대와 마찬가지다. 전투를 얼마나 잘 하느냐는 훈련을 얼마나 했느냐에 달려 있다. 훈련을 하지 않으면 싸울 수 없다. 사이버보안도 전쟁이다"고 말했다.

이 훈련은 보안, IT, 법무 팀이 알림과 같은 규정 프로세스에 업데이트가 필요한 시점을 인식하는 데 도움이 된다. 바하르는 "지속적인 훈련은 일부 체제에서는 필수적인 요소이며 실제로 아주 좋은 방법"이라고 말했다.

글로벌 규정 전략
모든 알림 규칙(무엇을, 언제 보고해야 하는가)을 아는 것으로는 충분하지 않다. 온갖 다양한 법령의 복잡함과 세밀한 의미를 이해할 수 있을 만큼 능숙해야 한다.

바하르는 "글로벌 규정 전략을 필수적으로 준비해야 한다. 한 곳에 사건을 알린다면 의무가 아니더라도 다른 곳에도 알려야 알려야 할 수 잇다. 어떤 규제 기관도 담당 관할 분야의 사건을 다음 날 신문을 통해 알게 되기를 원하지는 않을 것이기 때문이다"고 말했다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.