데이터 유출 사건 후 기업들이 저지르는 10가지 실수

CSO

익스피리언 데이터 브리치 레졸루션(Experian Data Breach Resolution)의 마이클 브루머는 최근 국제 개인정보보호 전문가 협회(IAPP) 개인정보보호 아카데미에서 진행한 프레젠테이션에서 데이터 유출 사건 후 기업이 저지르는 일반적인 실수들을 밝혔다.  editor@itworld.co.kr

난국을 돌파할 때 피해야 할 실수들, 폭우가 내릴 때는 피하라. 최근 어도비 사례에서 볼 수 있듯이 데이터 유출 사건에 제대로 대처하지 않을 경우 그 여파는 겉잡을 수 없이 커질 수 있다. 기업의 평판이 곤두박질치고, 재정적, 법률적 문제에 직면하게 된다. 기업에 이런 사건이 발생할 경우 하지 말아야 할 행동들에 대한 조언에 귀를 기울여 보자.

대행 업체 미확보 사건 규모가 커서 내부에서 처리할 수 없는 경우도 있고, 유출된 데이터의 성격상 내부적인 대처가 적절하지 못한 경우도 있다. 이럴 때는 필요에 따라 외부의 도움을 받는 편이 가장 좋다. 비즈니스 연속성/사고 대응 계획을 수립할 때는 적어도 버라이즌 비즈니스(Verizon Business), 익스피리언(Experian), 트러스트웨이브(Trustwave) 또는 IBM과 같은 업체가 제시하는 사고 대응 팀을 알아보고 고려해야 한다.

외부 자문의 배제 브루머는 "외부 변호사를 선임하는 것을 강력히 추천한다"고 말했다. 모든 유형의 민감한 개인 정보 유출과 관련한 법률이나 규정은 하나로 존재하지 않는다. 따라서 어떤 법률, 어떤 규정 또는 지침이 적용되는 지는 부분적으로 그 정보를 수집한 주체 또는 분야와 수집, 규제되는 정보의 유형에 따라 달라진다. 따라서 내부 리소스가 모든 현행 법규에 대한 지식을 갖추지 않은 한 데이터 유출 분야에서 경험이 풍부한 외부 법률 고문에 투자하는 편이 현명하다.

복수의 의사 결정자 브루머는 "데이터 유출 대응 팀에는 조직의 여러 부서에서 참여해야 하지만 모든 팀에는 리더가 필요하다"고 말했다. 대응 팀을 이끌고 모든 외부 접촉에 대해 단일 접점 역할을 할 한 명이 필요하다. 이 리더는 경영진에서 개별 대응 팀원에 이르는 모든 사람들이 항상 최신 정보를 습득할 수 있도록 내부 보고 구조를 통제하는 일도 책임진다.

명확한 의사소통의 부재 단일 의사 결정자의 부재와 관련된 명확한 의사소통의 부재도 문제다. 잘못된 의사소통은 프로세스를 지연시키고 혼란을 가중시켜 데이터 유출에 대한 잘못된 대처를 유발하는 핵심 요인이 된다고 브루머는 말했다. "사고 대응 팀이 준비되면 권한 위임을 명확하게 규정한 다음 변호사를 비롯한 외부 인사에게 단일 접촉 창구를 제공하라."

의사소통 계획의 부재 의사소통과 관련해 조직이 직면하는 또 다른 문제는 계획의 부재다. 이는 대중, 특히 미디어와 관련된 부분이다. 브루머는 "기업들은 유출에 대비해 잘 문서화되고 테스트를 거친 의사소통 계획을 준비해야 한다. 여기에는 계획의 신속한 가동을 위한 예비 문서 및 기타 자료들이 포함된다. 의사소통을 전체적인 계획에 통합하지 못할 경우 일반적으로 미디어와 중요한 보도에 대한 대응이 지연된다"고 말했다.

행동하기 전에 완벽한 정보를 기다리기 데이터 유출의 여파에 대처하려면 많은 경우 내부 또는 외부 보안 감식 팀이 새로운 정보를 습득함에 따라 불완전하거나 빠른 속도로 바뀌는 정보를 다뤄야 한다. 브루머는 "기업은 침입이 확인되면 데이터 유출 관리 프로세스를 시작하고 조기에 사고를 관리하기 위한 절차에 돌입해야 한다. 완벽한 정보가 나올 때까지 기다리다가는 기한이 촉박해져서 여러가지 통지를 비롯한 여타 요구 사항을 모두 충족하기가 어려워진다"고 말했다.

지나치게 세세한 관리 브루머는 "데이터 유출 사건을 해결하기 위해서는 팀 지원이 필요한데, 기업들은 지나치게 세세한 통제로 인해 실패하는 경우가 많다. 외부 자문 기관과 유출 사건 해결 업체를 믿고, 이들이 사고 대응 계획을 실행하도록 하라"고 말했다.

사고 후 교정 계획의 부재 유출 사건이 해결된 후 고객을 비롯한 대중과 어떻게 접촉할 지에 대한 계획, 그리고 향후 사고 방지를 위한 추가적인 대책 수립이 있어야 한다. 브루머는 "기업이 데이터를 더 효과적으로 보호하기 위해 프로세스와 사람, 기술에 부가적으로 투자할 경우 이런 노력을 이해 관계자에게 알린다면 평판과 신뢰를 재구축하는 데 도움이 될 수 있다. 그러나 많은 기업들이 사고의 최초 충격에서 벗어나면 이런 장기적인 요구 사항에는 제대로 대처하지 않는다"고 지적했다.

소비자에게 구제책을 제시하지 않음 유출 후 이뤄지는 의사 결정의 중심에는 고객이 있어야 한다. 이는 고객이 자신의 의견을 전달할 수 있는 콜 센터를 두고 금융, 헬스케어 등 고도로 민감한 정보가 유출된 경우 신용 모니터링을 시행하는 등 일종의 구제책을 제공해야 함을 의미한다. 브루머는 "그다지 민감하지 않은 정보가 손실된 사고에서도 기업들은 소비자가 스스로를 보호하는 데 도움이 되는 조치를 취하거나 관련 지침을 제공하는 방안을 고려해야 한다"고 말했다.

훈련의 부재 브루머는 "무엇보다 팀 전체가 이 계획에 동참해야 한다. 사고 대응 계획은 지속적인 업데이트와 개정이 필요한, 살아 숨쉬는 문서다. 정기적으로 훈련을 실시해야 대응 팀이 너무 늦기 전에 문제에 대처할 수 있다"고 말했다.