2018.12.11

디지털 신뢰도의 의미와 고객 신뢰 구축을 위한 10가지 보안 팁

Dan Swinhoe | CSO
디지털 신뢰도(Digital trust)란 고객, 비즈니스 파트너 및 피고용인이 기업의 사생활 및 개인 정보 보호 역량에 대해 가지고 있는 믿음의 정도를 말한다. 데이터 유출 사건의 규모와 빈도가 증가함에 따라 디지털 신뢰도의 중요성이 재조명되고 있으며, 이를 계기로 관리자들이 보안을 바라보는 시선도 변화하고 있다.
 
ⓒ Getty Images Bank 


과거에는 보안을 코스트 센터(cost center, 원가중심점이라고도 한다)로 바라보는 시선이 지배적이었다. 그러나 최근 들어 기업들도 철저한 보안이 고객 충성도를 높이고, 새로운 서비스를 활성화하는 비즈니스 촉진제가 될 수 있음을 깨닫고 있다. 

프로스트&설리번이 작성한 CA 테크놀로지스의 보고서를 보면, 이런 트렌드를 확인할 수 있다. '2018 세계 온라인 디지털 신뢰도 지수 및 조사 결과(The Global State of Online Digital Trust Survey and Index 2018)' 보고서에 따르면, 보안과 사생활 보호를 철저하게 다룰 경우 데이터 유출로 인한 피해액을 줄여 오히려 기업에 재정적인 이득이 되는 것으로 나타났다.
 

디지털 신뢰도 높을수록 온라인 소비 증가

CA 테크놀로지 북유럽 지부 보안 책임자 스테판 월쉬는 "신뢰는 일단 한 번 뿌리내리면 비즈니스 전반으로 확산되는 경향이 있다. 높은 신뢰도는 기업을 위한 단단한 기반이 되어주며, 반대로 신뢰를 얻지 못하는 기업은 기존 고객 유지는 물론이고 신규 고객 유치나 새로운 시장 진출에도 어려움을 겪게 된다"고 말했다.
 
그렇다면 이런 디지털 신뢰도를 쌓기 위해 CSO가 해야 할 일은 무엇이며, 어떻게 해야 고객을 상대로 디지털 신뢰를 쌓을 수 있을까? CA 보고서를 보면 이에 대한 답이 될 만한 데이터를 찾을 수 있다. CA 테크놀로지스는 소비자, 보안 전문가 및 기업 경영자들을 상대로 설문 조사를 실시하고 각 집단에 대한 디지털 신뢰 지수를 만들었다. 

최저 1점, 최고 100점인 이 지표에서 소비자 집단의 신뢰도는 61점을 기록했다. 이는 "간신히 통과"하는 수준이라고 보고서는 밝혔다. 보안 전문가과 기업 경영자 집단은 이보다 훨씬 높은 75점과 74점을 각각 기록했다. 무엇보다 중요한 것은 기업에 대한 디지털 신뢰도가 높은 고객일수록 주저없이 지갑을 연다는 사실이다. 지난 12개월동안 디지털 신뢰도가 높은 고객 집단은 온라인 지출이 57% 증가한 반면, 신뢰도가 낮은 집단은 43% 증가했다.
 

편의보다 안전을 중요시하는 소비자 증가

CA 보고서에 따르면, 설문에 응답한 기업 경영자 가운데 27%는 보안 이니셔티브가 ROI에 부정적 영향을 준다고 생각하고 있다. 그러나 소비자의 생각은 달랐다. 소비자 집단의 과반수 이상(86%)은 보안이 편리함보다 중요하다고 답했으며, 기업에 대한 신뢰도가 높을수록 해당 기업에게서 상품을 구매할 의사도 높은 것으로 나타났다. 

또한 응답자 가운데 78%는 온라인 개인 식별 정보 보안이 '매우 중요하다' 또는 '중대하다'고 답했다. 온라인 서비스를 선택하는 기준에 대해서는 86%가 데이터 보안 수준을 우선적으로 고려한다고 답했다. 이런 설문 결과들은 소비자 집단의 디지털 데이터 보안 중요성에 대한 인지도가 높아지고 있음을 보여주며, 기업의 데이터 보안 역량이 판매량 및 고객 유지, 유치와 직결됨을 알 수 있다. 

월쉬는 "과거에는 보안 이니셔티브를 귀찮은 것, 하라고 하니까 해야 하는 것으로 생각하는 사람들이 많았다. 보안을 비즈니스의 촉진제이자 신규 고객 유치의 수단으로 바라보는 경영자가 많아질수록 데이터 보안의 수준도 상향 평준화될 것이다"고 말했다. 
 

디지털 신뢰도 간극, 소비자의 관점을 전혀 공유하지 못하는 기업

그러나 설령 소비자가 품는 신뢰의 가치를 이해한다고 해도, 기업은 여전히 소비자의 눈에 비친 자신의 위상이나 경쟁 기업과 비교한 자신의 위치를 과대 평가하는 경향이 있다. 

CA 보고서에 따르면, 실제 고객이 기업의 개인 정보 보안에 대해 가지고 있는 신뢰도와 기업 스스로가 생각하는 디지털 신뢰도 사이에는 평균적으로 14점 정도의 간극이 존재했다. 보고서는 "이는 기업들이 소비자 집단의 관점을 전혀 공유하지 못하고 있는 것"이라고 지적했다. 

설문에 답한 소비자 가운데 1/3만이 지난 2년 동안 기업에 대한 신뢰도가 증가했다고 답한 반면, 기업 경영자 중에서는 자사의 신뢰도가 상승했다고 본다고 답한 비율이 84%에 달했다. 이들 경영자 가운데 90%는 자사의 고객 데이터 보호가 훌륭하거나 무척 뛰어난 수준이라고 답했으며, 93%는 자사의 고객 데이터 보호 역량을 경쟁사 대비 차별 요소로 꼽고 있었다.
 
이번 연구에서 데이터 유출 사건 발생을 인정한 기업들의 수를 생각해 보면 이는 분명히 현실과 동떨어진 인식임을 알 수 있다. 월쉬는 "현실을 전혀 반영하지 못하는 자기 평가나, 자사는 이미 충분히 잘 하고 있다는 식의 생각은 무척 위험하다. 이는 무척 빠지기 쉬운 함정이다. 보안은 단순히 주어진 과제만 끝내면 되는 그런 문제가 아니다. 위협 지평은 시시각각 진화하고 있으며, 올해에 별 일 없이 지나갔다 하더라도 내년에는 얼마든지 데이터 유출 사건의 장본인이 될 수 있다"고 경고했다.
 

신뢰를 잃은 기업이 치뤄야 할 비용

신뢰를 잃었을 때 치뤄야 할 비용도 크다. CA 보고서 설문 조사에 답한 기업 가운데 절반 가량이 공공연한 데이터 유출 사건에 관계된 적이 있다고 답했으며, 사실상 모든 기업이 데이터 유출 사건이 장기적으로는 기업 수익률과 소비자 신뢰에 악영향을 미쳤다고 답했다. 한편 소비자 그룹에서는 절반 가량이 데이터 유출 사건이 발생한 기업의 서비스 이용을 중단하고 경쟁 기업의 서비스로 옮겨 간 적이 있다고 답했다.

월쉬는 "보안에 소홀한 기업을 보게 된 소비자는 지갑을 통해 일종의 '투표권'을 행사한다. 충분히 안전하다고 느껴지는 다른 기업의 상품이나 서비스를 이용하고, 거기서 디지털 신뢰도를 쌓아 나가는 것이다. 고객을 두 번 생각하게 만들어서는 안 된다. 그것은 다른 기업에 고객을 잃는 것과 같다. 고객으로부터 신뢰를 얻기 위해서는 고객의 정보, 자산, 돈 등을 안전하게 지키기 위해 할 수 있는 모든 것을 다 하고 있음을 보여줘야 한다. 여기서 함정은, 그럼에도 불구하고 단 한 번의 데이터 유출 사고, 보안 관련 문제만 발생해도 수년 간 쌓아온 고객 신뢰 기반이 다 무너질 수 있다는 사실이다"고 설명했다. 
 

소비자 신뢰 구축에 있어 CSO의 역할

표면적으로만 보면, 디지털 신뢰의 문제는 마치 보안 문제로 보이며 따라서 CSO의 소관이라고 생각하기 쉽다. 하지만 현실은 이보다 복잡하다. 소비자의 신뢰를 얻는다는 것은 단순히 보안상의 의사 결정을 잘 내리는 것만으로 되는 게 아니다. 이런 기업의 의사 결정을 소비자들에게 전달하고, 소비자들이 기업의 정보 보호 노력을 인지하도록 하는 것도 중요하다.
 
월쉬는 "마케팅, 재무 등 기업의 모든 부문이 고객 신뢰 기반을 구축하고 다지는 데 책임감을 가지고 힘을 써야 한다"고 지적했다. 보안은 소 잃고 외양간 고치기 식이 되어서는 안 되며, 고객 유치 및 유지에 있어서 가장 최우선적인 과제로 다뤄져야 한다. 이미 많은 기업은 보안 프로그램을 CSO의 소관 밖의 문제로 다루고 있다.

월쉬는 "소비자 신뢰 기반의 구축은 기업 이미지 관리, 신규 고객 유치와도 관련이 있으며, 일부 기업에서는 고객 유치 및 마케팅이 보안 위상을 높이는 것과 관련되어 있기도 하다. 또한 소비자들이 새로운 보안 방법론을 활용하도록 하는 것도 중요하다. 이런 문제를 종합적으로 고려했을 때, 소비자 신뢰 기반 구축이 전적으로 CSO의 책임이라고 보기는 어렵다. 보안 정책을 이행하는 것은 CSO의 임무일 수 있지만, 전반적이고 전체적인 관점에서 봤을 때에는 CEO의 역할이 중요하다"고 말했다.
 
디지털 신뢰 구축의 전반적 과정은 CEO가 주도하되, 개별적 이니셔티브에 CSO가 직접 참여하고 기업 내 여러 부서들과 지속적으로 소통해 일관된 기업 운영 및 커뮤니케이션 하는 모습을 고객에게 보여줘야 한다. 
 

고객의 신뢰를 얻는 방법 

신뢰를 쌓는다는 것은 결코 간단한 일이 아니다. 기본적인 보안 업무와 이에 필요한 기술, 솔루션 및 프로세스를 도입하는 것 외에도 소비자와의 지속적 커뮤니케이션이 필수다. 

월쉬는 "고객에게 메시지를 전달하는 것도 중요하지만, 단순히 '말 뿐'이어서는 곤란하다. 행동이 따르지 않고 메시지만 전달한다면 고객의 신뢰는 머지 않아 증발해 버리고 말 것이다"라고 말했다.
 
고객의 신뢰를 얻는 기업은 고객에게 직접적이고 투명한 메시지를 전달한다. 고객 데이터를 어디에, 왜 사용하고 있는가를 명확하게 설명해야 하며, 어떤 데이터를 무슨 목적을 위해 수집하는지, 그리고 이런 데이터를 보호하기 위해 어떠한 보안 조치를 취하고 있는지도 설명해야 한다. 

예를 들어, 다중 인증(MFA, multifactor authentication) 방식을 사용할 경우, 거래 과정에서 왜 추가적인 인증 단계를 거쳐야 하는가를 고객에게 설명하는 것이 신뢰 형성에 도움이 된다. 월쉬는 "왜 추가적인 보안 단계가 필요한 지를 고객에게 설명하는 것이 중요하다. '이런 인증 과정은 ~을 위해 필요하다'고 말하는 편이 '~를 해야 한다'고 통보하는 쪽보다 낫다"고 설명했다.

유럽 연합의 GDPR(general data protection regulation)은 지난 5월 발효됐다. 그러나 아직까지 EU 내, 외부 기업들 모두 GDPR을 완전히 준수하는 수준에는 이르지 못하고 있다고 다수의 연구 결과가 지적하고 있다. 그러나 GDPR 준수는 동시에 고객들의 신뢰를 얻을 수 있는 기회이며 기업 의사결정 과정에서 보안과 프라이버시를 주요 안건으로 만들 수 있는 기회다.
 
월쉬는 "GDPR은 기업에게는 확실한 기회라 할 수 있다. 보안을 중요시하는 기업만이 소비자 및 B2B 신뢰 기반을 구축하고 앞으로 나아갈 수 있을 것이다. 쉬운 것만, 혹은 시키는 것만 기계적으로 하면 된다고 생각할지도 모른다. 하지만 이런 태도를 소비자들이 보게 된다면 GDPR 규정 준수를 보다 중요하게 여기는 경쟁 기업으로 발걸음을 돌릴 지도 모른다"고 말했다.
 

디지털 신뢰 구축을 위한 10가지 팁

10월 말, 전문 서비스 업체 PwC는 '디지털 트러스트 인사이트(Digital Trust Insights)' 보고서를 발표했다. 전 세계 3,000명의 비즈니스 리더들을 대상으로 설문조사를 실시한 결과물이었다. 이 데이터를 기반으로 PwC는 기업의 리스크 관리, 프라이버시 보호 규제 준수, 그리고 디지털 비즈니스 환경에서 소비자 신뢰 구축을 위한 다음과 같은 10가지 팁을 소개했다.
 
1. 디지털 전환 프로젝트 처음부터 보안 전문가를 참여시킬 것
설문 응답자의 90%는 디지털 전환 프로젝트에 보안 및 프라이버시 관계자를 포함시켰다고 답했지만, 프로젝트 초반부터 이들이 참여했다고 답한 비율은 53%에 그쳤다. PwC 보고서는 디지털 전환에 있어 '설계 단계에서의 보안 및 프라이버시 보호'가 필요하다고 지적했다. 이 보고서는 "퍼스널 디바이스 간 연결성의 폭증과 정부, 기업 및 산업체 장비들이 사이버 보안 및 프라이버시 리스크를 기하급수적으로 증가시키고 있다"고 말했다.
 
2. 보안 및 리더십 팀 업그레이드
PwC의 설문조사 결과는 대부분 기업들이 자사의 보안 및 개인정보 보호 인력에 대해 완전한 확신이 없음을 보여줬다. 자사 보안 팀의 역량에 대해 "매우 자신 있다"고 답한 기업은 전체의 38%에 그쳤다. 인재 및 기술 갭과 관련한 기업 전반에 걸친 리스크 평가를 실시하고 사이버 보안, 프라이버시 및 데이터 윤리 등과 관련한 명확한 직무에 적절한 인재들을 배치할 필요가 있다고 보고서는 지적했다. 

3. 사이버보안 및 프라이버시에 대한 인식 개선 교육 실시
전체 응답자의 34%만이 직원들을 위한 보안 인식 교육 프로그램을 운영하고 있었다. 이 보고서는 보안 및 프라이버시 이슈에 관한 직원들의 인식 개선과 함께 이런 문제들이 비즈니스에 어떤 영향을 미칠 수 있는지를 교육해야 한다고 말한다. 데이터 거버넌스, IT 자산 액세스와 관련한 분명한 정책 수립도 이런 교육에 수반돼야 한다. 

4. 이사회와의 소통 및 참여 개선
응답자들 대부분은 이사회가 회사의 사이버보안 및 프라이버시 리스크 전략에 대해 알고 있다고 답했다. 그러나 두 분야의 메트릭스를 포함한 구체적인 보고가 이뤄지는 곳은 27%에 불과했다. PwC는 지금 당장 측정 가능한 수치들을 식별하고, 이러한 메트릭스를 통해 관계자들이 필요로 하는 것을 충족시켜줘야 한다고 말한다. 보안 및 프라이버시 리스크에 영향을 미칠 수 있는 외적 요인에 대해서는 분명하고 명확하게 이사회와 커뮤니케이션해야 한다.
 
5. 보안 전략과 비즈니스 목표의 조화
PwC 설문조사는 또한 비즈니스 목표와 정보 보안 전략 간의 괴리를 여실히 보여 주었다. 응답자의 23%만이 이 괴리를 좁혀 나갈 계획이 있다고 답했다. PwC는 새로운 제품, 서비스에 사이버보안을 내장하고 리스크 및 규제 준수 평가, 사이버보안 프레임워크 평가를 실시하며, 사이버보안 전략 및 계획을 개선함으로써 비즈니스와 보안 간의 조화를 이룰 수 있다고 말했다. 

6. 데이터에 대한 지속적 신뢰 구축
조사 결과를 보면, 시가총액 1억 달러 이상 규모 기업 가운데 절반만이 데이터 거버넌스에 유의미한 수준의 투자를 하고 있는 것으로 나타났다. 가장 가치있는, 또는 민감한 데이터 자산을 "확실하게 분류해 놓았다"고 답한 기업은 40%에 그쳤다. 이 보고서는 데이터의 가치와 민감도 모두를 고려한 데이터 거버넌스 프로그램을 이행할 것을 제안하고 있다. 보고서는 또한 데이터 라이프사이클 전반에 걸친 리스크 관리가 필요하다고 덧붙였다. 

7. 사이버 회복 탄력성(cyber resilience) 증대
중견 기업 또는 대기업 중에서 사이버 공격 및 기타 와해적 성격의 사건에 대항해 회복 탄력성 구축을 위해 노력하고 있다고 답한 기업은 절반이 채 되지 않았다. 이런 회복 탄력성에 대해 충분한 테스트를 거쳤다고 답한 기업은 그들 중에서도 절반 이하였다. 회복 탄력성을 키우기 위해서는 것은 핵심 비즈니스 프로세스에 대한 기업의 리스크 선호도를 이해해야 한다. 보고서는 주요 관계자들(CEO, CFO, CIO 등)이 취하게 되는 각기 다른 리스크에 대한 관점을 고려해 보라고 조언했다. 또한 진화하는 위협 지평과 테크놀로지 인프라스트럭처를 모니터링해 높은 가용성을 확보하고, 재해 복구와 데이터 무결성을 가능케 해야 한다. 

8. 내 적이 누구인지 알라
기업마다 위협이 발생할 가능성이 가장 높은 지점을 알고 있어야 한다. 예컨대 금융 서비스 기업들의 경우 국가 지원 해킹을 우려하는 비율이 가장 높았으나(33%), 소비자 응대 기업들의 경우 일반 사이버범죄에 대해 우려하는 비율이 가장 높았다(50%). 그러나 자사의 디지털 자산을 공격해 올 주체가 누구인가를 확실하게 알고 있다고 답한 응답자는 31%에 그쳤다. PwC는 위협 지능 리포트를 꾸준히 모니터링하고, 이런 맥락 속에서 리스크 및 위협 지평의 변화를 주시하라고 조언했다. 

9. 선제적 규제 준수
전 세계 모든 프라이버시 및 데이터 보안 규제 사항에 대해 일일이 파악하고 이를 준수하는 일은 쉽지 않다. 응답자의 41%는 기업에 적용되는 다양한 규제 내용들을 파악하는 것만으로도 쉽지 않다고 답했다. 그러나 PwC 보고서는 새로운 법에 대한 인지도를 높이는 것이 무척 중요하다고 강조한다. 또한 규제 준수에 대해 통합적이고 전체론적인 접근을 취해야 한다고도 말하는데, 다시 말해 기업이 활동하는 모든 사법 관할권 전반에 걸쳐 가장 높은 수준의 규제 이행 표준에 맞춰 규제를 이행해야 한다는 뜻이다. 

10. 최신 동향 주시
새로운 기술에는 새로운 리스크가 따른다. 사물인터넷을 예로 들자면, 응답자의 39%만이 보안, 프라이버시 및 데이터 윤리 등을 관리하기 위한 충분한 '디지털 신뢰'를 얻고 있다고 답했다. PwC는 기업들이 디지털 신뢰 구축을 우선시 해야 한다고 조언한다. 기업들은 또한 IoT나 인공 지능과 같은 신기술과 관련한 보안 연구 동향도 주시할 필요가 있다. editor@itworld.co.kr 
 


2018.12.11

디지털 신뢰도의 의미와 고객 신뢰 구축을 위한 10가지 보안 팁

Dan Swinhoe | CSO
디지털 신뢰도(Digital trust)란 고객, 비즈니스 파트너 및 피고용인이 기업의 사생활 및 개인 정보 보호 역량에 대해 가지고 있는 믿음의 정도를 말한다. 데이터 유출 사건의 규모와 빈도가 증가함에 따라 디지털 신뢰도의 중요성이 재조명되고 있으며, 이를 계기로 관리자들이 보안을 바라보는 시선도 변화하고 있다.
 
ⓒ Getty Images Bank 


과거에는 보안을 코스트 센터(cost center, 원가중심점이라고도 한다)로 바라보는 시선이 지배적이었다. 그러나 최근 들어 기업들도 철저한 보안이 고객 충성도를 높이고, 새로운 서비스를 활성화하는 비즈니스 촉진제가 될 수 있음을 깨닫고 있다. 

프로스트&설리번이 작성한 CA 테크놀로지스의 보고서를 보면, 이런 트렌드를 확인할 수 있다. '2018 세계 온라인 디지털 신뢰도 지수 및 조사 결과(The Global State of Online Digital Trust Survey and Index 2018)' 보고서에 따르면, 보안과 사생활 보호를 철저하게 다룰 경우 데이터 유출로 인한 피해액을 줄여 오히려 기업에 재정적인 이득이 되는 것으로 나타났다.
 

디지털 신뢰도 높을수록 온라인 소비 증가

CA 테크놀로지 북유럽 지부 보안 책임자 스테판 월쉬는 "신뢰는 일단 한 번 뿌리내리면 비즈니스 전반으로 확산되는 경향이 있다. 높은 신뢰도는 기업을 위한 단단한 기반이 되어주며, 반대로 신뢰를 얻지 못하는 기업은 기존 고객 유지는 물론이고 신규 고객 유치나 새로운 시장 진출에도 어려움을 겪게 된다"고 말했다.
 
그렇다면 이런 디지털 신뢰도를 쌓기 위해 CSO가 해야 할 일은 무엇이며, 어떻게 해야 고객을 상대로 디지털 신뢰를 쌓을 수 있을까? CA 보고서를 보면 이에 대한 답이 될 만한 데이터를 찾을 수 있다. CA 테크놀로지스는 소비자, 보안 전문가 및 기업 경영자들을 상대로 설문 조사를 실시하고 각 집단에 대한 디지털 신뢰 지수를 만들었다. 

최저 1점, 최고 100점인 이 지표에서 소비자 집단의 신뢰도는 61점을 기록했다. 이는 "간신히 통과"하는 수준이라고 보고서는 밝혔다. 보안 전문가과 기업 경영자 집단은 이보다 훨씬 높은 75점과 74점을 각각 기록했다. 무엇보다 중요한 것은 기업에 대한 디지털 신뢰도가 높은 고객일수록 주저없이 지갑을 연다는 사실이다. 지난 12개월동안 디지털 신뢰도가 높은 고객 집단은 온라인 지출이 57% 증가한 반면, 신뢰도가 낮은 집단은 43% 증가했다.
 

편의보다 안전을 중요시하는 소비자 증가

CA 보고서에 따르면, 설문에 응답한 기업 경영자 가운데 27%는 보안 이니셔티브가 ROI에 부정적 영향을 준다고 생각하고 있다. 그러나 소비자의 생각은 달랐다. 소비자 집단의 과반수 이상(86%)은 보안이 편리함보다 중요하다고 답했으며, 기업에 대한 신뢰도가 높을수록 해당 기업에게서 상품을 구매할 의사도 높은 것으로 나타났다. 

또한 응답자 가운데 78%는 온라인 개인 식별 정보 보안이 '매우 중요하다' 또는 '중대하다'고 답했다. 온라인 서비스를 선택하는 기준에 대해서는 86%가 데이터 보안 수준을 우선적으로 고려한다고 답했다. 이런 설문 결과들은 소비자 집단의 디지털 데이터 보안 중요성에 대한 인지도가 높아지고 있음을 보여주며, 기업의 데이터 보안 역량이 판매량 및 고객 유지, 유치와 직결됨을 알 수 있다. 

월쉬는 "과거에는 보안 이니셔티브를 귀찮은 것, 하라고 하니까 해야 하는 것으로 생각하는 사람들이 많았다. 보안을 비즈니스의 촉진제이자 신규 고객 유치의 수단으로 바라보는 경영자가 많아질수록 데이터 보안의 수준도 상향 평준화될 것이다"고 말했다. 
 

디지털 신뢰도 간극, 소비자의 관점을 전혀 공유하지 못하는 기업

그러나 설령 소비자가 품는 신뢰의 가치를 이해한다고 해도, 기업은 여전히 소비자의 눈에 비친 자신의 위상이나 경쟁 기업과 비교한 자신의 위치를 과대 평가하는 경향이 있다. 

CA 보고서에 따르면, 실제 고객이 기업의 개인 정보 보안에 대해 가지고 있는 신뢰도와 기업 스스로가 생각하는 디지털 신뢰도 사이에는 평균적으로 14점 정도의 간극이 존재했다. 보고서는 "이는 기업들이 소비자 집단의 관점을 전혀 공유하지 못하고 있는 것"이라고 지적했다. 

설문에 답한 소비자 가운데 1/3만이 지난 2년 동안 기업에 대한 신뢰도가 증가했다고 답한 반면, 기업 경영자 중에서는 자사의 신뢰도가 상승했다고 본다고 답한 비율이 84%에 달했다. 이들 경영자 가운데 90%는 자사의 고객 데이터 보호가 훌륭하거나 무척 뛰어난 수준이라고 답했으며, 93%는 자사의 고객 데이터 보호 역량을 경쟁사 대비 차별 요소로 꼽고 있었다.
 
이번 연구에서 데이터 유출 사건 발생을 인정한 기업들의 수를 생각해 보면 이는 분명히 현실과 동떨어진 인식임을 알 수 있다. 월쉬는 "현실을 전혀 반영하지 못하는 자기 평가나, 자사는 이미 충분히 잘 하고 있다는 식의 생각은 무척 위험하다. 이는 무척 빠지기 쉬운 함정이다. 보안은 단순히 주어진 과제만 끝내면 되는 그런 문제가 아니다. 위협 지평은 시시각각 진화하고 있으며, 올해에 별 일 없이 지나갔다 하더라도 내년에는 얼마든지 데이터 유출 사건의 장본인이 될 수 있다"고 경고했다.
 

신뢰를 잃은 기업이 치뤄야 할 비용

신뢰를 잃었을 때 치뤄야 할 비용도 크다. CA 보고서 설문 조사에 답한 기업 가운데 절반 가량이 공공연한 데이터 유출 사건에 관계된 적이 있다고 답했으며, 사실상 모든 기업이 데이터 유출 사건이 장기적으로는 기업 수익률과 소비자 신뢰에 악영향을 미쳤다고 답했다. 한편 소비자 그룹에서는 절반 가량이 데이터 유출 사건이 발생한 기업의 서비스 이용을 중단하고 경쟁 기업의 서비스로 옮겨 간 적이 있다고 답했다.

월쉬는 "보안에 소홀한 기업을 보게 된 소비자는 지갑을 통해 일종의 '투표권'을 행사한다. 충분히 안전하다고 느껴지는 다른 기업의 상품이나 서비스를 이용하고, 거기서 디지털 신뢰도를 쌓아 나가는 것이다. 고객을 두 번 생각하게 만들어서는 안 된다. 그것은 다른 기업에 고객을 잃는 것과 같다. 고객으로부터 신뢰를 얻기 위해서는 고객의 정보, 자산, 돈 등을 안전하게 지키기 위해 할 수 있는 모든 것을 다 하고 있음을 보여줘야 한다. 여기서 함정은, 그럼에도 불구하고 단 한 번의 데이터 유출 사고, 보안 관련 문제만 발생해도 수년 간 쌓아온 고객 신뢰 기반이 다 무너질 수 있다는 사실이다"고 설명했다. 
 

소비자 신뢰 구축에 있어 CSO의 역할

표면적으로만 보면, 디지털 신뢰의 문제는 마치 보안 문제로 보이며 따라서 CSO의 소관이라고 생각하기 쉽다. 하지만 현실은 이보다 복잡하다. 소비자의 신뢰를 얻는다는 것은 단순히 보안상의 의사 결정을 잘 내리는 것만으로 되는 게 아니다. 이런 기업의 의사 결정을 소비자들에게 전달하고, 소비자들이 기업의 정보 보호 노력을 인지하도록 하는 것도 중요하다.
 
월쉬는 "마케팅, 재무 등 기업의 모든 부문이 고객 신뢰 기반을 구축하고 다지는 데 책임감을 가지고 힘을 써야 한다"고 지적했다. 보안은 소 잃고 외양간 고치기 식이 되어서는 안 되며, 고객 유치 및 유지에 있어서 가장 최우선적인 과제로 다뤄져야 한다. 이미 많은 기업은 보안 프로그램을 CSO의 소관 밖의 문제로 다루고 있다.

월쉬는 "소비자 신뢰 기반의 구축은 기업 이미지 관리, 신규 고객 유치와도 관련이 있으며, 일부 기업에서는 고객 유치 및 마케팅이 보안 위상을 높이는 것과 관련되어 있기도 하다. 또한 소비자들이 새로운 보안 방법론을 활용하도록 하는 것도 중요하다. 이런 문제를 종합적으로 고려했을 때, 소비자 신뢰 기반 구축이 전적으로 CSO의 책임이라고 보기는 어렵다. 보안 정책을 이행하는 것은 CSO의 임무일 수 있지만, 전반적이고 전체적인 관점에서 봤을 때에는 CEO의 역할이 중요하다"고 말했다.
 
디지털 신뢰 구축의 전반적 과정은 CEO가 주도하되, 개별적 이니셔티브에 CSO가 직접 참여하고 기업 내 여러 부서들과 지속적으로 소통해 일관된 기업 운영 및 커뮤니케이션 하는 모습을 고객에게 보여줘야 한다. 
 

고객의 신뢰를 얻는 방법 

신뢰를 쌓는다는 것은 결코 간단한 일이 아니다. 기본적인 보안 업무와 이에 필요한 기술, 솔루션 및 프로세스를 도입하는 것 외에도 소비자와의 지속적 커뮤니케이션이 필수다. 

월쉬는 "고객에게 메시지를 전달하는 것도 중요하지만, 단순히 '말 뿐'이어서는 곤란하다. 행동이 따르지 않고 메시지만 전달한다면 고객의 신뢰는 머지 않아 증발해 버리고 말 것이다"라고 말했다.
 
고객의 신뢰를 얻는 기업은 고객에게 직접적이고 투명한 메시지를 전달한다. 고객 데이터를 어디에, 왜 사용하고 있는가를 명확하게 설명해야 하며, 어떤 데이터를 무슨 목적을 위해 수집하는지, 그리고 이런 데이터를 보호하기 위해 어떠한 보안 조치를 취하고 있는지도 설명해야 한다. 

예를 들어, 다중 인증(MFA, multifactor authentication) 방식을 사용할 경우, 거래 과정에서 왜 추가적인 인증 단계를 거쳐야 하는가를 고객에게 설명하는 것이 신뢰 형성에 도움이 된다. 월쉬는 "왜 추가적인 보안 단계가 필요한 지를 고객에게 설명하는 것이 중요하다. '이런 인증 과정은 ~을 위해 필요하다'고 말하는 편이 '~를 해야 한다'고 통보하는 쪽보다 낫다"고 설명했다.

유럽 연합의 GDPR(general data protection regulation)은 지난 5월 발효됐다. 그러나 아직까지 EU 내, 외부 기업들 모두 GDPR을 완전히 준수하는 수준에는 이르지 못하고 있다고 다수의 연구 결과가 지적하고 있다. 그러나 GDPR 준수는 동시에 고객들의 신뢰를 얻을 수 있는 기회이며 기업 의사결정 과정에서 보안과 프라이버시를 주요 안건으로 만들 수 있는 기회다.
 
월쉬는 "GDPR은 기업에게는 확실한 기회라 할 수 있다. 보안을 중요시하는 기업만이 소비자 및 B2B 신뢰 기반을 구축하고 앞으로 나아갈 수 있을 것이다. 쉬운 것만, 혹은 시키는 것만 기계적으로 하면 된다고 생각할지도 모른다. 하지만 이런 태도를 소비자들이 보게 된다면 GDPR 규정 준수를 보다 중요하게 여기는 경쟁 기업으로 발걸음을 돌릴 지도 모른다"고 말했다.
 

디지털 신뢰 구축을 위한 10가지 팁

10월 말, 전문 서비스 업체 PwC는 '디지털 트러스트 인사이트(Digital Trust Insights)' 보고서를 발표했다. 전 세계 3,000명의 비즈니스 리더들을 대상으로 설문조사를 실시한 결과물이었다. 이 데이터를 기반으로 PwC는 기업의 리스크 관리, 프라이버시 보호 규제 준수, 그리고 디지털 비즈니스 환경에서 소비자 신뢰 구축을 위한 다음과 같은 10가지 팁을 소개했다.
 
1. 디지털 전환 프로젝트 처음부터 보안 전문가를 참여시킬 것
설문 응답자의 90%는 디지털 전환 프로젝트에 보안 및 프라이버시 관계자를 포함시켰다고 답했지만, 프로젝트 초반부터 이들이 참여했다고 답한 비율은 53%에 그쳤다. PwC 보고서는 디지털 전환에 있어 '설계 단계에서의 보안 및 프라이버시 보호'가 필요하다고 지적했다. 이 보고서는 "퍼스널 디바이스 간 연결성의 폭증과 정부, 기업 및 산업체 장비들이 사이버 보안 및 프라이버시 리스크를 기하급수적으로 증가시키고 있다"고 말했다.
 
2. 보안 및 리더십 팀 업그레이드
PwC의 설문조사 결과는 대부분 기업들이 자사의 보안 및 개인정보 보호 인력에 대해 완전한 확신이 없음을 보여줬다. 자사 보안 팀의 역량에 대해 "매우 자신 있다"고 답한 기업은 전체의 38%에 그쳤다. 인재 및 기술 갭과 관련한 기업 전반에 걸친 리스크 평가를 실시하고 사이버 보안, 프라이버시 및 데이터 윤리 등과 관련한 명확한 직무에 적절한 인재들을 배치할 필요가 있다고 보고서는 지적했다. 

3. 사이버보안 및 프라이버시에 대한 인식 개선 교육 실시
전체 응답자의 34%만이 직원들을 위한 보안 인식 교육 프로그램을 운영하고 있었다. 이 보고서는 보안 및 프라이버시 이슈에 관한 직원들의 인식 개선과 함께 이런 문제들이 비즈니스에 어떤 영향을 미칠 수 있는지를 교육해야 한다고 말한다. 데이터 거버넌스, IT 자산 액세스와 관련한 분명한 정책 수립도 이런 교육에 수반돼야 한다. 

4. 이사회와의 소통 및 참여 개선
응답자들 대부분은 이사회가 회사의 사이버보안 및 프라이버시 리스크 전략에 대해 알고 있다고 답했다. 그러나 두 분야의 메트릭스를 포함한 구체적인 보고가 이뤄지는 곳은 27%에 불과했다. PwC는 지금 당장 측정 가능한 수치들을 식별하고, 이러한 메트릭스를 통해 관계자들이 필요로 하는 것을 충족시켜줘야 한다고 말한다. 보안 및 프라이버시 리스크에 영향을 미칠 수 있는 외적 요인에 대해서는 분명하고 명확하게 이사회와 커뮤니케이션해야 한다.
 
5. 보안 전략과 비즈니스 목표의 조화
PwC 설문조사는 또한 비즈니스 목표와 정보 보안 전략 간의 괴리를 여실히 보여 주었다. 응답자의 23%만이 이 괴리를 좁혀 나갈 계획이 있다고 답했다. PwC는 새로운 제품, 서비스에 사이버보안을 내장하고 리스크 및 규제 준수 평가, 사이버보안 프레임워크 평가를 실시하며, 사이버보안 전략 및 계획을 개선함으로써 비즈니스와 보안 간의 조화를 이룰 수 있다고 말했다. 

6. 데이터에 대한 지속적 신뢰 구축
조사 결과를 보면, 시가총액 1억 달러 이상 규모 기업 가운데 절반만이 데이터 거버넌스에 유의미한 수준의 투자를 하고 있는 것으로 나타났다. 가장 가치있는, 또는 민감한 데이터 자산을 "확실하게 분류해 놓았다"고 답한 기업은 40%에 그쳤다. 이 보고서는 데이터의 가치와 민감도 모두를 고려한 데이터 거버넌스 프로그램을 이행할 것을 제안하고 있다. 보고서는 또한 데이터 라이프사이클 전반에 걸친 리스크 관리가 필요하다고 덧붙였다. 

7. 사이버 회복 탄력성(cyber resilience) 증대
중견 기업 또는 대기업 중에서 사이버 공격 및 기타 와해적 성격의 사건에 대항해 회복 탄력성 구축을 위해 노력하고 있다고 답한 기업은 절반이 채 되지 않았다. 이런 회복 탄력성에 대해 충분한 테스트를 거쳤다고 답한 기업은 그들 중에서도 절반 이하였다. 회복 탄력성을 키우기 위해서는 것은 핵심 비즈니스 프로세스에 대한 기업의 리스크 선호도를 이해해야 한다. 보고서는 주요 관계자들(CEO, CFO, CIO 등)이 취하게 되는 각기 다른 리스크에 대한 관점을 고려해 보라고 조언했다. 또한 진화하는 위협 지평과 테크놀로지 인프라스트럭처를 모니터링해 높은 가용성을 확보하고, 재해 복구와 데이터 무결성을 가능케 해야 한다. 

8. 내 적이 누구인지 알라
기업마다 위협이 발생할 가능성이 가장 높은 지점을 알고 있어야 한다. 예컨대 금융 서비스 기업들의 경우 국가 지원 해킹을 우려하는 비율이 가장 높았으나(33%), 소비자 응대 기업들의 경우 일반 사이버범죄에 대해 우려하는 비율이 가장 높았다(50%). 그러나 자사의 디지털 자산을 공격해 올 주체가 누구인가를 확실하게 알고 있다고 답한 응답자는 31%에 그쳤다. PwC는 위협 지능 리포트를 꾸준히 모니터링하고, 이런 맥락 속에서 리스크 및 위협 지평의 변화를 주시하라고 조언했다. 

9. 선제적 규제 준수
전 세계 모든 프라이버시 및 데이터 보안 규제 사항에 대해 일일이 파악하고 이를 준수하는 일은 쉽지 않다. 응답자의 41%는 기업에 적용되는 다양한 규제 내용들을 파악하는 것만으로도 쉽지 않다고 답했다. 그러나 PwC 보고서는 새로운 법에 대한 인지도를 높이는 것이 무척 중요하다고 강조한다. 또한 규제 준수에 대해 통합적이고 전체론적인 접근을 취해야 한다고도 말하는데, 다시 말해 기업이 활동하는 모든 사법 관할권 전반에 걸쳐 가장 높은 수준의 규제 이행 표준에 맞춰 규제를 이행해야 한다는 뜻이다. 

10. 최신 동향 주시
새로운 기술에는 새로운 리스크가 따른다. 사물인터넷을 예로 들자면, 응답자의 39%만이 보안, 프라이버시 및 데이터 윤리 등을 관리하기 위한 충분한 '디지털 신뢰'를 얻고 있다고 답했다. PwC는 기업들이 디지털 신뢰 구축을 우선시 해야 한다고 조언한다. 기업들은 또한 IoT나 인공 지능과 같은 신기술과 관련한 보안 연구 동향도 주시할 필요가 있다. editor@itworld.co.kr 
 


X