[넋두리] 2. 위기엔 대도무문(大道無問) 하라
소처럼 우직해야 한다
기업이 정보보안과 관련해 가장 심각한 상황에 직면하게 되는 경우는 해커의 공격으로 인한 IT침해를 통해 정보가 유출되는 경우이다. 인터넷을 통한 서비스를 제공하는 포털, 쇼핑몰, 게임사와 같은 기업의 경우 DDoS 공격(특히 랜섬DDoS 공격)을 통해 서비스가 중단되는 경우에도 그로 인한 금전적 피해와 기업 이미지에 영향이 있겠으나, 그동안 발생한 보안사고의 면면을 보면 고객 개인정보 유출 사고가 발생한 경우가 기업과 개인에게 가장 큰 피해를 주고 있다고 봐도 과언은 아니다.
개인정보 유출사고가 발생하게 되면 기업과 기업에 속해 있는 정보보안 조직의 많은 노력은 한순간에 물거품이 되고 만다. 법적 책임여부와 내부담당자의 잘잘못 여부를 떠나 사고 발생과 함께 각종 언론에 노출되며 기업의 이미지는 손상되게 된다. 혹여 처리 과정에서 잘못 대처해 대중의 공분이라도 사게 되면 그 자체만으로도 기업에겐 큰 위험이다. 국가의 행정처벌은 기본이요 높아진 국민의 인식 수준으로 인해 불매운동과 함께 각종 민사소송의 위험에 휘말리게 될 뿐 아니라 여러 공문서와 자료에 사고사례로 회자되면서 잊히지 않는 직인으로 남아 두고두고 기업을 괴롭히기 때문이다.
오랜 법정 투쟁의 결과 운 좋게 행정소송 및 민사소송 최종 판결에 승소하더라도 이미 기업에게는 깊은 상처가 남게 되어 한동안은 그 후유증에 시달려야 한다. 장기간에 걸친 여러 소송으로 인한 금전적 피해와 함께 사고에 관련된 담당자(내부직원)들의 정신적, 육체적 피로도는 예측하기 어렵다.
고객정보를 유출한 기업들이 부담해야 하는 과징금 규모 역시 증가 추세로 이미 기업에게 상당한 부담이 되는 수준이며, 개인 법률사무소와 소규모 법무법인을 중심으로 조직화 체계화 되고 있는 민사소송은 배상금 규모와 소송건수 모두 증가하고 있다.
상황이 이렇다 보니 보안사고가 발생한 경우 기업들은 가급적 이를 숨기거나 은폐하고자 하는 유혹에 빠지기 쉽다. 유출사고가 발생하였으나 정부기관 신고도, 고객 통지도 하지 않고 있다가 한참 뒤에 유출사고 여부가 알려지는 경우가 대부분 이런 유혹에 빠지게 된 경우이다. 그러나 이런 결정은 은폐 시도가 발각되면 오히려 그로 인한 후폭풍까지 각오해야 하는 위험한 결정이다. 더 무거운 법적 처벌, 더 무거운 과징금과 더불어 고객과 대중들의 공분을 자초하는 자충수가 될 수 있기 때문이다. 따라서 기업이 선택할 수 있는 가장 좋은 방법은 오직 정직하고 우직하게 정면 돌파하는 것이다. 조금 더 힘들고 조금 더 어렵더라도 정직하게 나아가는 방법만이 최선인 것이다. 그렇다고 무턱대고 정면 돌파를 시도하는 것이 아니라 다음 세 가지 사항을 명심할 필요가 있다.
첫째, 침해사고 발생 초기에 사고 진화에 총력을 기울여야 한다. 사고 조치가 늦어지면서 시간을 오래 소모하는 것은 기업에게 불리한 상황을 초래할 수 있는 환경을 조성하게 된다. 각종 소셜미디어나 언론 등에서 관련사고 내용을 오래 언급하면 언급할수록 기업의 이미지에 악영향을 끼치게 되고, 사고의 후유증도 커지게 된다. 따라서 기업은 모든 역량을 동원해 초기에 사고를 진화하도록 최선을 다해야 한다. 고객과 언론이 원하는 사고내용과 진실을 정직하게 제공하고, 한바탕 크게 욕을 먹고 곤란을 겪더라도 빠른 사고 진화로 사람들의 관심에서 조속히 멀어져야만 하는 것이다.
둘째, 대중에게 진심으로 다가가야만 한다. 진심이 담긴 사과와 적극적인 보상 및 노력의 자세로써 대중의 분노를 잠재워야 한다. 어설프게 진실을 호도하기 위해 차일피일 미루다 가는 오히려 더 큰 파장으로 다가오게 되고 대처가 불가능한 상황까지 몰릴 수 있다. 대중은 진실을 알고 싶어 하고 진심 어린 사과와 보상을 원하는 것이므로 이러한 요구에 충실히 대응한다면 보안사고의 파장은 빠르게 진정될 수 있다. 진심 어린 사과와 빠른 대처, 노력하는 자세는 위기 극복 후 정직한 기업 이미지를 만들 호재로 활용할 수 있을지도 모른다.
셋째, 사고 처리 과정에서 법에서 요구하는 절차를 무조건 준수해야 한다. 정보유출 특히 개인정보 유출사고의 경우 관련법에서 요구하는 준수사항들이 존재한다. 사고를 처리하느라 우왕좌왕하는 사이 요구사항 준수의 시간제한을 넘기게 되면 법 위반에 따른 가중 처벌 가능성과 함께 위반에 따른 해명, 외부의 각종 의혹(은폐시도와 같은) 등에 시달릴 수 있다. 또한 실제 행정소송 및 민사소송에서도 불리하게 작용하게 되므로, 무조건 법 요구사항을 준수하도록 숙지해야만 한다.
흔히들 쓰는 격언 중 대도무문(大道無問)이란 말이 유명하다. “큰일에는 지름길이 없다” 정도로 해석하면 될 것이다. 개인정보 유출과 같은 보안사고도 마찬가지다. 발생하지 않도록 최선을 다해야겠지만 악의적 해커의 공격 대상이 되었다면 침해사고를 모두 막아내기란 불가능하다. 언제든 사고는 발생할 수 있다. 중요한 것은 사고가 발생한 경우 그 대응에 편법은 없다는 것이다. 오직 소처럼 우직한 정면 돌파만이 진정한 해법이다.
