Breaking
사이버 보안(Cybersecurity)
데이터 보안, 이전보다 더 중요해진다 "보안 침해당한 회사, 고객 발길 끊어져"
2019-05-28 23:54:56
장희주
▲데이터 유출은 궁극적으로 고객의 신뢰를 낮춘다(출처=123RF)

[라이헨바흐=장희주 기자] 새로운 연구에 따르면 데이터 유출 사건이 발생한 회사에 대한 대중들의 신뢰가 떨어진다고 한다. 미국 덴버에 본사를 둔 소프트웨어 개발 회사인 핑 아이덴티티 코포레이션(Ping Identity Corporation)이 실시한 연구에서 고객은 데이터 보안을 지키지 못한 회사에서 그러한 사례가 없는 회사로 거래처를 옮기는 성향이 있다고 밝혀졌다.

만약 어떤 회사에서 데이터 유출 사건이 발생한다면 고객은 이 회사가 제공하는 제품과 서비스를 신뢰할 수 없을 것이다. 이번 사례는 이러한 믿음이 진짜라는 사실을 밝혀낸 중요한 연구로 평가된다.

사이버 공격

얼마 전 영국 항공(British Airways), 메리어트 인터내셔널 호텔(Marriott International), 비전 다이렉트(Vision Direct), 유로스타(Eurostar) 및 피파(FIFA) 등의 조직이 데이터 유출 사고를 경험했다.

기술 업계에서 데이터 보안 사고가 발생하는 것은 어제오늘 일이 아니며, 최근에는 이런 데이터 유출 사건이 더욱 빈번하게 발생하고 있다. 소규모 기업부터 대규모 기업, 심지어는 국가 기관에 이르기까지 많은 단체들이 보안 위협에 시달리고 있으며 해커들이 노리는 데이터는 개인 정보에서부터 훨씬 더 민감한 데이터까지 다양하다.

오늘날 데이터 유출 사건은 거의 모든 유명 기업에서 발생한 바 있으며 사이버 테러는 점점 빈번하면서도 훨씬 심각한 사건이 되고 있다.

영국의 IT 거버넌스 업체인 제네브라 챔피언(Genevra Champion)에 따르면 모든 산업 분야의 모든 조직이 공격을 받을 위험을 최소화하기 위해 사이버 보안을 우선적으로 개선해야 하며 사이버 보안이 선행되지 않으면 결국 데이터 유출로 이어진다.

또한 다양한 국가들이 데이터를 보호하기 위해 기업 및 단체가 준수해야 할 사이버 보안 표준을 설정하고 있다.

조직은 일상적인 업무를 수행할 때 필수적으로 자사 시스템에 저장된 데이터를 보호해야 하며 이런 정보를 보호하지 않으면 회사의 공공 이미지에 장기적으로 해를 끼칠 수 있다. 궁극적으로는 회사의 몰락을 초래할 수 있으니 주의해야 한다.

보안 유출 사건 이후의 대중들의 태도와 행동

미국, 영국, 독일, 프랑스 등 일부 유럽 국가에서 3,000명이 넘는 대중들을 상대로 핑 아이덴티티가 실시한 설문 조사 결과가 발표됐다. 이들은 사이버 보안 침해 사건이 발생한 다음 조사 참여자들의 태도와 행동을 주시했다.

연구 결과에 따르면 5명 중 1명이 데이터 유출 피해를 입었으며 그중 34%가 재정적 손실을 겪은 것으로 나타났다.

데이터 유출 사건이 발생한 후 78%의 응답자가 특정 브랜드의 온라인 서비스 사용을 중단하기로 결정했으며 거의 절반(49%)이 최근에 데이터 유출 사고를 겪은 온라인 서비스 또는 응용 프로그램에 등록하지 않을 것이라고 응답했다.

또한 참여한 소비자 중 약 56%는 개인 정보 보호를 위해 증가된 사이버 보안 조치에 대해 어떤 추가 금액도 지불하지 않을 것이라고 말했다.

마지막으로 참가자의 59%는 온라인 서비스에 참여할 때 자신의 개인 데이터 보호에 우선 순위를 부여하겠다고 말했다. 12%의 응답자들만이 개인 데이터보다 직접적이고 편리한 사용자 경험을 우선하겠다고 말했다며 7%의 응답자만이 개인 사용자 인터페이스를 가장 우선시하겠다고 말했다.

핑 아이덴티티의 조사 결과에 따르면 소비자들은 자신의 개인 정보에 대해 더욱 우려하고 있으며 온라인 응용 프로그램 및 서비스 사용의 위험성을 걱정하고 있다. 또 대부분의 사람들이 개인 정보 보호는 개인의 책임이 아니라 그것을 위임받은 기업의 책임이라고 생각한다.

데이터 유출 위험 관리 : 개인 데이터를 관리하는 조직을 위한 안내서

규제 기관의 가이드 라인과 규칙을 신뢰하는 것은 회사, 특히 독립적인 소규모 회사에게는 지나치게 까다로운 것으로 보일 수 있다. 하지만 이런 법률이 제정된 데에는 이유가 있다. 이 법률은 데이터 침해의 영향을 완화하기 위한 조치이며, 사이버 공격이 일어나기 전에 예방하는 것을 목표로 한다.

제네브라 챔피언은 조직이 데이터 유출로 이어질 수 있는 잠재적인 보안 위협을 줄이기 위해 부과된 규정을 이해하고, 조정하고, 운영해야 한다고 조언했다. 이런 규정으로는 유럽 연합의 개인정보보호 규정(GDPR) 및 지불결제산업 데이터보안 표준(PCI DSS), 사이버 에센셜 인증 등이 있다.

▲설문 조사에 따르면 대중들 5명 중 1명이 데이터 유출 사건의 피해자였다(출처=123RF)

대부분의 데이터 유출은 사람의 실수로 인해 발생하며 이런 사고에 적절하게 대응하기 위해 직원들을 교육한다면 데이터 유출 위협을 완화하는 데 도움이 된다. 교육 과정으로는 P2P 교육(온라인 강좌, 사내 교육, 교실 기반 교육) 및 개별 학습 등이 있다.

가장 중요한 것은 조직의 산업이 사이버 관련 산업이 아니라고 하더라도 내부의 모든 직원들이 사이버 보안에 대해 관심을 갖고 경계해야 한다는 것이다. 제네브라 챔피언은 조직이 정보 시스템을 관리할 때 보안 조치에 대한 투자를 아끼지 말아야 한다고 말했다. 보안과 관련된 투자금을 아끼다가 더 큰 금전적 피해를 입을 우려가 있기 때문이다.

[라이헨바흐=장희주 기자]