Breaking
사이버 보안(Cybersecurity)
조직의 평판 위협하는 데이터 유출 사건 극복하는 방법
2019-06-26 18:29:55
조현
▲다수의 데이터 유출 사건이 일어나면서 많은 조직이 고객 및 직원들의 개인 정보 보호를 위해 사이버 보안을 강화하고 있다(사진=ⓒ셔터스톡)

[라이헨바흐=조현 기자] 고객, 그리고 기업의 일반 직원 혹은 임원급 직원이 조직의 컴퓨터 시스템 및 네트워크가 침해당했다는 사실을 발견한다면 많은 사람들이 해당 기업은 개인 정보를 중요시하지 않는 회사라고 간주하기 때문에 기업의 평판에는 좋지 않다.

데이터 유출 사건이 여러 뉴스의 헤드라인을 장식하기 시작한 이후 개인의 데이터는 해커들이 노리는 일순위 표적이 됐으며 사이버 공격은 꾸준히 증가하고 있다. 이에 따라 기업들은 고객과 직원들의 개인 정보 보호를 위해 사이버 보안 조치를 강화해야 한다.

또한 데이터 유출 사고가 발생했을 때 피해를 입은 모든 개인에게 이 사실을 알리는 것 또한 조직의 의무이며 사실 통보는 빠른 시기에 완료돼야 한다.

응답은 신속하고 단호하게

데이터 유출 사건에 대한 최신 사건 보고서에 따르면 보안 위반 사실을 처음으로 발견한 회사 임원들에게 이 사태는 악몽처럼 보인다.

조직과 회사는 이런 사건이 발생했을 경우 여러 뉴스 매체는 물론 개인 데이터가 도난당했을지 몰라 불안에 떨며 불만을 제기하는 고객들의 앞에 서서 사실을 알려야 하며 규제 당국과 해당 사안에 대해 조율해야 한다.

많은 데이터 보안 규정이 있지만 일반적으로 유럽 연합(EU)의 개인 정보 보호 규정(GDPR, General Data Protection Regulation)과 같은 엄격한 준수 정책이 잘 알려져 있다. EU는 이런 강력한 법안을 시행해 데이터 유출을 방지하고 발생하는 사건에 적절하게 대응한다.

GDPR은 조직이 일반인에게 데이터 유출 사건을 알리는 데 72시간을 부여한다(G33R). 침해 사고를 제 시간 내에 알리지 못하면서 회사는 1,000만 유로(약 127억 4,500만 원)의 벌금 또는 회사 연간 매출액의 2%의 벌금을 내야 한다.

조직이 이메일이나 전화 등을 이용해 고객들에게 데이터 보안 침해 사실에 대해 알리고 개인 데이터가 손상됐을지도 모른다고 전달하는 데 72시간이 주어지는 것은 얼핏 보기에는 쉬운 일처럼 보인다. 하지만 기업은 얼마나 많은 개인이 어느 정도의 피해를 입었는지, 사태가 얼마나 심각한지 등에 대한 정보를 공개해야 한다. 이를 조사하는 데는 시간이 걸린다.

그리고 사건 보고서에는 어떤 정보가 손상됐는지, 침해의 규모가 어떤지, 침해가 처음 발견된 시점은 언제인지, 그리고 회사는 어떤 조치를 취했는지 등에 관한 정보가 들어가야 한다. 게다가 기업은 데이터 보안 위반 사건이 공개됐을 때 일부 사람들의 권리가 위협받을 가능성이 있는지 여부도 살펴야 한다.

영국 IT 거버넌스의 루크 어윈은 "이런 요구사항은 그저 관료주의의 일부가 아니다. 조직이 신속하게 위반 사실을 공개하면 막대한 돈을 절약할 수 있으며 손상된 계정을 보호할 수 있다. 강력한 위반 복구 프로세스는 조직의 평판을 보호하거나 심지어 향상시켜 고객이 경쟁 업체로 변심할 가능성을 줄인다"고 말했다.

 

보고서 작성 시 중요한 참고 사항

고객에게 위반 사실을 알리기 위해 초기 보고서를 작성할 때 조직은 먼저 상황을 분석해야 한다. 앞서 언급했듯 보안 위반의 원인, 시스템 내에서 발생한 현재 피해, 회사가 취한 조치, 위반 사항이 발생한 시점 등을 알려야 하기 때문이다.

상황을 설명한 후에는 영향을 받은 정보가 어떤 것인지 평가해 데이터 유출과 관련된 다양한 유형의 정보를 조사해야 한다. 여기에는 영향을 받는 개인 데이터 유형(이름, 주소 등) , 손상된 개인 데이터의 기록 수 및 데이터 주제의 범주가 포함된다.

그리고 중대한 손상 범위가 있는지, 그리고 미래에 발생할 가능성이 있는 데이터 침해는 어떤 것인지도 설명해야 한다. 조직은 발생한 데이터 보안 위반의 영향을 설명하고 이것이 자사 직원의 실수인지 아니면 해커에 의한 것인지 밝혀야 한다. 인적 자원에 의한 오류로 밝혀질 경우 회사는 앞으로 발생할 사고를 방지하기 위해 직원 교육 프로그램을 제공했는지 여부를 다시 확인해야 한다.

마지막으로, 조직은 데이터 위반에 대한 조치의 취지와 현재 계획에 대한 세부 사항을 제공해야 한다. 개인에게 위반 사실을 알리고 위반 사건이 개인의 권리와 자유를 방해하거나 위험에 빠뜨리지는 않는지 평가해야 한다. 공급 업체 및 하청 업체 등 데이터 보안이 위협받은 기업과 연관된 다른 조직도 마찬가지로 이런 작업을 수행해야 한다.

 

데이터 보호 책임자

조직은 시스템의 사이버 보안을 감독하기 위해 데이터 보호 책임자(DPO, Data Protection Officers)를 고용해야 한다. 그러나 현장에 DPO에 적합한 전문가가 부족한 점, 그리고 많은 조직이 상근 DPO를 필요로 한다는 점을 고려할 때 상근 DPO를 보유할 수 있는 회사는 그리 많지 않다.

즉, 거의 모든 산업 분야에서 DPO에 대한 수요가 높지만 공급이 부족하다. 이에 따라 상근 DPO를 고용할 수 없는 조직은 외부의 전문 업체와 계약을 맺어 사이버 보안을 관리해야 한다.

▲대기업이 아니라면 아웃소싱 데이터 보호 담당관을 고용해야 한다(사진=ⓒ게티이미지)
[라이헨바흐=조현 기자]