늑장 공개했다간 ‘된서리’

 

후속대응 잘 하면 이미지 개선



미국 기업들이 해킹으로 인해 골머리를 앓고 있다. 인터넷 망에 만만치 않은 비용을 쏟아붓고 있지만 해킹 피해는 끊이질 않기 때문이다. 기업들은 해킹을 처리하는 기준을 놓고도 고심을 하고 있다. 해킹 이후 기업이 어디까지 책임을 져야 하며, 어떤 형태의 후속 서비스를 제공해야 하는지에 대해서는 법적인 논란이 뒤따르고 있다. 상황이 심각해지면서 기업체 경영진들도 더 이상 사이버 보안에 수동적인 접근을 취할 수 없다는 입장이다. 해킹의 피해는 기업이 보유하고 있던 소비자의 정보가 유출되면서 제2, 제3의 피해자들이 양산될 수 있기 때문이다.

- 지난 5월 1일 소니컴퓨터엔터테인먼트의 히라이 가즈오 대표(사진 가운데)가 도쿄에서 기자회견을 열고 최근 발생한 게임 서비스‘플레이스테이션 네트워크’이용자들의 개인 정보 해킹 사건에 대해 사과하고 고개를 숙였다.
- 지난 5월 1일 소니컴퓨터엔터테인먼트의 히라이 가즈오 대표(사진 가운데)가 도쿄에서 기자회견을 열고 최근 발생한 게임 서비스‘플레이스테이션 네트워크’이용자들의 개인 정보 해킹 사건에 대해 사과하고 고개를 숙였다.

해킹 피해 사실 공개 여부 각 주마다 달라

이메일을 이용한 광고·마케팅 전문업체인 엡실론 데이터 매니지먼트(Epsilon Data Management)는 최근 자신들의 데이터베이스가 전문해커들로부터 공격을 받았던 사실을 확인하고 고민에 빠졌다. 입실론의 경영진은 이 문제를 공개하느냐 아니면 해킹을 당했다는 사실을 덮어두고 후속 조치만을 이어갈 것인가를 궁리한 것이다.



얼라이언스 데이터 시스템의 자회사인 엡실론은 기업의 마케팅용 이메일을 고객들에게 전송하는 업무를 해왔다. 해킹을 통해 노출된 정보는 개별 소비자가 아닌 기업들의 정보였다.



기업을 고객으로 하는 이 같은 마케팅 업체 경우에는 피해자가 개별 소비자가 아니란 이유로 미국 내에서는 해킹 피해 사실을 공개해야 하는가에 대한 기준이 각 주마다 다르다.



만일 해킹을 당한 내용이 신용카드 정보나 혹은 사회보장제도 번호, 의료관련 정보 등일 경우에는 반드시 이를 공표하고 이에 따른 후속 피해를 막을 수 있도록 법으로 명시돼 있다.



한국의 경우라면 신용카드 정보를 비롯해 주민등록번호, 혹은 의료보험증 번호 등이 해킹 내용에 포함돼 있을 경우에는 해킹을 당한 기업은 반드시 이를 공표하고 그에 따른 후속조치를 해야 한다는 말이다.



엡실론은 이 사실을 즉각 공개하고 후속대응팀을 구성해 대책에 착수하는가 하면, 이를 기업들에게 통보했다. 여기에는 내로라하는 업체들이 포함돼 있었다. 엡실론이 공개한 해킹목록에는 타겟을 비롯해 JP모건 체이스 등 대기업들이 들어 있었다.



엡실론의 이 같은 결정은 다른 업체들에게도 해킹이 발생한 이후 어떻게 대처해야 하는지에 대해 새삼 생각하게 한 계기가 됐다.



과거 미국 기업들은 자사의 컴퓨터 망이 해킹당하더라도 이를 쉬쉬하면서 숨기는 데 급급했다. 해킹에 따른 후유증이 발생해도 소극적으로 대응하는 것이 보통이었다. 하지만 이러한 소극적 대응이 결국 자신들에게 불리하게 작용한다는 사실을 깨달은 것이다.



미국 기업들은 법률전문가와 홍보 전문가, 현장검증 전문가 등 전문인력을 고용, 만일 해킹 사고가 날 경우 이를 어떻게 처리하고, 어디까지 공개하고 대응할 것인가에 대한 가이드라인을 나름대로 규정하고 있다.



이는 컴퓨터에 문외한인 경영진들도 해킹이나 컴퓨터 관련 사고에 대해 개념적으로 대비를 하고 있다는 것을 방증한다. 이메일을 주고받으면서 파일을 첨부하거나 혹은 트위터나 페이스북을 하는 경영진에게 ‘컴퓨터 전문가’라고 부르는 것과는 천양지차다.



미국 내에서 해킹을 당했다고 사실을 공개하는 자체가 소비자들에 크게 비난을 받거나 혹은 기업의 이미지가 실추되는 것이 아니라는 인식이 팽배했다는 얘기다. 물론 해킹이 그만큼 많기도 하지만 말이다.



해킹을 당했더라도 이를 잘 처리하고 대응한 이후에는 소비자들의 신뢰도가 더 오르고 실제 기업 이미지가 더 개선된 것으로 나타난 사례도 많다.



이를 잘 이용하는 기업이 바로 구글이다. 지난 2010년 중국에서 발원한 해킹사고를 공개함으로써 오히려 구글에 대한 이미지는 높아졌다. 또 EMC의 RSA 보안팀은 해커들이 어떻게 보안망을 뚫고 들어와 사고를 냈는지를 명확히 밝혀냄으로써 자신들의 능력을 한껏 과시했다.



지난 6월 시티그룹은 해커의 공격으로 인해 신용카드 회원 20만명의 개인정보가 해킹 당했다고 밝혔다. 이후 그 피해자 수가 2배에 달한다는 사실을 추가로 공개했다. 그러나 시티그룹이 회원들에게 새로운 카드를 발급하기로 했다는 대응방침을 밝히면서 오히려 신뢰는 더 쌓였다. 적절한 대응을 했다는 평가를 받으며 이미지를 제고한 것이다.



해킹사고 시 이에 후속 대응하거나 보안장비를 설치하기 위해 추가비용이 들어가기는 하지만 그렇다고 소비자들이 다른 곳으로 도망가지는 않는다.



의류 등을 다루는 체인 기업인 티제이 맥스(TJ Maxx)의 파트너사인 티제이 엑스(TJX)는 지난 2007년 해커가 자사의 컴퓨터 망을 공격해 9400만명에 달하는 고객의 신용카드와 현금카드 정보를 빼내갔다고 밝힌 이래 고객 수는 지금까지 7%가 늘어났다.



하지만 아직도 기업들은 해킹에 제대로 대응하지 못한 채, 공개여부도 결정짓지 못하며 우왕좌왕한다. 대표적인 업체가 소니다. 소니는 최근 해커들이 무려 1억명에 달하는 고객정보를 빼내가는 해킹사고를 당하고도 며칠 뒤에야 이를 공개하는 자세를 보였다. 소니는 이후에도 그 인터넷 망을 통해 접수된 신용카드 정보까지 해킹됐는지 여부에 대해서는 공개하지 않고 있다.

- 최근 미국에서는 해킹이 빈발하면서 기업들이 골머리를 썩고 있다.
- 최근 미국에서는 해킹이 빈발하면서 기업들이 골머리를 썩고 있다.

소극 대응 소니, 소비자 신뢰 잃어

이 때문에 한때 경영혁신의 대명사로 불리던 소니는 주먹구구식 보안 대처로 소비자의 신뢰를 점차 잃고 있다. 미국의 일부 언론들은 ‘미국 하원의 저주’라는 제목으로 도요타에 이어 소니의 북미 시장 실적이 대폭 하락할 것으로 보고 있다. 소니에 대한 소송이 40건을 돌파하는 등 손해배상 비용도 눈덩이처럼 불어날 가능성이 높아졌다.



이에 반해 미국 기업들은 해킹 사고가 난 뒤 소비자들에게 이를 적극적으로 알려주고 있다. 어떤 일이 발생했으며, 피해는 어느 정도이며, 이에 대한 처리가 어떻게 진행될 것인지를 자세히 공개하고 있다.



시티그룹 역시 해킹 사고 이후 신용카드 정보와 이름, 이메일 주소 등이 유출됐지만 사회보장번호나 생년월일은 노출되지 않아 개인정보 도용은 어려울 것이라고 설명한 바 있다.



엡실론의 경우에도 최고경영진은 1년에 무려 400억개 이상의 이메일을 보내고 있는 가운데에서 이번 사고로 인해 영향을 받는 것은 단 2%에 불과하다고 밝혔다. 한편 미국 정부는 최근 해킹 피해가 잇따르자 정부 및 민간 전산망 침투에 대한 처벌을 대폭 강화하는 방안을 추진하고 있다. 미 정부는 지난 5월 국가안보를 위협하는 해커에 최고 징역 20년형을 선고할 수 있도록 처벌을 강화하는 입법 제안을 의회에 보냈다.



정부 전산망에 침투해 국가 안보를 위협할 경우 현행 최고 징역 10년에서 20년으로, 정보 도용을 위해 컴퓨터에 침투한 경우에는 현행 최고 5년에서 10년으로 각각 처벌을 강화하는 내용이다.