연말연시, 고객 정보 노리는 해커 늘어나고, 유출 사고도 많아지고
유출 사고 자체도 문제지만, 그걸 발표하고 알리는 과정에도 실수 많아
[보안뉴스 문가용 기자] 연말연시라 그런가, 매리어트 인터네셔널(Marriot International)을 비롯해 갑자기 대형 정보 유출 사고들이 일어나고 있다. 그러면서 이러한 사실을 공개하는 올바른 방법과 절차에 대한 이야기들이 나오고 있다.
[이미지 = iclickart]
매리어트 이야기를 해보자면, 사고에 대한 발표 이후 집단 소송이 줄지어 시작됐다. 그 중 몇 건은 “매리어트가 침해 사실을 지나치게 늦게 발표했다”는 것에 방점을 찍고 있다. “사건에 대한 정보를 공개하지 않고 있다”는 비판도 있었다. 앞으로도 비슷한 부분에서 소송을 제기하는 사람들이 더 있을 것으로 보인다.
유출 사고와 관련된 거의 모든 이야기가 그렇게 흘러가듯이 이번 사건도 그런 식으로 귀결되고 있다. 매리어트에는 지금보다 더 강력한 탐지 및 대응 기능이 필요하다, 데이터를 최소한으로 수집하고 안전하게 관리해야 한다, 암호화 기능을 적극 도입해야 한다, 접근 통제를 강화해야 한다, 강력한 인증 시스템이 필요하다...
보안 업체 사이브러리(Cybrary)의 보안 전문가 켄 언더힐(Ken Underhill)은 “실제 침해 사고는 약 4년 전에 일어났고, 그 사실을 발표 2달 전쯤에 매리어트가 알게 되었다는 건 여러 모로 심각한 문제”라고 지적한다. “5억 건의 정보가 관련된 사건인데, 이를 알리기까지 두 달이나 걸렸다는 건 어떻게 생각해도 이해하기가 힘듭니다.” 그러면서 언더힐을 비롯한 여러 보안 전문가들은 유출 사고를 공개해야 하는 많은 기업들이 흔히 저지르는 실수들을 몇 가지 꼽았다.
1. 계획이 없다
사고가 발생하면 사고가 마비된다. 그러니 가장 좋은 건 평상 시부터 유출 사고가 일어났을 경우를 대비해 보고와 발표 절차를 매뉴얼화 시키는 것이다. 보안 업체 트립와이어(Tripwire)의 제품 관리 및 전략 부문 부회장인 팀 얼린(Tim Erlin)은 “대응을 어떤 절차로 할지 논의하고 결정할 수 있는 여러 타이밍 중 최악은 바로 유출이 일어나고 있을 때”라고 말한다. “중요한 건 사고 후 대응에 모든 부서들이 참여해야 한다는 것입니다. 즉 IT나 보안 부서만이 아니라 마케팅, 홍보, 법무, 인사 팀 등이 전부 이 사안에 대해 알고 있어야 한다는 것이죠.”
보안 업체 서커던스(Circadence)의 부회장 로라 리(Laura Lee)도 이 부분에 동의하면 설명을 덧붙였다. “발표문을 작성할 사람, 발표문에 들어갈 내용을 결정할 사람, 발표 시기를 결정할 사람을 먼저 정해두어야 합니다. 가이드라인도 있어야 하겠죠. 이 부분을 잘 해결하지 않는다면 브랜드 가치에 손상이 오며, 한 번 고소당할 걸 열 번 당하게 됩니다.”
2. 감추거나 사건을 축소하려 든다
어쩌면 가장 큰 실수인데, 유출 사고 자체를 은폐하거나 크게 축소시켜 별 거 아닌 식으로 발표하려고 시도하는 것이다. 이게 제대로 성공한 사례도 없거니와, 그 행위 자체가 나중에 불법으로 판결될 가능성도 높다. 트립와이어의 얼린은 “은폐나 축소는 높은 확률로 실패할 뿐만 아니라 사건을 더 키운다”고 설명한다. “사업체나 조직으로서 사회와 고객에 어떠한 책임을 가지고 있고, 어떤 약속을 하고 있는지 분명히 이해할 필요가 있습니다. 그런 것들이 간과될 때 조직은 ‘헛똑똑이 짓’을 하게 됩니다.”
3. 늑장 발표를 한다
수사 기관의 특별한 요청이 있거나, 규제 사항에 걸리는 부분이 존재하지 않는 한 유출 사고에 대해 늦게 발표할 필요가 없다. 보안 업체 가디코어(GuardiCore)의 수석 엔지니어인 데이브 클레인(Dave Klein)은 “늦게 알려야 할 경우가 없는 건 아니지만, 그런 경우 굉장히 타당해서 모두가 수긍할 만한 이유가 있는 법”이라고 지적한다. 그러면서 “그렇다고 성급하게 발표하지는 말아야 한다”고도 지적한다. “최종 발표 내용을 보안 전문가가 검토해야 합니다. 오해가 있을 수 있는 내용, 부정확한 사실들을 빼내거나 고쳐야 하기 때문이죠.”
유출 사고고 발생 시 가장 중요한 덕목은 속도와 명확성이라고 보안 업체 레드실(RedSeal)의 CTO인 마이크 로이드(Mike Lloyd)는 강조한다. 유출 사고 후 대응이 그리 좋지 못했던 조직들 전부 이 부분에서 실패한 것이라는 로이드는 “사건 수습을 제대로 하지도 못하고, 그래서 발표도 늦고, 내용도 부적절하며, 그걸 알기에 사건을 축소하거나 무마시키려는 시도가 나타난다”며 악순환을 묘사했다.
“물론 누군가 불법적으로 침투해 들어오는 것은 예상할 수 없는 일입니다. 누가 예고하고 쳐들어오나요? 그러니 조직 상황을 더 깊이 이해하고 있어야 합니다. 조직 내부를 더 상세히 알면 알수록 이상 현상을 더 빨리 파악할 수 있습니다. 그러면 더 빨리 대응하고 보고하고 알릴 수 있게 되죠. 정상적인 상태에서의 내부 운영 지도를 가지고 있는 게 중요합니다. 또한 주요 자산과 상호 관계에 대한 것도 전부 파악하고 있어야 합니다. 이 부분에서 성실히 준비되어 있으면 ‘속도’의 측면을 충분히 해결할 수 있습니다. 하지만 사건이 터지고서 이 작업을 시작한다면, 당연히 대응이 늦을 수밖에 없겠죠.”
4. 너무 많은 정보를 공유한다
빨리 발표한다고 있는 이야기 없는 이야기 다 공개할 필요는 없다. 어떤 말을 할 것인지 신중하게 골라야 한다. 트립와이어의 얼린은 “유출 사고를 알려야 한다는 것 자체는 여러 나라에서 규정으로 정하고 있지만, 발표 내용까지 정해진 것은 없다”고 설명한다. 그러니 기업과 고객, 투자자와 시장에 가장 피해가 적을 수 있는 내용이 무엇인지 선별하는 것이 필요하다.
일단 보안 사고에 있어서 일어난 일을 지나치게 상세하게 공개하는 건 위험하다. 다른 공격자들에게 범죄의 방법을 친절하게 알려주는 꼴이기 때문이다. 생각지도 못한 곳에서 이들은 힌트를 얻어간다. 이를 테면 작년의 에퀴팩스(Equifax) 사건 당시, 정보가 유출된 것 자체는 빠르게 공개됐는데, 그 과정에서 아파치 스트러츠(Apache Struts) 오류를 통한 공격이었다는 사실까지 발표됐다. 불필요한 내용이었다. 이 때문에 그 후부터 아파치 스트러츠 관련 공격과 취약점 발견이 줄을 이었던 것이다.
가디코어의 클레인은 “사이버 공격에 있었던 취약점까지 공개하려면, 그 취약점이 적어도 조직 내에서는 완전히 해결되었다는 근거와 확신을 가진 상태여야 한다”고 강조한다. 그렇지 않으면 “패치가 발표되지도 않았는데 취약점을 책임감 없이 세상에 공개하는 것과 다름이 없다”고 덧붙였다. “사건에 대해 상세히, 정성껏 알리는 것과, 쓸데없이 자세히 알리는 것은 다른 겁니다.”
5. 너무 적은 정보를 공유한다
반대의 측면에서, 정보를 너무 적게 공유하는 것도 문제다. 고객에게 유출 사고 사실을 알리는 것의 목적은, “범인이 이러한 정보에 손을 댔으니, 얼른 스스로들을 보호하십시오! 2차 피해를 막읍시다!”라는 걸 기억해야 한다. 얼린은 “고객 입장에서 ‘내가 피해자가 됐을 가능성이 있는데, 조치를 취할 수 있는 건 없다’는 것만큼 짜증나는 일은 없다”고 강조한다. “고객들이 뭔가 행동을 취할 수 있도록 해야 합니다.”
보안 업체 로그리듬(LogRhythm)의 CISO인 제임스 카더(James Carder)는 “충분히 말하지 않는다는 것도 거짓이 될 수 있다”고 지적한다. “성의 없이 발표하거나, 아무런 도움이 되지 않는 내용만 발표한다는 건, 고객을 무시하는 것과 같습니다. 브랜드 신뢰에 대한 손상이 가장 많이 훼손될 때가 이럴 때입니다.” 그러므로 조직은 침해 사고와 대응에 관련된 전문가를 영입해서 피해를 최소화시키는 게 현명하다. “침해 사고가 일어났다고 해서 모든 게 끝난 건 아닙니다. 그 후로도 얼마든지 피해를 줄일 수 있는 방법들이 존재합니다.”
6. 유관기관에 연락하지 않는다
사건을 조사할 때 수사 기관의 도움을 받는다는 건 굉장히 좋은 일이다. 이들이 사건을 수사하면서 해주는 조언들은 실질적일 수 있고, 특히 사건에 대응하면서 자기도 모르게 저지르는 불법 행위를 관련 정부 기관이 막아줄 수도 있기 때문이다. 카더는 “사법 기관들이나 수사 기관이 발표 내용을 점검해주는 경우가 대부분”이라며 “수사를 진행하기 위해서라도 기업의 대응 방법을 결정해주는 게 그런 기관들의 심리”라고 설명한다. “즉 무료로 법을 잘 아는 전문가의 도움을 받는 것과 다름이 없습니다.”
또한 공공 기관의 전문가들이 가진 기술력도 무시 못 할 부분이다. 이런 기관 전문가들과 함께 조사를 진행하면서 그 동안 갖지 못했던 전문성이 추가되는 경우도 있다. “정부 기관이 사건을 어떻게 다루는지, 어떤 기술을 동원하고, 어떤 절차를 밟는지를 옆에서 보는 건 큰 공부가 됩니다. 유출 사고를 다루는 과정에서 정부 기관과 협력한다는 건 신뢰 회복에도 도움이 되고요. 정부에 숨기지 않고 이 사건을 철저히 조사하고 있다는 이미지가 형성되는 게 나쁘게 작용할 수 없습니다.”
7. IT 전문가들에게만 사고 처리를 맡긴다
물론 사이버 보안 사고는 IT 기술과 관련되어 있다. 범인도 IT 기술에 대한 해박한 지식을 자랑할 때가 많다. 그러나 피해를 보는 건 IT 부분만이 아니라, 조직 전체인 경우가 대부분이다. 즉 사건은 IT라는 부분으로 시작되었을지 모르지만, 한 번 터지면 모두의 문제가 된다는 것이다. 얼린은 “그러므로 이걸 IT 담당자들에게만 미뤄두면 안 된다”고 설명한다.
보안 업체 비트디펜더(BitDefender)의 위협 연구 및 보고 전문가인 보그단 보테자투(Bogdan Botezatu) 역시 “데이터 사고 발생 시 대응 방안에 대한 전 조직적인 매뉴얼이 미리 마련되어 있지 않은 곳은 소중한 시간을 낭비하게 된다”고 강조한다. “불은 이미 나고 있는데, 그걸 일부 사람들에게만 책임을 지워서 끄라고 하면, 자기에게 손해가 안 돌아가나요? 보안 사고가 자기에게 피해로 돌아오지 않게 하기 위해서라도 대응에 모두가 참여해야 합니다.”
이는 IT 보안 팀의 문제이기도 하다. “보통 자체적으로 일을 해결하려고 하는 경우가 많습니다. 팀 내에서 조사하고, 감사하고, 사건 규모를 파악한 뒤, 자신들이 처리할 수 없겠다 싶을 때 법무 팀이나 경영진에 이를 알립니다. 여기서도 시간이 누수 됩니다. 공격자들에게는 여유가 생기는 것이고요. 협업과 공유를 통해 피해를 공격자에게 더 많은 기회를 제공하지 않을 수 있습니다.”
3줄 요약
1. 유출 사고 발생하고부터 대응 계획 세우면 안 됨. 평상시에 세워두어야 함.
2. 빨리 알리고, 적당히 알리는 것이 브랜드 신뢰 하락을 최소화 하는 길.
3. 사건을 고지하는 가장 큰 목적은 “고객들이 행동을 취하게 함으로써 추가 피해 확산을 막는 것.”
[국제부 문가용 기자(globoan@boannews.com)]
유출 사고 자체도 문제지만, 그걸 발표하고 알리는 과정에도 실수 많아
[보안뉴스 문가용 기자] 연말연시라 그런가, 매리어트 인터네셔널(Marriot International)을 비롯해 갑자기 대형 정보 유출 사고들이 일어나고 있다. 그러면서 이러한 사실을 공개하는 올바른 방법과 절차에 대한 이야기들이 나오고 있다.
[이미지 = iclickart]
매리어트 이야기를 해보자면, 사고에 대한 발표 이후 집단 소송이 줄지어 시작됐다. 그 중 몇 건은 “매리어트가 침해 사실을 지나치게 늦게 발표했다”는 것에 방점을 찍고 있다. “사건에 대한 정보를 공개하지 않고 있다”는 비판도 있었다. 앞으로도 비슷한 부분에서 소송을 제기하는 사람들이 더 있을 것으로 보인다.
유출 사고와 관련된 거의 모든 이야기가 그렇게 흘러가듯이 이번 사건도 그런 식으로 귀결되고 있다. 매리어트에는 지금보다 더 강력한 탐지 및 대응 기능이 필요하다, 데이터를 최소한으로 수집하고 안전하게 관리해야 한다, 암호화 기능을 적극 도입해야 한다, 접근 통제를 강화해야 한다, 강력한 인증 시스템이 필요하다...
보안 업체 사이브러리(Cybrary)의 보안 전문가 켄 언더힐(Ken Underhill)은 “실제 침해 사고는 약 4년 전에 일어났고, 그 사실을 발표 2달 전쯤에 매리어트가 알게 되었다는 건 여러 모로 심각한 문제”라고 지적한다. “5억 건의 정보가 관련된 사건인데, 이를 알리기까지 두 달이나 걸렸다는 건 어떻게 생각해도 이해하기가 힘듭니다.” 그러면서 언더힐을 비롯한 여러 보안 전문가들은 유출 사고를 공개해야 하는 많은 기업들이 흔히 저지르는 실수들을 몇 가지 꼽았다.
1. 계획이 없다
사고가 발생하면 사고가 마비된다. 그러니 가장 좋은 건 평상 시부터 유출 사고가 일어났을 경우를 대비해 보고와 발표 절차를 매뉴얼화 시키는 것이다. 보안 업체 트립와이어(Tripwire)의 제품 관리 및 전략 부문 부회장인 팀 얼린(Tim Erlin)은 “대응을 어떤 절차로 할지 논의하고 결정할 수 있는 여러 타이밍 중 최악은 바로 유출이 일어나고 있을 때”라고 말한다. “중요한 건 사고 후 대응에 모든 부서들이 참여해야 한다는 것입니다. 즉 IT나 보안 부서만이 아니라 마케팅, 홍보, 법무, 인사 팀 등이 전부 이 사안에 대해 알고 있어야 한다는 것이죠.”
보안 업체 서커던스(Circadence)의 부회장 로라 리(Laura Lee)도 이 부분에 동의하면 설명을 덧붙였다. “발표문을 작성할 사람, 발표문에 들어갈 내용을 결정할 사람, 발표 시기를 결정할 사람을 먼저 정해두어야 합니다. 가이드라인도 있어야 하겠죠. 이 부분을 잘 해결하지 않는다면 브랜드 가치에 손상이 오며, 한 번 고소당할 걸 열 번 당하게 됩니다.”
2. 감추거나 사건을 축소하려 든다
어쩌면 가장 큰 실수인데, 유출 사고 자체를 은폐하거나 크게 축소시켜 별 거 아닌 식으로 발표하려고 시도하는 것이다. 이게 제대로 성공한 사례도 없거니와, 그 행위 자체가 나중에 불법으로 판결될 가능성도 높다. 트립와이어의 얼린은 “은폐나 축소는 높은 확률로 실패할 뿐만 아니라 사건을 더 키운다”고 설명한다. “사업체나 조직으로서 사회와 고객에 어떠한 책임을 가지고 있고, 어떤 약속을 하고 있는지 분명히 이해할 필요가 있습니다. 그런 것들이 간과될 때 조직은 ‘헛똑똑이 짓’을 하게 됩니다.”
3. 늑장 발표를 한다
수사 기관의 특별한 요청이 있거나, 규제 사항에 걸리는 부분이 존재하지 않는 한 유출 사고에 대해 늦게 발표할 필요가 없다. 보안 업체 가디코어(GuardiCore)의 수석 엔지니어인 데이브 클레인(Dave Klein)은 “늦게 알려야 할 경우가 없는 건 아니지만, 그런 경우 굉장히 타당해서 모두가 수긍할 만한 이유가 있는 법”이라고 지적한다. 그러면서 “그렇다고 성급하게 발표하지는 말아야 한다”고도 지적한다. “최종 발표 내용을 보안 전문가가 검토해야 합니다. 오해가 있을 수 있는 내용, 부정확한 사실들을 빼내거나 고쳐야 하기 때문이죠.”
유출 사고고 발생 시 가장 중요한 덕목은 속도와 명확성이라고 보안 업체 레드실(RedSeal)의 CTO인 마이크 로이드(Mike Lloyd)는 강조한다. 유출 사고 후 대응이 그리 좋지 못했던 조직들 전부 이 부분에서 실패한 것이라는 로이드는 “사건 수습을 제대로 하지도 못하고, 그래서 발표도 늦고, 내용도 부적절하며, 그걸 알기에 사건을 축소하거나 무마시키려는 시도가 나타난다”며 악순환을 묘사했다.
“물론 누군가 불법적으로 침투해 들어오는 것은 예상할 수 없는 일입니다. 누가 예고하고 쳐들어오나요? 그러니 조직 상황을 더 깊이 이해하고 있어야 합니다. 조직 내부를 더 상세히 알면 알수록 이상 현상을 더 빨리 파악할 수 있습니다. 그러면 더 빨리 대응하고 보고하고 알릴 수 있게 되죠. 정상적인 상태에서의 내부 운영 지도를 가지고 있는 게 중요합니다. 또한 주요 자산과 상호 관계에 대한 것도 전부 파악하고 있어야 합니다. 이 부분에서 성실히 준비되어 있으면 ‘속도’의 측면을 충분히 해결할 수 있습니다. 하지만 사건이 터지고서 이 작업을 시작한다면, 당연히 대응이 늦을 수밖에 없겠죠.”
4. 너무 많은 정보를 공유한다
빨리 발표한다고 있는 이야기 없는 이야기 다 공개할 필요는 없다. 어떤 말을 할 것인지 신중하게 골라야 한다. 트립와이어의 얼린은 “유출 사고를 알려야 한다는 것 자체는 여러 나라에서 규정으로 정하고 있지만, 발표 내용까지 정해진 것은 없다”고 설명한다. 그러니 기업과 고객, 투자자와 시장에 가장 피해가 적을 수 있는 내용이 무엇인지 선별하는 것이 필요하다.
일단 보안 사고에 있어서 일어난 일을 지나치게 상세하게 공개하는 건 위험하다. 다른 공격자들에게 범죄의 방법을 친절하게 알려주는 꼴이기 때문이다. 생각지도 못한 곳에서 이들은 힌트를 얻어간다. 이를 테면 작년의 에퀴팩스(Equifax) 사건 당시, 정보가 유출된 것 자체는 빠르게 공개됐는데, 그 과정에서 아파치 스트러츠(Apache Struts) 오류를 통한 공격이었다는 사실까지 발표됐다. 불필요한 내용이었다. 이 때문에 그 후부터 아파치 스트러츠 관련 공격과 취약점 발견이 줄을 이었던 것이다.
가디코어의 클레인은 “사이버 공격에 있었던 취약점까지 공개하려면, 그 취약점이 적어도 조직 내에서는 완전히 해결되었다는 근거와 확신을 가진 상태여야 한다”고 강조한다. 그렇지 않으면 “패치가 발표되지도 않았는데 취약점을 책임감 없이 세상에 공개하는 것과 다름이 없다”고 덧붙였다. “사건에 대해 상세히, 정성껏 알리는 것과, 쓸데없이 자세히 알리는 것은 다른 겁니다.”
5. 너무 적은 정보를 공유한다
반대의 측면에서, 정보를 너무 적게 공유하는 것도 문제다. 고객에게 유출 사고 사실을 알리는 것의 목적은, “범인이 이러한 정보에 손을 댔으니, 얼른 스스로들을 보호하십시오! 2차 피해를 막읍시다!”라는 걸 기억해야 한다. 얼린은 “고객 입장에서 ‘내가 피해자가 됐을 가능성이 있는데, 조치를 취할 수 있는 건 없다’는 것만큼 짜증나는 일은 없다”고 강조한다. “고객들이 뭔가 행동을 취할 수 있도록 해야 합니다.”
보안 업체 로그리듬(LogRhythm)의 CISO인 제임스 카더(James Carder)는 “충분히 말하지 않는다는 것도 거짓이 될 수 있다”고 지적한다. “성의 없이 발표하거나, 아무런 도움이 되지 않는 내용만 발표한다는 건, 고객을 무시하는 것과 같습니다. 브랜드 신뢰에 대한 손상이 가장 많이 훼손될 때가 이럴 때입니다.” 그러므로 조직은 침해 사고와 대응에 관련된 전문가를 영입해서 피해를 최소화시키는 게 현명하다. “침해 사고가 일어났다고 해서 모든 게 끝난 건 아닙니다. 그 후로도 얼마든지 피해를 줄일 수 있는 방법들이 존재합니다.”
6. 유관기관에 연락하지 않는다
사건을 조사할 때 수사 기관의 도움을 받는다는 건 굉장히 좋은 일이다. 이들이 사건을 수사하면서 해주는 조언들은 실질적일 수 있고, 특히 사건에 대응하면서 자기도 모르게 저지르는 불법 행위를 관련 정부 기관이 막아줄 수도 있기 때문이다. 카더는 “사법 기관들이나 수사 기관이 발표 내용을 점검해주는 경우가 대부분”이라며 “수사를 진행하기 위해서라도 기업의 대응 방법을 결정해주는 게 그런 기관들의 심리”라고 설명한다. “즉 무료로 법을 잘 아는 전문가의 도움을 받는 것과 다름이 없습니다.”
또한 공공 기관의 전문가들이 가진 기술력도 무시 못 할 부분이다. 이런 기관 전문가들과 함께 조사를 진행하면서 그 동안 갖지 못했던 전문성이 추가되는 경우도 있다. “정부 기관이 사건을 어떻게 다루는지, 어떤 기술을 동원하고, 어떤 절차를 밟는지를 옆에서 보는 건 큰 공부가 됩니다. 유출 사고를 다루는 과정에서 정부 기관과 협력한다는 건 신뢰 회복에도 도움이 되고요. 정부에 숨기지 않고 이 사건을 철저히 조사하고 있다는 이미지가 형성되는 게 나쁘게 작용할 수 없습니다.”
7. IT 전문가들에게만 사고 처리를 맡긴다
물론 사이버 보안 사고는 IT 기술과 관련되어 있다. 범인도 IT 기술에 대한 해박한 지식을 자랑할 때가 많다. 그러나 피해를 보는 건 IT 부분만이 아니라, 조직 전체인 경우가 대부분이다. 즉 사건은 IT라는 부분으로 시작되었을지 모르지만, 한 번 터지면 모두의 문제가 된다는 것이다. 얼린은 “그러므로 이걸 IT 담당자들에게만 미뤄두면 안 된다”고 설명한다.
보안 업체 비트디펜더(BitDefender)의 위협 연구 및 보고 전문가인 보그단 보테자투(Bogdan Botezatu) 역시 “데이터 사고 발생 시 대응 방안에 대한 전 조직적인 매뉴얼이 미리 마련되어 있지 않은 곳은 소중한 시간을 낭비하게 된다”고 강조한다. “불은 이미 나고 있는데, 그걸 일부 사람들에게만 책임을 지워서 끄라고 하면, 자기에게 손해가 안 돌아가나요? 보안 사고가 자기에게 피해로 돌아오지 않게 하기 위해서라도 대응에 모두가 참여해야 합니다.”
이는 IT 보안 팀의 문제이기도 하다. “보통 자체적으로 일을 해결하려고 하는 경우가 많습니다. 팀 내에서 조사하고, 감사하고, 사건 규모를 파악한 뒤, 자신들이 처리할 수 없겠다 싶을 때 법무 팀이나 경영진에 이를 알립니다. 여기서도 시간이 누수 됩니다. 공격자들에게는 여유가 생기는 것이고요. 협업과 공유를 통해 피해를 공격자에게 더 많은 기회를 제공하지 않을 수 있습니다.”
3줄 요약
1. 유출 사고 발생하고부터 대응 계획 세우면 안 됨. 평상시에 세워두어야 함.
2. 빨리 알리고, 적당히 알리는 것이 브랜드 신뢰 하락을 최소화 하는 길.
3. 사건을 고지하는 가장 큰 목적은 “고객들이 행동을 취하게 함으로써 추가 피해 확산을 막는 것.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
