국내 최대 개인정보보호 컨퍼런스 ‘G-Privacy 2017’이 4월 6일 양재동 더케이호텔서울 가야금홀에서 공공, 지자체, 금융, 기업 등 전분야 CPO 및 개인정보보호, 정보보안 실무자 1,000여 명 이상이 참석한 가운데 성황리에 개최됐다.

이날 박종섭 법무법인 광장 정보보호그룹 전문위원은 ‘개인정보유출사고 위기대응 전략-이것만은 꼭 기억하자!’란 주제로 세션발표를 진행해 참관객들의 큰 관심을 끌었다.

박종섭 위원은 “개인정보 유출 사고라는 위기를 효과적으로 극복하면 기회가 될 수 있다. 하지만 효과적인 위기대응의 장애물들이 존재한다. 고객신뢰와 수익에 대한 가치의 충돌에서 어떤 결정을 내릴지, 혹은 여론적 사고와 법적 사고에서 소통의 혼선, 어떤 시각으로 사태를 보는지 등에 따라 위기를 기회를 변화시킬 수 있다”고 시작했다.

위기대응의 전개 과정에 대해 박 위원은 5개 단계로 구분했다. 우선 △상황인지 단계는 현 상황을 위기라고 인식하는 단계다. △상황분석단계는 발생 가능한 문제들과 대안에 대해 고민하고 각 대안들의 파급효과와 위험에 대해 고민하는 단계다.

△의사결정 단계는 전략적, 전술적 결정을 내리고 자원, 시간, 환경 등 현실적 위험을 고려한 의사결정을 내리는 단계다. △상황종결 단계는 일련의 의사결정 과정을 통해 상황이 긍정적 또는 부정적으로 종결되는 단계 마지막으로 △학습 및 개선단계다. 위기대응 과정에서 드러난 허점을 보완하는 단계다. 위기상황에서 발생한 손해를 만회할 수 있는 기회이며 유사상황 재발시 더 빠른 상황인식이 가능하게 된다.

개인정보유출 위기 상황의 전개 양상도 유사하다. 공격자의 협박이 시작된다. 언론의 보도와 수사기관의 수사로 조직은 패닉 상황에 빠진다. 대대적 위기 대응 활동으로 인한 업무생산성에 차질이 발생하기 시작하고 부정적 언론보도로 인한 기업 신뢰도가 하락한다. 수사기관과 감독기관의 대대적 조사가 진행된다. 임직원들의 사기는 떨어진다. 고객 항의로 인해 업무가 마비될 정도다. 장기적 신인도가 떨어지면서 고객 이탈로 인한 매출 감소가 발생한다. 상황종료시점에는 대규모 소비자 분쟁으로 민형사 소송이 기다리고 있다. 임직원에 대한 형사처벌 및 행정제재가 이어진다. 이를 통한 학습 개선 시점에는 대대적 책임공방이 따르고 내부 인사조치가 단행된다. 시스템 개선도 같이 이루어진다.

실제 개인정보 유출 사고 현장 조사 경험이 많은 박종섭 위원은 개인정보유출 위기대응 방안에 대해 다양한 사례를 들며 다음과 같은 조언을 했다.

△명확한 위기대응 원칙을 세우자
우선 숨김없이 밝히고 고객의 피해를 최소화하는데 최선을 다해야 한다. 2013년 미국 Target사 대표는 개인정보유출 사고 직후 “최대한 투명하게, 진실되게, 가능한 빨리 소객과 소통할 것이다. 타겟은 해킹 사건으로 기억되는 것이 아니라 해킹에 어떻게 대처했느냐로 기억될 것”이라고 말했다.

△위기의 유형과 정도에 대한 합리적 예측이 필요
예상할 수 있는 개인정보 유출사고 유형을 놓고 우리 조직의 어느 부분에 취약성이 존재하는지 정도를 파악하는 것이 중요하다.

△구체적인 위기대응 실무 매뉴얼과 프로세스 만들어야
조직내에 위기대응 조직을 만들고 IT지원팀, 법무팁, 홍보팀, 고객지원팀 등과 평상시에도 위기대응을 위한 유기적인 훈련을 실시해야 한다. 개인정보 유출 상황이 발생하면 위리관리 조직이 상황을 분석-상황통제 및 대응-상황관찰 및 보고를 체계적으로 상황이 종료될 때까지 수행해야 한다.

또 박 위원은 각 단계별로 위기대응조직이 상황발생시 무엇을 해야 할지 체크리스트를 만들어 놓는 것도 중요하다고 강조했다. 특히 평상시에도 반복적인 훈련을 해야 한다고 덧붙였다.

마지막으로 박 위원은 “위기는 조직의 역량, 가치 및 문화를 총체적으로 확인시켜 줄 수 있는 기회”라고 강조했다.

박종섭 전문위원의 G-Privacy 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★