• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보 유출사고 발생 시 우리 모두가 느끼는 감정들 2015.03.02

고질병 환자들이 갖는 감정의 단계별 변화와 추이

입장과 전문성 차이 있어도 고통과 당혹스러움은 같아


[보안뉴스 문가용] 정보유출 사고는 이제 너무 흔히 일어나는 일이 되었다. 정보를 잃는다는 직접적인 피해 외에, 또 각종 변호사를 선임하고 법정 공방을 진행해야 한다는 손해 외에 기업들은 일정 기간 동안 회사 문을 닫아야 하고, 시스템을 복구시켜야 하며, 동시에 수사도 진행해야 한다는 부담감에 대해 점점 더 인지하기 시작했다. 즉, 정보유출 사고가 점점 더 심각한 사건이 되어버린 것이다. 그렇기에 요즘 사용자들 혹은 기업들은 유출사고 발생 시 장기입원 환자 혹은 장기지병 환자의 그것과 유사한 반응을 보인다.

 


1. 부정 : 공격을 당한 기업은 제일 먼저 현실을 부정한다. “해키이이잉? 설마 우리를 누가 해킹하겠어. 착오가 있겠지. 다시 한 번 조사해봐”와 같은 반응 말이다. 짧게는 수 시간에서 수일 혹은 수개월까지도 이어지는 반응이다. 보통은 자기 눈으로 유출된 정보를 확인하는 순간 이 단계는 끝이 난다.

   

2. 분노 : 어느 조직에서나 있는 현상 혹은 사람으로, ‘프로그램이 잘못 되어서’ 혹은 ‘지난 번에 없어진 랩탑 때문에’ 이런 현상이 발생했다는 걸 받아들이지 못하는 것이다. 이는 누군가에게 책임을 돌려야 분이 풀리는, 누구에게나 어느 정도 있는 성향에 기인한다.


3. 타협 : 분노하는 사람들이 있는가 하면, 이렇게 한 번 겪었으니 다시는 이런 일이 일어나지 않도록 할 자신이 있다며 긍정론을 허겁지겁 찾는 사람들도 있다. 이미 사건이 터졌고, 그래서 이미 고객의 소중한 정보가 인터넷에 돌아다니는데 그 점은 애써 잊으려하고 미래에 대한 건설적인 계획만 찾는 것이다.


4. 우울 : 너무 이른 긍정론도 문제지만 ‘아, 그러지 말 걸, 소홀하지 말 걸, 더 꼼꼼할 걸...’ 후회와 우울에 지나치게 갇혀 사건이 터진지 상당 시간이 흘렀음에도 다른 일을 하지 못하는 조직 혹은 조직원들이 있다.


5. 용인 : 안타깝게도 4번 단계에서 그치는 기업들도 분명히 있다. 그렇지만 5번까지 와야 정보 관리자 혹은 보안 담당자들이 문제를 파악하고 한 단계 앞으로 전진할 수 있는 정신적이고 기술적인 기반을 마련했다고 볼 수 있다.


지난 한 해 미국에서만 1억 건의 신용카드 번호와 3억 1천 3백만 건의 개인정보가 유출되었다. 이 중에는 유명인의 원치 않는 사진자료 같은 것들도 포함된다. 그렇다면 이렇게 유출사고를 겪어본 기업들을 보며 나머지 우리들은 무엇을 배워야 할까? 먼저는 보안의 최전선에 선 사람들이 제일 큰 희생자가 될 가능성이 높다는 것이다. 즉, 자기 정보가 뜻하지 않게 유출된 고객이 가지는 실망감, 분노, 상실감, 위기감을 기업의 보안 담당자들도 똑같이 겪는다는 의미다. 이들 역시 마찬가지로 혼란스럽다. 자신감 상실에 불면증도 심심찮게 겪는다. 마치 위에 언급한 지병환자들처럼 말이다.


현대의 사이버 범죄 현장은 훨씬 다이내믹하고 하루가 멀다하고 바뀐다. 따라서 보안과 관련된 사람, 기술, 절차 모두 확장되고 변화해야 한다. 공격자는 정교하게 조직된 움직임을 보이는가 하면 한 사기업이 감당할 수 없을 정도로 든든한 후원을 등에 업고 있을 때도 많다. 그래서 보안 담당자들은 아무리 직위가 높아도 한 번에 직장을 잃기도 한다. 사실 이런 시대에 CISO처럼 허울만 좋고 불안하기 짝이 없는 직종도 드물 것이다.


유출사고는 대가가 상당하다. 또한 일상을 파괴하기도 한다. 이는 일반 사용자나 보안 전문가나 마찬가지다. 지병과 같은 스트레스이며 고통인 것이다. 사건 후 생기는 트라우마나 고통, 번거로움은 사건 전에 미리미리 해보는 보안 감사나 침투 테스트 등에 비했을 때 비교가 안 될 정도로 크다. 병 걸리기 전에 하는 운동이 고통스럽긴 하지만, 병이 걸려서 드러누웠을 때 겪어야 할 고통에 비하면 아무 것도 아닌 것과 같다.


유출 사 고시 생각보다 일반 사용자와 보안 전문가가 느끼는 스트레스와 고통은 별반 다르지 않다. 다른 상황과 위치임에도 불구하고 서로가 얼른 느끼는 감정이 크게 다르지 않다는 건, 이것이 그 둘을 하나로 묶을 수 있는 구심점이 될 수 있다는 것이다. 세상 모든 조직에서 그 작업이 너무 늦지 않게 이루어지길 바란다.

글 : 리키 링크(Ricky Link)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>