데이터 침해 사고를 다룬 기사들은 고객들이 금방이라도 떠날 것 같은 뉘앙스를 풍기곤 한다. 실제로 사고 이후 조사를 진행하면 응답자들이 분노를 표현하며 해당 업체에 되돌아오지 않을 것처럼 대답한다.
그런데 정말로 그럴까?
브랜든 윌리엄스(@BrandenWilliams) 박사가 이에 대해 심도 있게 연구했다. 여기 ‘보안 침해 사고 이후의 소비자 행동에 관한 연구에서 무엇이 밝혀졌는가’라는 제목의 보고서에서 확인할 수 있는 그의 결론을 정리했다. 윌리엄스 박사는 MAC(Merchant Acquirer’s Committee, 트위터, 웹사이트)와 함께 소비자의 행동 정보를 수집·분석했다. 이 슬라이드쇼의 모든 그래프는 윌리엄스 박스가 제공한 것이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
데이터 침해에 대한 심각한 인지 실태… 타깃과 홈 디포만 예외
윌리엄스 박사는 연구 보고서에 “대개 소비자들은 제시된 데이터 침해 사고에 대해 거의 알지 못 했다. 타깃 스토어(81%)와 홈 디포(38%) 사건에 대한 인지도만 높게 나타났다. 조사 대상자의 13%는 제시된 데이터 침해 사고 중 그 어느 사건도 모르고 있었다”라고 기술했다.
여기서 얻을 수 있는 교훈은 ‘기사 제목만 읽지 말자’다. 하지만 좀더 크게 보자면, 데이터 누출 사건에 대한 소비자들의 인식 수준이 심각한 상태라고 할 수 있겟다.
어느 연령대가 떠날 가능성이 가장 높은가?
연구 보고서에는 “(해당 업체를) 떠나는 소비자의 연령대에서 46세 이상의 집단이 약 3/4를 차지한다는 점으로 볼 때, 나이가 많은 소비자일수록 떠날 가능성이 높다”고 서술돼 있다.
즉 46세 이상의 소비자를 대상으로 사업을 하는 사람에게는 특히 중요한 문제일 수 있다는 의미다. 그러나 이는 차후 심층적으로 연구할 가치가 있는 것으로 판단된다. 현재로서는 이들이 떠날 것인지 아닌지 알려주는 실제적인 지표도 아직 없는 상황이다.
대중이 얼마나 빨리 되돌아오는가?
연구 보고서에는 “2% 미만(평균)은 데이터 침해 사고 이후 되돌아오지 않았다. 소비자들은 데이터 침해 발생 후 3~6개월이 지난 다음에야 되돌아오는 경향을 보였다. 소비자들이 데이터 침해 사고를 알고 있다는 전제 하에 도출된 결과다. 되돌아오는 속도 측면에서는 연령대별 집단 간 차이가 없었다”고 쓰여 있다.
그렇다면 이 대목에서 ‘피해가 별로 없다는 말인가?’라는 질문이 떠오를 수 있겠다. 하여튼 소비자들은 생각보다 잘 이해해주는 듯싶다.
데이터 침해 이후 소비자들의 결제 방식
연구 보고서에는 “소비자들은 판매자 측의 카드 지불 관련 데이터 침해 사건을 알고 있어도 여전히 다른 결제 수단보다 카드를 선호했다. 응답자의 78%(평균)는 데이터 침해 사고 후에도 신용 카드나 직불 카드로 결제했다. 46세 이상의 응답자만이 현금 결제를 조금 더 선호했다”라고 기술돼 있다.
카드 결제 방식은 편의성을 상징한다. 또 책임 면제 제도(또는 유사 제도) 덕분에 소비자들의 카드 결제 선호가 유지되고 있다. 보안 담당자에게 이보다 값진 것은 없다. 책임 면제 제도의 사용자 친화성과 효율성이 향상될 수 있도록 연구해볼만 하겠다.
소비자들이 되돌아오지 않는 이유
연구 보고서는 사고 이후 소비자들이 해당 쇼핑 사이트로 돌아오지 않는 비율과 이유 등에 대해 다음과 같이 기술했다.
“최근 3년간 데이터 침해 사고가 발생한 업체에서 쇼핑한 소비자들을 대상으로 사고 발생 후 1년 안에 다시 찾지 않았던 이유가 무엇이냐고 물었다. 응답자의 70%는 그저 해당 업체에서 정기적으로 쇼핑을 하지 않기 때문이라고 응답했다. 사고 이후 경쟁업체로 마음을 굳힌 소비자들은 소수에 불과했다. 또 경쟁업체의 보안이 더 안전하다고 생각해 서비스를 이용했다는 응답자는 4%뿐이었다. 데이터 침해 사고 때문에 되돌아가지 않는다고 응답한 비율은 2%인 것으로 나타났다.”
아마도 이 부분이 이번 연구에서 특히 흥미로운 결과일 수 있다. 윌리엄스 박사는 보고서에 이 부분과 관련해 별도의 참고 및 논의 사항을 서술하기도 했다. 그러나 분명한 사실은 대중들이 재방문을 거부하지 않았다는 점이다. 심지어 떠날 것이라는 응답자도 소수에 불과했다.
이러한 결과가 의미하는 바
윌리엄스 박사는 이 연구를 통해 얻은 결론, 즉 후속 연구 가치가 있는 결과를 공개했다. 그는 보안 침해 사고가 자연 재해와 비슷하다고 표현했다.
그는 보고서를 통해 “데이터 침해 사고로 인해 막대한 수습 비용이 발생하고 영업에 다소 차질을 빚게 되지만 곧 정상 영업이 가능해진다”라고 기술했다.
CSO온라인은 앞으로도 데이터 침해와 관련된 행동을 심층적으로 분석하고자 소비자 행동에 대한 구체적인 자료를 수집해 나갈 것이다. 그 동안 ‘데이터 침해를 예방하겠다’는 불가능한 일보다는 ‘데이터 침해를 기다리겠다’는 마음가짐을 가지기를 권고한다.