'고객 잃을 수도…' CMO 아젠다 된 사이버보안

데이터 백업 및 가용성 서비스 전문 기업인 비암(Veeam)의 CMO 피터 러차츠(왼쪽 사진)도 마케터의 참여 부족 현상을 지적했다. 그는 다른 마케터의 경우 사이버보안이나 데이터, 시스템에 대한 일반적인 대화에 참여하는 경우가 아주 드물다며 다음과 같이 말했다.

"특히 IT나 기술이 주력사업이 아닌 기업에서 이런 현상이 더 두드러진다. 나를 뻔히 쳐다보면서 '도대체 무슨 말을 하는 겁니까?'라고 타박한다. 그러나 우리는 지금 변혁기를 통과하고 있다. 마케터들은 시일 내에 주로 소프트웨어를 통해 제품과 서비스를 공급하리라는 사실을 알게 될 것이다. 서비스가 중단되고, 데이터를 이용할 수 없는 상황이 되면 결국엔 사업 자체가 망가지게 된다. 전반적인 브랜드 경험, 초래되는 영향을 연결해 생각하는 회사들이 극소수에 불과하다. 그러나 CMO는 브랜드 경험을 책임져야 하고, 그러기 위해서는 문제가 발생하기 전에 손을 써야 한다."

CMO, IT와 보안 사고를 우선순위로… 이유는?
이러한 '단절'의 중요한 이유 중 하나는 '문화'일 것이다. 마케팅 부서는 전통적으로 사이버보안과 직결된 IT 기능과 단절되어 있었다. 그러나 디지털 마케팅이 부상하면서(사용하는 언어가 여전히 다르지만) 두 부서 간 거리가 좁혀졌다.

아틀라시안처럼 '언어' 장벽을 낮춘 회사들도 있다. 디트리히에 따르면, 아틀라시안에서는 보안 부서와 마케팅 부서가 서로 협력해 고객들에게 투명하면서도 적극적으로 문제점을 경고하고, 보안 관행을 도입하도록 유도하고 있다.

기술 회사가 아니라고 해도 안심할 수는 없다. 타깃 사고가 이를 입증 보였다. 디트리히는 “사이버보안 문제는 마케터가 브랜드 친근감을 형성하고 고객 충성도를 쌓으며 판매를 촉진하는 것을 방해함으로써 모든 산업의 모든 기업에 피해를 초래할 수도 있다”고 경고했다.

그녀는 "모든 CMO가 보안 사고를 중요하게 다뤄야 한다. 아주 중대한 법, PR, 소셜 미디어, 고객 신뢰 측면의 위험을 초래할 수 있다. 반대로 올바르게 행동하면 고객의 신뢰를 획득할 수 있다"고 말했다.

유능한 마케터들은 잠재적인 위협에 관해 브레인스토밍하고 방어책 준비에 적극적으로 관심을 기울이고 있다. 많은 기업들이 이미 PR 팀과 공조하는 위기 커뮤니케이션 계획 수립의 목적으로 이를 실천하고 있다. 이들은 보안 부서가 걱정하는 진짜 위협을 배우고, 커뮤니케이션을 통해 고객을 앞서 보호할 방법이 있는지 파악하고, 최악의 상황이 발생했을 때 재빨리 대응할 수 있는 계획을 수립해야 한다.

디트리히는 "문제가 발생하기 전에 보안 부서와의 관계를 발전시키며, 마케팅 부서와 다른 부서의 1차 대응자를 파악하고, 외부의 위기 커뮤니케이션 대행사를 파악하는 것에서 시작하면 좋다. 재앙이 발생했을 때 허겁지겁 관계를 구축할 수는 없기 때문이다"고 강조했다.

타깃의 보안 사고를 보면, 해킹 그 자체보다 이 회사가 우왕좌왕하면서 더 큰 피해를 초래했다는 점이 입증됐다. 때문에 마케팅과 PR 임원이 중요한 역할을 맡는 사고 대응팀을 구성하는 방법이 주목을 받게 됐다.

버그먼은 제품 리콜을 처리하듯 해킹 사고에 대응해야 한다고 강조했다.

그는 "잘못 대응할 경우, 사고 그 자체보다 더 빠르게 고객 충성도와 신뢰도가 추락한다. 고객 데이터를 잃어버린다는 것은 재무적인 피해가 다가 아니다. 브랜드의 대응 방법, 대중의 이에 대한 평가가 사고 그 자체보다 브랜드에 더 큰 영향을 미친다"고 설명했다.

버그먼에 따르면, 많은 기업들이 앞으로는 사이버보안을 더 중시할 수밖에 없다. 호주 정부의 경우 사이버 침해를 의무적으로 보고해야 한다는 내용을 골자로 하는 입법을 준비하고 있다.

여기에 맞춰 새롭게 시작해야 할 일이 많을 것이다. 러차츠는 마케터가 가장 먼저 할 일로 IT와 보안 및 가용성에 대한 SLA를 만들 것을 추천했다. 이는 서로 간에 대화하고 조율해서 만들어야 한다. IT는 고객과 마케팅에 중요한 시스템을 설명하고, 마케팅은 운영에 중요하고 고객에게 민감한 데이터가 무엇인지 설명해야 한다.

마케터는 침해 사고 발생 시 복구 옵션도 이해해야 한다. 얼마나 자주 백업하는지, 얼마나 빨리 복구할 수 있는지 등을 예로 들 수 있다.

러차츠는 "지금 당장은 이를 제대로 하지 못하는 기업이 대부분이다. 믿을 ㅅ 있는 SLA, 최종 고객에게 할 수 있는 약속 같은 것이 없다. 이 문제를 피하려고만 하고 마케팅 메시지에서 빼놓고 있다"고 지적했다.

이사회의 지지를 얻어야
한편으로는 기업내 최고 경영진을 대상으로 사이버보안과 브랜드 피해에 대한 인식을 높여야 한다. AISA(Australian Information Security Association)의 CEO인 아르노 브록은 사이버보안에 '하향식' 접근법을 적용해야 한다고 강조하며 다음과 같이 이야기했다.

"사이버보안은 IT 문제가 아니다. IT부서는 최선을 다할 것이다. 하지만 리소스와 역량이 부족한 상황에 맞닥뜨리게 된다. 현업이 이를 주도해야 한다. CEO와 CFO, 그리고 모든 경영진은 사이버 위험을 제대로 이해해야 한다. 또 여기에 대응할 계획과 보안을 개선할 비즈니스 동인이 있어야 한다는 점을 이해해야 한다. '침해 사고가 발생하면 무슨 일이 일어날까?'보다 비즈니스 관점에서 사이버보안을 생각해야 한다."

그리고 "스스로 비즈니스를 더 안전하게 만들어, 이에 따른 부수 효과로 더 많은 비즈니스를 유치하는 방법을 물어야 한다"고 덧붙였다.

사이버보안에 더 많은 관심을 가졌을 때 얻을 수 있는 이점은 '방어'만 있는 게 아니다. 고객 데이터를 입수해 이용하는 기업들이 증가하고 있는 추세다. 버그먼에 따르면, 고객들은 이런 점 때문에 데이터의 용도와 이를 보호하는 방법에 더 큰 관심을 기울일 것이다.

버그먼은 "디지털 및 온라인 기업을 중심으로 기업에 큰 기회가 될 수도 있다. 사이버보안 측면에서 신뢰도를 높이면 시장 점유율을 높이는 데 도움이 된다. 그러나 아직은 이를 핵심 전략의 일부로 실천하는 기업이 없다"고 전했다. ciokr@idg.co.kr