Offcanvas

How To / 보안

기고 | 데이터 유출 사고 대응법

2013.01.14 Eric Vanderburg  |  Network World

당신의 회사가 언젠가는 심각한 데이터 유출을 겪게 될 가능성이 높다. 초기 충격이 어느 정도 가시고 나면 당신은 수많은 사안을 결정해야 하는데, 그 중에서도 변호사, 컴퓨터 감식 조사관, 정보 보안 컨설턴트, 개인정보 보호 컨설턴트, 법률 집행기관 등 외부 전문가들의 도움을 요청하느냐 마느냐의 결정이 가장 중요하다.

언제 누구에게 도움을 요청할 지에 대해, 정보에 입각한 정략적인 결정을 내리는 것이 핵심이다. 기업이 주저하는 동안, 중요한 데이터 손실, 영구적인 명성 하락, 규정 위반에 대한 벌금등 심각한 장기적 타격을 입을 수 있다. 너무 빨리 행동을 서두른 기업들은 불필요하게 조사 비용을 많이 지출할 수 있다. 어떤 상황에서 외부 지원이 필요한 지에 대한 개념이 확립돼 있다면, 적절하게 대응하기가 쉬워질 것이다. 여기에 몇 가지 가이드라인을 소개한다:

*범위: 정보 유출이 내부 직원들만으로 해결하기에 너무 크거나 복잡한 경우, 외부 지원을 요청해야 한다. 유출의 특성에 따라, 감독 기관과 소비자들에게 통보해야 하고, 그 통보는 특정 기한 내에 이뤄져야 한다. 모든 조직이 통보를 신속하고 정확하게 전달하기 위한 충분한 인적 자원을 유지하고, 동시에 피해 억제 활동을 수행할 수 있는 것은 아니다.

외부 컨설턴트에 요청하면, 비즈니스를 계속 유지하는 동시에 조사와 방지 활동을 수행할 수 있는 자원을 확충할 수 있다. 유출의 유형을 파악하는 당신 조직의 능력은 내부에서 조달하기에 버거울 수 있다.

*경계 넘나들기: 모든 유출사건이 깔끔하게 회사 내로만 국한되진 않는다. 아웃소싱과 클라우드 서비스의 활용도가 높아지면서, 유출 조사에 종종 여러 회사의 협력이 필요하게 되었다. 조직내부의 개인은 책임전가의 덫에 빠질 수 있지만, 외부 컨설턴트들은 그런 사내정치에 구애받지 않고 좀 더 객관적인 평가를 내릴 수 있다.

유출의 범인을 추적하기 위해서 조사관들은 인터넷 서비스 제공자(ISP), 검색 엔진, 소셜 네트워크 사이트들의 협조를 구해야 한다. 그런 정보가 조사에 핵심적인 경우, 법률 집행 기관을 참여시켜 이런 데이터가 오직 그 기관에게만 공개되도록 하는 것이 중요하다.
 


*사회적 관심: 대형 유출사건의 경우, 외부 전문가들에게 작업을 맡기면 힘든 시간 동안 신뢰도를 어느 정도 인정받을 수 있게 되어, 피해가 발생하기도 전에 회사의 명성을 회복하는데 도움이 된다. 외부 지원을 얻는 행동은 주주, 고객, 그리고 일반 대중들에게 조직이 유출 문제 해결에 심각하게 접근하고 있다는 메시지를 준다.

사회적으로 알려진 유출사건 발생시, 대중들은 기업이 하는 어떤 말도 믿지 않으려 하지만, 외부 회사가 문제를 해결 중이고, 추가적인 사건 확대를 막기 위해 조치가 취해지고 있다는 확인은 엄청난 가치가 있다. 컴퓨터 검식 조사관들과 변호사등을 포함한 여러 분야의 전문가들의 존재는 그러한 확인이 필요할 때 기업 내외부 모두에 큰 역할을 해주고, 특히 발표가 대중에 발표될 때 그 무게감을 더해준다.
변호사들과 홍보 컨설턴트들은 악영향을 미칠 수 있는 불필요한 공황상태를 방지하고 상황의 현재 상태를 정확하게 언론을 상대로 전달하기 위한 회사 중역들의 대응을 수립하는데 도움을 줄 수 있다.

*기술 분야: 특정 법률, 기술, 혹은 증거적 상황에 있어서는 외부 컨설턴트의 개입이 필요하다. 이 외부 전문가들은 이런 유형의 문제들을 일상적으로 다루기 때문에, 대응에 익숙하다. 예를 들어, 변호사들은 규제 사항이 유출과 관련있을 경우 핵심적인 전문성을 제공할 수 있다. 미국 연방정보보안관리법(Federal Information Security Management Act: FISMA), 미국 연방의료보험통상책임법(Health Insurance Portability and Accountability Act: HIPAA), 미국 연방정보기술법(Health Information Technology for Economic and Clinical Health Act: HITECH), 그램-리치-블라일리법(Gramm-Leach-Bliley Act: GLBA)를 포함한 많은 규제들은 데이터 유출 이후 일정 수준의 통보를 강제하고 있다.

 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.