당신의 회사가 언젠가는 심각한 데이터 유출을 겪게 될 가능성이 높다. 초기 충격이 어느 정도 가시고 나면 당신은 수많은 사안을 결정해야 하는데, 그 중에서도 변호사, 컴퓨터 감식 조사관, 정보 보안 컨설턴트, 개인정보 보호 컨설턴트, 법률 집행기관 등 외부 전문가들의 도움을 요청하느냐 마느냐의 결정이 가장 중요하다.
언제 누구에게 도움을 요청할 지에 대해, 정보에 입각한 정략적인 결정을 내리는 것이 핵심이다. 기업이 주저하는 동안, 중요한 데이터 손실, 영구적인 명성 하락, 규정 위반에 대한 벌금등 심각한 장기적 타격을 입을 수 있다. 너무 빨리 행동을 서두른 기업들은 불필요하게 조사 비용을 많이 지출할 수 있다. 어떤 상황에서 외부 지원이 필요한 지에 대한 개념이 확립돼 있다면, 적절하게 대응하기가 쉬워질 것이다. 여기에 몇 가지 가이드라인을 소개한다:
*범위: 정보 유출이 내부 직원들만으로 해결하기에 너무 크거나 복잡한 경우, 외부 지원을 요청해야 한다. 유출의 특성에 따라, 감독 기관과 소비자들에게 통보해야 하고, 그 통보는 특정 기한 내에 이뤄져야 한다. 모든 조직이 통보를 신속하고 정확하게 전달하기 위한 충분한 인적 자원을 유지하고, 동시에 피해 억제 활동을 수행할 수 있는 것은 아니다.
외부 컨설턴트에 요청하면, 비즈니스를 계속 유지하는 동시에 조사와 방지 활동을 수행할 수 있는 자원을 확충할 수 있다. 유출의 유형을 파악하는 당신 조직의 능력은 내부에서 조달하기에 버거울 수 있다.
*경계 넘나들기: 모든 유출사건이 깔끔하게 회사 내로만 국한되진 않는다. 아웃소싱과 클라우드 서비스의 활용도가 높아지면서, 유출 조사에 종종 여러 회사의 협력이 필요하게 되었다. 조직내부의 개인은 책임전가의 덫에 빠질 수 있지만, 외부 컨설턴트들은 그런 사내정치에 구애받지 않고 좀 더 객관적인 평가를 내릴 수 있다.
유출의 범인을 추적하기 위해서 조사관들은 인터넷 서비스 제공자(ISP), 검색 엔진, 소셜 네트워크 사이트들의 협조를 구해야 한다. 그런 정보가 조사에 핵심적인 경우, 법률 집행 기관을 참여시켜 이런 데이터가 오직 그 기관에게만 공개되도록 하는 것이 중요하다.