일반적으로 금요일 오후 4시나 5시쯤, 관리자와 보안 전문가는 이상한 일이 발생하고 있을 수 있다는 메시지를 받는다. 조용하던 오후는 그때부터 혼란에 빠진다.
데이터 유출과 기타 보안 사고는 문제를 해결하려는 팀부터 주요 이해관계자까지 모두를 긴장시킨다. 관련인은 모두 초기의 부정, 순수한 공황, 분노, 불안, 죄책감 같은 다양한 감정을 경험한다. 심박수 증가, 땀, 떨림, 메스꺼움 등을 호소하는 경우도 많으며, 이런 보안 사고는 정신적 건강 문제까지 유발할 수 있다. 보안 업체 소포스(Sophos)의 사고 대응팀 책임자 피터 맥킨지에 따르면, 정신적인 스트레스에 적응하지 못하고 그만두는 관리자도 있다.
사이버 공격에 대응하는 직원의 감정적인 반응과 대응에 대한 논문을 저술한 패트릭 스테이시 박사는 “주요 관계자가 겪는 감정이 기업 전체로 확산할 수 있다”라고 말했다. 스트레스가 쌓이면서 신경이 날카로워진 경영진과 이사회 구성원은 문제를 신속하게 해결하도록 압박하기도 한다. 하지만 이런 압박은 전혀 도움이 되지 않는다고 지적했다.
기업의 운명은 사이버보안 사고를 처리하는 방법에 달렸다. 따라서 보안 전문가와 이해관계자는 항상 적절한 결정을 내려야 한다. 위기를 겪고 있는 상황 뿐 아니라 위기를 겪기 전에도 침착성을 유지하는 것이 중요하다. 감정의 연결고리는 사고 발생 이전부터 나타날 수 있다.
데이터 유출 이전에 나타나는 좌절감
기업을 보호하는 보안 전문가 및 관리자는 마치 그리스 신화에 나오는 코린토스의 왕 시시포스가 산꼭대기로 밀어 올린 거대한 바위가 다시 아래로 굴러 내려오는 것 같은 느낌을 받을 때가 많다. 심지어 직원에게 최신 업데이트를 설치하거나 고유 비밀번호를 설정하는 등의 기본 보안 수칙을 따르도록 교육하는 것에도 어려움을 겪는다.
이사회에 보안이 필수라는 사실을 납득시키는 것도 문제다. 보안업체 라스트라인(Lastline)이 2019년 실시한 설문조사 결과, 보안 전문가의 98%는 서비스와 장비를 구매하고 필요한 정책을 구현하기 위해 필요한 자금이 부족하다고 답했다. 23%는 기업이 사이버 공격을 받아야 경영진이 충분한 재정 지원을 제공한다고 답했다.
보안 전문가와 관리자는 기업을 보호하기 위해 무엇을 해야 하는지 알고 있지만, 다른 사람을 설득하는 데 어려움을 겪는다. 스테이시는 “보안팀 직원은 항상 입막음을 당하기 때문에 좌절감과 짜증을 느낄 수 있다”라고 설명했다.
보안팀이 사고가 발생하기 전에 다양한 경고 알람을 보내더라도, 실제로 데이터 유출이 실제로 발생할 때 가장 고생하는 것은 관리자와 보안 직원이다. “경고했잖아”라고 말한 뒤에는 우려와 피로, 밤샘 작업이 뒤따른다.