'기왕 이렇게 된 거'라도 끝까지 최선을 다하라 때時 일事 (Issues)

지난 월요일에 내 이메일 인박스에 특이한 이메일 너댓 개가 들어 왔다. 제목에 모두 'important'라는 말이 들어 있었는데, 이를테면 이런 식이다: "Important information from XXXX" "Please read important message" "Important Email Security Alert" 등. 이 이메일들은 지난 주에 벌어진 미국 최대의 이메일 유출 사건에 관련된 회사들이 보내 온 것이다. 이메일에는 정보 유출 사실, 피해 규모, 대처 방안 등이 담겨 있었다. 나에게 이메일 유출 사건을 알려 온 회사들은 베스트 바이, 월그린, 크레딧 카드 회사, 한 호텔 체인 등 네 곳이다.




이 회사들은 모두 고객에 대한 이메일 마케팅을 엡실론(Epsilon)이라는 대행 업체에 맡겨 왔다. 엡실론은 지난 주말, 자신들이 관리하고 있는 업체의 고객 정보(이메일과 이름)가 해킹을 통해 유출되었다고 발표했다. 엡실론은 미국 주요 업체 2천500여 개의 고객 이메일을 관리하고 있다. 이번에 고객 이메일이 유출된 회사에는 베스트 바이, 타깃, 크로거, 캐피털 원, 홈쇼핑 네트워크, 씨티, 월그린, JP 모건 체이스 등, 일반 상업 회사에서부터 금융기관에 이르기까지 유수한 업체들이 포함되어 있다.

엡실론이 한 해에 내보내는 고객용 이메일은 400억 개에 이른다. 엡실론에 따르면 이번 사건으로 2천500개의 고객사 가운데 2%(50개사)가 해를 입었다고 한다. 비율로 따지면 크지 않지만, 막대한 규모의 이메일 정보를 보관해 오던 회사라, 이번 사건은 정보 유출 사상 최대 규모가 될 것으로 예상된다.

엡실론은 해커가 빼간 것은 이메일과 이름 정도이며, 고객들의 계좌나 사회보장번호 같이 민감한 정보는 유출되지 않았다고 주장한다. 그나마 다행이지만, 이 정도로도 상당한 피해가 예상된다. 스팸이나 바이러스 메일은 물론이고 좀더 치밀한 이메일 사기, 이른바 spear-phishing이 벌어질 수 있는 토대를 제공했기 때문이다.

고객에게 이메일 유출 사실을 알린 회사들의 긴급 통지는 판에 박은 듯 비슷했는데, 다음과 같은 세 부분이 그 내용의 요지였다. 1) 우리 책임이 아니다(즉 엡실론 책임이다), 2) 민감한 정보는 안전하다, 3) 그러나 앞으로 이메일 관리에 특히 주의하라.

전문가들은 이번 일로 인해, 이메일 마케팅 대행 업계의 주도 회사인 엡실론이 막대한 타격을 입을 것으로 내다 본다. 미국에서 이와 비슷한 자료 유출이 벌어지면, 해를 입은 기업이 부담해야 하는 비용은 유출 자료당 214달러, 유출 건당 720만 달러에 이르는 것으로 추산된다. 이번 사건의 규모를 고려해 볼 때, 엡실론이 고객 회사의 신뢰를 잃고 법적 다툼에 휘말리게 되면서 물어야 할 비용은 천문학적인 수준이 될 것으로 예상된다.

그런데도, 혹은 그렇기 때문에 엡실론은 이메일 유출 사건에 신속하게 대응했다. 내가 인상적으로 느낀 것은 바로 이 점이다.

엡실론의 발표에 따르면, 이 회사가 해킹을 인지한 것은 3월30일이다. 회사 홈페이지에 해킹 사실을 공지한 것은 4월1일이다. 월그린과 베스트 바이가 보내온 긴급 메일에 따르면, 월그린이 엡실론으로부터 통지를 받은 것은 해킹 인지 당일인 3월30일, 베스트 바이는 31일이었다. 내가 월그린, 베스트 바이 등으로부터 유출 사건을 알려 주는 긴급 이메일을 받은 것은 4월4일 오전이었다. 기업 간에 천문학적 금액의 소송이 걸릴 수도 있는 민감한 내용을 주제로 하여 두 단계를 거치는 과정인데도, 최초의 해킹 인지부터 최종 고객 통지에까지 닷새밖에 걸리지 않았다. 주말이라 각 회사의 법률 라인이 가동하지 않았음을 고려하여 business days만 따지면 이 과정은 이틀 정도로 축소된다.

어떤 의미에서 이미 벌어진 정보 유출에 대한 대응은 시간 싸움일 수 있다. 정보를 빼간 사람은 유출당한 사람이 그런 사실을 모를수록 정보를 악용하고 사기를 치기 쉽다. 거꾸로 말해, 유출 사실을 빨리 고객에게 알려야 제2의 더 큰 피해를 막을 수 있다.

그런데 한국에서 비슷한 일이 벌어지면 어떻게 진행되어 왔는가. 해킹 등으로 고객 정보가 유출되면 관련 업체는 일단 이 사실을 최대한 은폐하려고 한다는 의혹을 받는다. 2010년 3월에 25개 기업에서 2천만 건의 고객 정보가 유출되었을 때, 한 기사는 다음과 같이 쓰고 있다:


특히 해당 기업이 자체적으로 개인정보가 유출된 사실을 이미 인지하고 있었는데도, 이를 은폐했을 가능성 등에 대해서도 (경찰이) 조사할 것으로 보인다.


또 다른 기사는 이렇게 썼다:


실제로 경찰은 지난 7일 이전 해당 기업에 유출 사실을 통보했지만, 각 기업은 9일 이후 행정안전부로부터 고객에 대한 공지 조치를 취할 것을 요구받은 뒤에야 홈페이지에 공지 등을 띄우는 등의 조치에 들어갔다.


이것은 고객 정보 유출을 당한 기업이 고객의 이익을 보호하려는 마인드를 갖지 못하고, 이런 행태를 규제할 법규도 없었기 때문에 벌어져 온 일이었다. 앞으로는 그런 일이 더 이상 벌어지지 않을 듯하다. 기업의 양심에 맡겨서 안 되면 법으로 강제하는 수밖에 없다. 지난 3월29일에 공포되고 9월30일부터 시행되는 개인정보보호법에서는 고객의 개인 정보가 유출되었을 경우 이를 즉시 고객에게 통보하도록 의무화하고 있다:


제34조(개인정보 유출 통지 등) ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처


늦었지만 꼭 필요한 조항이라고 생각한다.

사고는 벌어지게 마련이다. 문제는 이렇게 벌어진 사고로 인한 피해를 최소화하도록 위기를 관리하는 일이다. 피해를 볼 수 있는 사람들에게 정확한 진상을 공개하여 준비하고 대처할 수 있도록 하는 것은 위기 관리의 출발이다. 이것은 신뢰를 구축하는 길이기도 하고, 실질적으로 더 중요한 2차 피해를 막는 길이기도 하다.

"기왕 이렇게 된 거, 마음을 편하게 먹는" 것은 대부분의 경우 전혀 답이 아니다. 기왕 벌어진 사건이라면 정확한 진상을 공개하고 피해를 최소화하기 위해 전력 투구하는 것이 언제나 정답이다. 그것이 몸에 생긴 병이든, 고객 정보 유출이든, 천재지변이든 말이다.

 

덧글

  • 2011/04/06 05:56 # 답글 비공개

    비공개 덧글입니다.
  • deulpul 2011/04/06 06:08 #

    엡실론사가 고객에 대한 이메일 마케팅(말하자면 회원용 메일 발송 등)을 대행하는 회사이므로, 아마 피해 고객은 각 업체에 고객으로 등록된 분 전부가 아니라, 그 중에서 '홍보용 메일을 받겠습니다' 같은 부분에 동의한 고객이 아닐까 싶습니다. 말씀하신 업체로부터 평소에 고객용 프로모션 메일을 주기적으로 받지 않으셨다면 걱정하실 필요가 없다고 생각합니다. 저렇게 화들짝 놀라 후닥닥 조처를 취하는 데에는, 안 그랬다가는 엄청난 금액의 소송을 당한다는 점도 작용을 하고 있겠지요.
  • 밤비마마 2011/04/06 06:43 # 답글

    타겟에서 정기적으로 메일이 오거든요...제가 자주 쇼핑하는 곳이라..근데 웹사잇이 확실히 이상하긴 해요..
    미국이 소송에 걸릴까봐 그런것도 있지만 그래도 사고가 나면 후속조치를 잘 하는건 맘에 들어요. 소송 때문이건 아니건간에요.
  • deulpul 2011/04/06 08:32 #

    거기서도 4일에 통지 이메일을 보냈다고 합니다... 이런 모양으로요: http://www.putnamlive.com/index.php?option=com_content&view=article&id=833:chase-target-announce-data-breaches&catid=73:headlines 그렇다면 가능성은 1) 같은 회사 고객 리스트에서도 유출된 게 있고 아닌 게 있어서 유출된 고객에게만 통지 메일을 보냈거나 2) 밤비마마님이 무심코 지우셨거나 (제가 잘 하는 짓) 3) 스팸으로 넘어 갔거나 4) 타겟이 밤비마마님을 미워하거나 5) 밤비마마님이 문제의 해커이거나... 등의 경우가 있겠습니다. 어쨌든 타겟의 경우는 이름 정보도 나가지 않았다고 하니 안심이고요, 넵, 저렇게 신속히 처리를 해야 마땅한 일이겠지요.
  • 밤비마마 2011/04/06 08:39 # 답글

    4번만 아님 되겠군요. 자세한 추측과 설명 감사드립니다. ㅋㅋㅋㅋ
  • deulpul 2011/04/09 07:10 #

    5번의 가능성을 배제하지 않으셨네요... 하하. 제 이메일에는 신용카드 회사로 위장한 낚시 메일이 벌써 날아오기 시작하고 있습니다. 진짜랑 아주 흡사해서 그냥 넘어가기 딱인 형태로 되어 있는데, 피해자들이 발생할 것 같아 염려가 되는군요.
  • 2011/04/07 02:40 # 답글 비공개

    비공개 덧글입니다.
  • deulpul 2011/04/09 07:20 #

    그 뉴스보고 저도 놀랐습니다. 많다는 이야기는 좀 들었지만 그 정도일까 싶었는데, 그런 사정이 있었군요. 그런데 모두 그 숫자에만 깜짝 놀라고 이면은 들여다보지 않는 것 같네요... 저도 자료를 좀 찾아보고 싶습니다. 그 자체로도 문제가 될 수 있을텐데, 게다가 다른 일까지 엮이면 정말 그런 정보가 왜 흘러 나왔나가 궁금하지지 않을 수 없네요.
  • 2011/04/07 03:02 # 답글 비공개

    비공개 덧글입니다.
  • deulpul 2011/04/09 07:52 #

    아니 그것은 영업 비밀인데요... 하하. 저 역시 체계적으로 분류한다거나 하는 건 아니고요, 대충 이렇습니다. 1) 기사들을 보면서 흥미로운 것은 제목과 링크 정도를 저장해 둡니다. 주로 이메일의 임시보관함을 사용하고요, 기사만 남겨 두면 나중에 왜 나에게 흥미로웠는지를 잊을 수도 있으니까 간단한 메모를 첨부해 둡니다. 2) 아무래도 한국에서 신문 기사를 일상적으로 접하시는 분들보다는 절대량이 적을 테고, 그 덕분에 그냥 읽고 넘어간 기사들도 나중에 생각이 나는 경우가 있습니다. 이 경우는 검색으로 다시 찾는데, 목표가 정해져 있으니까 어렵지 않게 찾을 수 있습니다. 3) 순수하게 검색으로 필요한 기사를 찾는 경우도 있습니다. 이 때는 키워드 조합이 중요하고요, 검색 페이지(이를테면 구글)의 10쪽 정도는 넘겨 보며 크로스 체크하는 인내력도 필요합니다. 4) 본격적으로 검색이 필요하거나 실제 기사인지를 확인할 필요가 있을 때는 kinds.or.kr을 이용합니다. 빠진 신문들이 많아서 좀 아쉽지만, 기사 검색에 관한 한 훨씬 강력한 검색툴이라고 할 수 있겠습니다. 5) 옛날 기사들을 인용하게 될 경우, 검색한 기사 이후로 사정이 달라지지 않았나도 확인합니다. 이를테면 이 글에서 쓴 개인정보보호법도 2년 전쯤 나온 기사는 "계속되는 개인 정보 유출 사건에도 불구하고 개인정보보호법 제정안이 국회에서 잠자고 있다"는 기사들이 나오는데, 여기까지만 확인하고 "한국은 손 놓고 놀고 있다"라고 하면 틀리게 되는 것이죠. 6) 기사들은 포털에서 보더라도 인용은 원래의 매체 사이트로 하고 있습니다. 말씀대로 해당 기사가 없어진 경우도 종종 있는데, 이 경우 최근 기사라면 포털에는 남아 있는 경우가 있습니다. 이런 경우는 이미지로 기록해 두시는 게 안전하다고 하겠지요. 큰 도움이 되지 못해서 죄송합니다.
  • 마음 2011/04/12 14:23 #

    자세한 답변 정말 감사합니다 많은 도움이 되었습니다. 앞으로 참조하겠니다.

    단단한 글을 쓰도록 노력하겠습니다.
  • deulpul 2011/04/15 13:30 #

    넵, 건필하시기를 바랍니다.
댓글 입력 영역



Adsense

Adsense2

구글 애널리틱스