지난 주말에 모 캐피털에서 개인정보가 유출이 되어 일파만파로 번지고 있습니다.  잠시 짚어 볼수 있는 부분을 여러분들과 함께 공유해 보겠습니다. -편집자주



1. 고객정보 42만건 , 1만3천명 고객정보 유출 어떤것이 임팩트 있을까?
   

개인정보 유출 통계치 뻥튀기 하면 안돼~~


우리가 보통 개인정보유출에 대한 정보 보도는 경찰조사 결과에 따라 매체에 의존하여 접하게 됩니다. 그런데 대부분 개인 정보 42만건 이라고 하면 이것이 꼭 개인정보 42만명을 의미 하는것은 아니기에 이러한 부분을 두리뭉술하게 기술하기 보다는 정확한 통계를 짚어서 몇명의 고객정보가 유출이 되었는지를 조금 더 명확하게 제시 하는게 좋습니다. 실제 오늘 모 언론에서는 1만3천명에 대한 개인정보가 유출되었다고 명시한 매체도 있었습니다.




                                                        
 언론에서는 기사의 임팩트를 주기 위하여 42만건, 등의 건수를 통하여 기술하는 것인데 이러할 경우 제대로 통계화 하지 못하거나 해당 경찰의 추정치만 가지고 언론에 공개 하게되면 결국 다른 매체는 또 그 추정치를 쓰게 되고, 정확한 숫자를 가늠하기 어려울 것입니다. 그러니 기자분들은 해당 경찰이나 해당기업에 정확히 취재후 올바른 유출정보를 전달하는 것도 중요하다 하겠습니다.  1만3천명 이라고 하는것 보다 42만건이라고 하는것이 더 뉴스꺼리에 임팩트가 있지 않습니까? 건수와 건명은 확실히 다르다는 것을 기억해야 합니다.


2. 개인정보 유출 라이프 사이프 사이클 파악이 중요


보안사건 사고가 발생하는 경우에 위의 경우에는 개인정보 유출로써 해킹을 당하게 되면 결국 법적 책임소재를 가릴수 밖에 없습니다. 그럴경우에 비지니스 모델이 개인정보 라이프 사이클(Privacy Lifecycel)에 따라 어떻게 흘러가는지를 파악하는것이 우선입니다.  언론에서는 단순히 개인정보 유출되었다고만 했지..세부 구성을 파악하는 것이 아니기 때문입니다. 특히 개인정보에 대해서는 이러한 부분을 가리는것이 중요합니다.

  • 개인정보 3자 제공시
    • 개인정보를 수집시에 약관에 제3자 제공에 대한 부분을 명시를 하고 개인정보를 동의를 받게 됩니다. 하지만 대부분 일반인들은 개인정보 수집 동의시 약관과 개인정보 취급방침에 대하여 상세히 읽어 보지 않습니다. 여기서 말하는 제3자 제공이라고 하는것은 수집은 A라는 업체에서 했지만 개인정보를 수집 목적외에 B라는 업체에 제공하는 것을 동의 하는 경우를 말합니다. 이럴경우 법적 책임은 B업체에 관리 감독과 책임이 있습니다.  개인정보 수집 목적외에 사용될 경우입니다. 
  • 개인정보 위탁시
    • 개인정보 위탁시에는 개인정보 수집 목적과 동일하게 사용하는 경우로, 예를 들어 A쇼핑몰에서 물건을 구입하여 B택배회사를 통하여 배달을 받고자 할때 B택배 회사에 개인정보를 위탁하게 되는 것이죠. 이런경우에 개인정보 수집에 동의 할수 없다면 직거래 할수밖에 없는 것입니다.

최근에는 "정보통신 이용촉진 및 정보보호등에 관한 법률"을 개정하여 이러한 개인정보 수집시에 제3자 제공과 위탁에 대하여 동의 하지 않는다는 이유로 서비스를 제공을 거부 할 수 없는 개인정보 권한 강화를 위해 법을 개정한 바가 있습니다.


3. 보안 사건사고시 준수사항

우선 사건 사고가 발생을 했기 때문에 빠른 대응과 신속한 조치가 이루어지도록 TFT팀을 가동해야 합니다. 이것은 평소에 시나리오화 되어 있어야 합니다.

3.1 기업 측면

  • 업무 연속성계획(BCP)에 준하여 대외 언론 대응
    • 업무연속성계획(Business Continue Plain) 에 준하여 사고 대응 TFT팀을 가동하여 창구를 일원화 시키고 언론에 적절하게 대응을 하면서 정확하게 고객 정보 유출에 대한 대응을 해야 합니다.
    • 무엇보다 고객들의 혼란과 불안을 안정시키기 위하여 홈페이지 공지 및 현안에 대하여 최대한 신속하고 빠르게 대응을 해야 하며, 대응방안을 제시해 주어야 합니다.
  • 최고 책임자의 사과
    • 최고 책임자의 보안 사고에 대한 책임에 대한 사과를 먼저 하고 수습과 대응방안을 강구 하여야 합니다. 또한 고객의 피해를 최소화 하겠다는 의지를 표명하고 경찰의 협조에 적극 대응을 해야 합니다

3.2 개인 측면

  • 개인피해 최소화
    • 언론과 매체를 통하여 자신이 거래하고 있는 기업의 개인정보나 보안사고가 발생했다고 접하였을 시에는 빠른시일내에 관련 정보를 숙지하고 웹페이지의 경우 접속하여 비밀번호 변경등 1차적인 조치를 취하는게 좋겠습니다. 또한 조금 더 꼼꼼하신 분들은 동일한 패스워드로 다른 타 사이트에 그대로 적용을 하고 있다면 타사이트의 비밀번호도 전부 교체 해야 합니다.
  • 개인정보 권리 강화
    • 대부분 자신의 개인정보가 유출 되었다고 하더라도 너무 많은 학습을 통하여 이제는 흔히 일어날수 있는 일이라고 치부하는 경우가 있습니다. 하지만 무엇보다 개인정보 유출은 제2 제3의 사건 사고를 이어질 수 있으므로 자신과 상관 없다고 하여 관심 밖에 일로 두어서는 안됩니다. 직접적인 피해자는 어떠한 피해가 일어났는지를 요구 할 수 있고 알수 있는 권리가 있습니다.


4.  개인정보 유출에 따른 우리의 대응과제

  • 법의 준거성
    • 우리가 옳고 그름을 판단할때에는 감정으로 이루어지는 것이 아닙니다. 법치국가인 만큼 법을 얼마나 지키는가 아닌가에 대한 법의 준거성 측면을 강조 할 수 있기 때문에 이러한 개인정보 유출로 인하여 해외로 빠져 나가거나 중국이나 암거래 시장으로 흘러 들어가게 되면 국익에 반하게 되는 것입니다. 따라서 법적 최소한의 기술적,관리적 보호조치 의무를 다해야 할 것입니다.
  • 보안인식의 확대
    • 보안 사건사고가 한번씩 나고 나면 잠시 언론에서 반짝하다가 사라지는 경우가 비밀비재 합니다. 보안은 직간접적으로 우리 생활과 너무나 많은 부분이 접해 있기에 보안인식을 확대하고 종합적인 대책을 강구해야 할것입니다. 이런 사유로 늦었지만 '개인정보보호법' 이제 제정이 되었고, 9월에 시행만 남겨 둔 시점에서 또 다시 이러한 보안사건사고가 생기는게 안타까울 마음뿐입니다. 국민 모두가 보안인식을 생활화 하는데에 앞장을 서야 하겠습니다.
  • CEO의 보안에 대한 투자 확대
    • 이러한 보안사건 사고가 생기면 모두 해당 업무 담당자의 몫으로 돌리는 경우가 있는데, 실제 실무에서 해당 업무 담당자의 이야기들을 들어 보면 결구 보안은 비용이라는 이야기와 보안 투자에 인색하다는 이야기를 너무나 많이 듣습니다. 우스게 소리로 이런 보안 사고들이 일어나야 경각심을 가진다라는 말이 결코 우스게 소리로 들리지 않을 만큼 중요한 사안임에도 불구하고 현실은 안타깝기만 합니다.


결론

오늘 한 언론 기사에서 CEO가 고개숙이고 고객들에게 사과하는 사진 장면을 보았습니다.  보안 사고는 결국 회사 이미지 추락으로 가져 오게 됩니다. 주가도 하락이 되고 그에 대한 책임은 또 고스란히 최고 책임자인 CEO로 돌아 오게 됩니다. 보안 마인드를 가지고 있는 CEO인지 아니면 그렇지 않는 CEO인지에 따라 회사의 여러가지 신뢰에 성공 여부가 돌아 올 것입니다.

보안사고는 바로 표면적으로 돌아 오게 됩니다. 사이트가 다운된다든지, 고객정보가 유출되었다든지 ..하지만 고객들은 1차적인 책임은 해당 기업으로 화살이 가게 마련입니다.

조금 더 보안에 대한 투자와 보안업무를 담당하는 담당자의 처우개선과 보안에 대한 인식을 더 확대하는 일련의 조치가 취해지지 않는이상 이러한 보안사고는 끊임없이 일어나고 비난 받을 것입니다. 그져 강건너 불구경 하듯이 나만 아니면 돼라는 식으로 안일한 대처를 하다간 하루 아침에 신뢰도가 추락하고 보안에 투자한 비용보다 더 값진 비용을 치러야 할 것입니다.  

"보안은 성공 비지니스의 핵심입니다. "    -엔시스


Posted by 엔시스

" 보안은 비지니스다"  " 보안은 경영과 함께 한다"  "보안이 안된 기업은 하루 아침에 퇴출될 수있다"

이러한 보안에 대한 중요성을 일일이 열거 하지 않더라도 아직도 대한민국 정보보호의 수준은 미흡하기만 합니다. 그것은 빠른 성장과 기술의 발전으로 미쳐 사람의 인식이 변화 되지 않고 있기 때문입니다. 관련 분야에서는 보안이 중요하다고 외치고는 있지만 정작 경험해 보지 않고서는 인식의 변화는 쉽게 바꾸어지지 않습니다.

그 중심에는 조직의 최고 의사결정자인 CEO의 정보보호에 대한 마인드에 있습니다. 중요한 것은 알지만 그러나 쉽게 투자 하지 않는...늘 우선순위에서 밀려버리는 .....그리고 담당 업무 실무자도 정보보호에 대한 성과를 수치로 나타내지 못해 자신의 업무를 잘 하고  있음에도 성과가 드러나지 않는..

어쩌다 한번 정보 유출 사고가 난다면 실무담당자 처벌은 점점 강화되고 강력해지지만 보안을 담당하는 담당자들의 처후나 복지는 아직도 열악하기만 합니다. 새로 제정이 되려는 개인정보보호법에는 양벌규정도 있습니다. 담당자와 CEO가 함께 처벌 되는것이지요. 그러니 이제는 신경 좀 쓰셔야 합니다.

대한민국 CEO 여러분 ~~

감히 보안에 투자 하라고 말씀 드리겠습니다. 주제 넘지만  사업의 성장에만 주력을 하다보면 결국 내부에 집안 단속을 잘 못해 하루 아침에 사업에 커다란 위협이 될 수있습니다. 이러한 사항은 아마도 조직 내부에서 일어나는 것을 본다면 많은 공감을 하리라 생각합니다.
 
최고 의사결정 하시는 분이 정보보호에 대한 마인드를 조금이라도 더 가지고 대내외적인 부분을 신경을 쓴다면,  그것은 더 나은 조직에 발전을 가져 올 것입니다. 또한 그 기업에 대한 고객의 신뢰도도 더 높아질 것입니다.

그러한 대안중에 하나가 조직 경영과 밀접하게 접목 할수 있는 정보보호관리체계를 수립해 보시길 권해 드립니다. 정보보호수준제고를 하더라도 주먹구구식에서 빠져 나와 이제는 조직의 보안정책 수립과 자산의 식별, 그리고 위험도 산정을 통하여 자산의 중요성이 높은 것부터 위협으로부터 보호하는 위험관리가 되어야 하는 것입니다.


제가 알고 있는 지인분들 중에서 올해 ISMS 인증심사를 준비중인 분들이 몇분 계시는 듯합니다. 물론 정보의 중요성도 알고 보호적인 측면도 알지만 무엇보다 의사결정자의 마음을 열게 하는 것은 비용이 아닐까 생각합니다.  그 비용에 대한 부분이 문턱이 많이 낮아진게 아닌가 하는 생각을 합니다.  한국인터넷진흥원 홈페이지에서 한번 찾아 보았습니다.



                                                   <출처:  한국인터넷진흥원 홈페이지 >


위 사항을 보면 조직의 규모나 심사범위에 따라 다르겠지만 평균 700만원 정도 소요된다고 게시하고 있습니다. 이는 1회성이 아닌 3년동안 갱신 되는 사후관리 심사까지 포함한 금액이라는 것입니다..

또한 할인혜택이 많이 주어지고 있는데요...눈에 띄는 것이  위 빨간 네모안에 내용입니다. 상시 근로자수 50명 미만 또는 매출액 50억 미만으로 인정된사업자는 50% 할인 해 준다네요..

자...그러면 조금 욕심이 생기지 않나요?  평균 700만원에 50% 할인이면 350만원 정도 될것입니다. 해당기관에서 상당히 문턱을 낮춘 금액이라 생각이 듭니다. 정보보호관리체계를 수립하고 인증을 받는데 이 정도 금액이면 그리 비싼 금액은 아니라는 생각이 듭니다. 충분히 보안에 투자할 가치가 있다고 생각이 드네요.

하지만 가장 큰 문제는 해당 조직에서  ISMS 인증심사를 준비를 하기 위한 인력이나 스스로 준비를 할 수있는가에 대한문제입니다. 그러다 보니 컨설팅 업체에 도움을 받게 되는데 이 금액이 아마도 더 들어가지 않은가 싶네요..

앞으로 정보보호관리체계(ISMS ) 업무를 담당 할 수 있는 인력을 적극 배출해 내는 것이 주요 관건이라 하겠습니다. 물론 관련 업계는 이러한 컨설팅을 통하여 수익을 창출 하겠지만 근본적인 목적은 최초에는 컨설팅 도움을 받겠지만 그 이후에는 스스로 유지 관리 할 수있는 능력을 길러야 한다는 것입니다. 실무 담당자분들도 ISMS에 대해 연구할 수 있는 기회마련도 되어야 합니다. 이젠 체계적인 정보보호관리가 필요하다는 것입니다.

여러분 기업의 고객에게 신뢰를 주고 싶습니까?
그럼 정보보호관리체계 수립을 한번 계획해 보시기 바랍니다. 350만원이라는 금액이 많으면 많을수 있고, 어쩌다 영업을 위한 골프접대, 술접대보다는 고객에게 기업의 신뢰를 줄 수 있는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)에 투자하는 것이 더 효율적이지 않을까요? 뭐..제가 해당소속 기관에 있는 사람도 아니고 광고 하는것도 아니지만 단지 보안인식제고를 함께 하자는데 지금까지는 일반인상대, 보안실무자 상대였지만 오늘은 CEO분들을 상대로 글로써 표현하기에 이렇게 목소리 높여 외치게 되네요

대한민국 CEO 여러분 ~~

이젠 조직의 자산에 대한 보호와 고객의 정보인 개인정보를 보호하는데 투자를 아끼지 말아야 합니다. 곧 2월에 있으면 개인정보보호법 통과를 앞두고 관련 업계 및 관련 기관에서 상당히 준비를 많이 하고 있습니다. 실제 시행을 하기까지는 다소 시간이 걸리겠지만 미리 준비해 두시는게 좋겠습니다.

그 의지는 정보보호담당자가 아닌 바로 조직의 의사결정자인 CEO분들에게 있다는 사실을 기억하셔야 합니다. 아무리 실무담당자가 건의를 하고, 애로사항을 호소하여도 그대로 무시해 버린다면 양치기 소년이 될 것입니다. 그땐 진짜 해킹과 위협이 왔을땐 속수 무책이 될 것은 당연한 것입니다.

비록, 저는 네이버에서 보안 커뮤니티 보안인닷컴(http://www.boanin.com) 을 통하여 일반인들과 보안관련 그리고 비보안하시는 분들에게 보안인식제고를 외치고 있지만, 오늘은 감히 대한민국 ceo분들에게 당부에 말씀을 제 블로그을 통하여 한번 포스팅 해 보았습니다. 너무 주제 넘은게 아닌가 하는 생각도 해 보지만, CEO분들이니 너그러이 용서해 줄것으로 생각하며 포스팅을 마감해 봅니다. 이거 너무 오지랖이 넓은건지 보안에 대한 열정이 있는건지 이젠 저도 잘 모르겠네요..ㅎㅎ 
 @ 보안강국이 되는 그날까지 ~~

Posted by 엔시스



대표이사나 CEO(최고경영자)라고 하면 직원 입장에선 아무래도 부담이 되는 인물이다. 그러기에 더욱 다가갈수 없는 부분들이 많다. 그렇지만 CEO들은 고독하고 외롭다고들 한다.


소통을 실천하고 있는 두 CEO

최근 트위터에서 회자되고 있는 '박용만' 회장의 트위터를 통한 소통은 많은이들에게 시사 하는 바가 크다. 누구나 그렇듯이 회장이라고 하면 왠지 어깨에 힘이 들어가고 일반 사람들은 범접할수 없는 그런 위치에 있는 분이라 생각을 한다. 하지만 박회장은 누구보다 옆집 아저씨 같이 소탈하고 자신의 모습을 가감없이 드러내 친근감을 유발 하고 있다. 그렇기에 '두산' 이라는 기업의 이미지는 더 친근하게 다가 오는 것이다.




블로그스피어서 또 다른 소통을 실천하고 있는 분이 바로 안철수 연구소의 '김홍선' 대표이다. 블로그를 통하여 각종 여러가지 사안이나 해외를 다니면서 느꼈던 점, 그리고 청소년들이나 후배들에게 하고 싶은 말들을 가감 없이 솔직하게 포스팅 해 준다. 이러한 블로그 포스팅으로 인하여 한결 더 친근감을 느끼게 된다. 그들의 면면을 살펴 봄으로 인하여 많은 배울점을 같이 함께 하는 것이다.


직원들은 CEO의 관심을 받고 싶어 한다.

직원들은 CEO의 관심을 받고 싶어 한다. 그냥 지나가는 말이라도 "수고 한다" 라든지. 개인 사생활에 관심을 가져 주면 무척 고마운게 사실이다.

"김과장, 부모님 편찮으시다더니 괜찮던가요? " 라든지  " 박대리, 동생 결혼식은 잘 치렀지? "

 
CEO가 관심을 가져주면 그만큼 조직에 애착이 생기게 마련이다. 하지만 경영자가 직원에 무관심하여 누가 누구인지 알지 못한다면 그 실망감을 클것이다. 물론 CEO가 일일이 남의 가정사 챙기고 할 시간적 정신적 여유가 있는 것은 아니다. 하지만 그렇기에 더욱 직원들에게 관심을 가지면 그 직원은 CEO의 인정을 받는다고 생각을 한다.

하지만 직원이 무슨일 하는지조차 모르고, 심지어는 그 직원은 본인회사 직원인지 아닌지조차 모른다면 어떻게 회사를 위하여 일을 할수 있겠는가? 혹시 중소기업이든 대기업이든 자신이 직원을 두고 기업을 운영하는 CEO는 한번쯤 되돌아 볼 필요가 있다. CEO는 포용하는 마음으로 직원을 대하여야 할 것이다. 결코 너 아니더라도 다른 사람들 많다라는 인식을 가지고 인재관리를 할땐 늘 취업사이트에 사람구한다는 말만 올라오고 말 것이다. 그런 기업에 올바른 인재가 지원 할리가 만무하다.


직원들 적재적소 배치도 중요한 역할

직원들에게 관심이 많다보면 능력있는 직원을 적재적소에 배치 할수 있다. 그것은 직원들의 강점을 살릴수 있는 기회를 마련해 주는 것이다.  우리가 흔히 듣는 말 중에 '자신의 강점을 더욱 부각시켜라' 라는 말이 있다. 그런 의미에서 본다면 나의 강점은 무엇일까?

곰곰히 생각해 보니 나의 강점은 " 끈기,노력,열정"이다. 난 끈기가 있다. 그래서 급하게 바로 뛰어드는 법이 없다. 어떨땐 그 것이 우유부단하게 느껴질수도 있고 아닐수도 있다. 하지만 난 내가 내린 결정에는 후회를 하지 않는다. 다만, 성급하게 내린 결정에 대해서는 후회를 한다. 끊임없이 끈기 있게 포기하지 않고 나가는 것이 나의 강점이다.

최근 급속하게 변화하는 시대와는 조금은 안 맞을수도 있겠지만, 지금까지 커뮤니티를 5-6년 동안 꾸준히 관리를 해 왔고, 칼럼도 꾸준히 커뮤니티내에서 160여개 적어 왔다. 또한 블로그도 한가지 주제인 '보안', '정보보호'에 대하여 시류에 흔들림 없이 꾸준히 써 가고 있는 것이다. 그것이 나의 강점인 셈이다. 사실 가끔은 너무 재미없는 보안이나 정보보호를 주제로 하니깐 사람들의 발길이 없으니 사실, 그리 재미가 있는 것은 아니다. 하지만 그들에게 잘 보이려고 적은 글이 아니니 ..그냥 그렇다는 이야기다.


마무리 글

맞벌이 하는 집에서 아이들을 키우다 보면 먹고 사는데에 바빠서 아이들이 어떻게 성장하고 무엇이 고민인지, 학교성적이 올랐는지 떨어졌는지 사춘기가 왔는지 알지 못하는 부모들이 많이 있다. 그렇다. CEO도 마찬가지라 생각을 한다. 직원 입장에서 보면 CEO 바쁜거 당연하고 시간없는거 당연하지만 그래도 직원들에게 '작은 정성'과 '관심'을 보여 준다면 더 조직을 위하여 더욱 충성하고 애사심을 보여 줄것이다.

나는 그런 이유로 예전에 있었던 직장에 다음과 같은 제안을 하기도 하였다. -회사에 5년근속,10년근속직원에게 많은 직원들 앞에서 회사에서 감사의 마음을 전하면 좋겠다. 또한 직원중에 결혼한 기혼자를 대상으로 결혼 기념일에 CEO가 자필로 적은 카드에 축하의 카드를 적어 샴페인 1병과 케익을 직원 당사자가 아닌 배우자에게 보내는 것- 전자는 시행이 되고 후자는 시행이 되지 않았지만 이렇게 한다면 가족은 가장인 아버지가 회사에서 인정해 주는 사람으로 인식하고 멋진 조직에 몸 담고 있는 것을 자랑스러워 할 것이다.

한번 상상해 보라. 자식들은 부모 결혼기념일에 그것도 CEO가 직접 자필로 적은 축하의 카드에 케익과 샴페인으로 가족과 함께 축하를 할수 있도록 배려 해준다는 것. 그 아이들은 아마도 아버지가 다니는 직장을 자랑스러워 할것이다.

가족이 가장인 아버지를 자랑스러워 하면 가장인 아버지는 어찌 회사에서 열심히 일 하지 않을수 있을까?

대한민국 CEO여러분 !!

가장인 아버지가 자랑스럽게 여길수 있는 방법이 무엇인가를 고민해 보시면 좋을듯 합니다. CEO의 작은 관심과 배려가 직원에게는 힘이 된다는 사실을 기억하시고 많은 실천을 해 주셨으면 합니다. @엔시스.

Posted by 엔시스