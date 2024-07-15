사이버 보안 위기 커뮤니케이션: 무엇을 해야 할까

작성자

Jennifer Gregory

Cybersecurity Writer

사이버 보안 전문가들은 조직이 사이버 공격의 표적이 '된다면'이 아니라, '되었을 때'를 생각해야 한다고 말합니다. 대응 준비는 계속되는 데이터 유출을 막고 데이터를 복구하며 비즈니스를 온라인 상태로 복구시키는 방안 같은 기술적 측면에 치중하곤 합니다. 이러한 작업도 중요하지만 대응 준비의 핵심인 위기 커뮤니케이션은 간과되기 쉽습니다.

사이버 공격은 브랜드 평판에 심각한 타격을 주면서 기업의 미래 성공과 수익에 상당한 영향을 미칠 수 있습니다. 그러나 위기 커뮤니케이션을 효과적으로 수행하면 문제를 복구하고 관리하는 기업의 역량을 보여주면서 고객에게 신뢰를 얻는 데 도움이 됩니다. 사건이 발생하기 전에 위기 커뮤니케이션을 준비해 두고 탄탄한 계획을 따르면 조직이 폭풍우를 헤쳐나갈 수 있습니다.

사이버 보안 위기 커뮤니케이션 계획 방법

성공적인 위기 커뮤니케이션은 사이버 보안 사고가 시작되기 훨씬 전에 시작됩니다. 전체 재해 복구 계획의 일환으로 사이버 보안 위기 커뮤니케이션을 구상해 두는 기업도 있고, 별도의 계획을 세워두는 기업도 있습니다.

Melanie Ensign은 보안, 개인 정보 보호, 위험 팀을 위한 다학제적 커뮤니케이션 엑설런스 센터 Discernible의 창립자이자 CEO입니다. Ensign은 많은 기업이 보안을 등한시하다가 문제가 생기고 나서야 불안한 환경에서 상황을 좋게 좋게 해석하려 애쓴다고 지적합니다.

"고객과 함께 일할 때 저는, 내일 무슨 일이 벌어진다면 무슨 말을 하고 싶은지 묻습니다. 진실이었으면 하는, 이 사건에 대응해서 할 수 있었으면 하는 말은 무엇인가요?" Ensign은 말합니다. "그러면 기업으로서 어떤 모습을 보이고 싶은지, 어떤 가치와 특성을 표현하고 싶은지 이야기합니다. 우리는 그 모든 것을 사실로 만들기 위해 노력합니다. 사실이 아니라면 말할 수 없으니까요."

위기를 성공적으로 관리하는 데 필요한 기반을 구축하기 위한 세 가지 핵심은 다음과 같습니다.

1. 위기 커뮤니케이션 위원회 구성

공격이 발생할 때 조직 전체에서 협업하고 모든 커뮤니케이션을 관리할 팀을 구성합니다. 이렇게 하면 커뮤니케이션이 간과되지 않게 하고 허위 정보 확산을 줄일 수 있습니다. 법률, 사이버 보안, 일반 관리, PR 등 사이버 대응에 관여하는 조직 전체의 구성원이 모인 팀을 구성합니다.

2. 위기 커뮤니케이션 계획 수립

위원회가 소집된 후 최우선 순위 중 하나는 모든 작업을 자세히 설명하고 사이버 보안 사고 후 모든 커뮤니케이션을 누가 책임지고 담당할지 결정하는 것입니다. Ensign은 모든 의사 결정권을 가진 핵심 임원 모두가 사전에 동의하게 하는 것이 중요하며, 그러지 않으면 이들이 사건 과정에서 불편함을 느끼고 자기만의 계획을 세울 가능성이 높다고 말합니다. 또한 공격 중 주요 의사 결정권자가 부재 중이면 다른 리더가 쉽게 그 자리를 채우는 플레이북을 제공하는 계획이 꼭 필요하다고 말합니다.

사이버 공격에는 랜섬웨어부터 데이터 유출에 이르기까지 다양한 계획이 포함될 수 있으므로, 최대한 많은 시나리오를 파악하고 각각에 대해 적절한 초안을 자세히 설명하면서 계획을 세워야 합니다. 이메일, 웹사이트, 소셜 미디어 등의 소통 창구는 물론 다른 부서와의 커뮤니케이션 지점도 계획에 포함해야 합니다.

"우리에게 계획이 있고 그 계획을 따랐다는 것을 규제 기관에 보여줄 수 있어야 합니다. 때로는 계획을 거슬러야 할 수도 있습니다. 일이 예상과 다르게 흘러가서 계획을 수정해야 하는 사건을 통해 많은 것을 배웠고, 계획은 이러한 편차들을 정당화하는 데 도움이 됩니다." Ensign은 말합니다.

3. 팀 전체를 대상으로 유출 시뮬레이션 수행

기술 팀과 함께 사이버 대응을 연습하는 조직은 많지만, 위기 커뮤니케이션 역시 시뮬레이션에 포함시켜야 합니다. 실제 공격은 조직의 모든 사람과 외부 이해관계자에게 매우 스트레스가 많기 때문에 대응을 연습하면 긴장, 불안, 오류 발생 가능성이 줄어듭니다.

사이버 보안 위기 시 해야 할 일

사이버 보안 공격이 식별되면 위기 커뮤니케이션 계획을 실행에 옮길 때입니다. 실제 상황은 계획과 다를 때가 많고 감정 소모가 크기 때문에 각 단계에서 다음 사항을 염두에 두는 것이 중요합니다.

1. 최대한 신속하고 투명하게 소통하기

소통이 빠를수록 소문과 추측이 줄어듭니다. 공격과 영향에 대한 기본 정보가 확보되면, 무슨 일이 있었고 비즈니스 프로세스가 어떻게 변경되었는지 명확하게 설명하는 초기 성명서를 공유하세요. 직원이나 회사의 실수로 인한 공격이라면 책임을 부담합니다. 소셜 미디어나 전용 웹페이지 등을 통해 앞으로 새 소식을 전달할 방식과 업데이트 일정을 설명하세요. 첫 번째 커뮤니케이션에서는 비밀번호 변경이나 계정 모니터링처럼 영향을 받았을 수 있는 사람들이 취해야 하는 모든 조치를 안내해야 합니다.

2.소비자가 추가 정보를 얻을 수 있는 프로세스 준비

영향을 받은 고객들에게, 특정 상황에 대한 추가 정보를 안내하는 전화 핫라인이나 전용 이메일을 알립니다. 이러한 채널을 지속적으로 모니터링하면서 질문에 신속하게 응답하게 하세요. Change Healthcare는 최근 있었던 유출 이후 정보 전달 전용 웹사이트를 구축하고 전화 핫라인도 개설했습니다.

3. 정기적인 커뮤니케이션 업데이트

사이버 공격은 진화하고 있기 때문에 영향을 받는 모든 당사자와 정기적으로 소통하면 신뢰를 다시 쌓을 수 있습니다. 업데이트를 제공함으로써 고객에게 여러분이 상황을 심각하게 받아들이면서 조치를 취하고 있음을 알리세요. Change Healthcare는 모든 비즈니스 기능의 상태와 기능별 복원 예상 날짜를 보여주는 상세한 웹페이지를 만들었으며, 이 웹페이지는 복구가 한창일 때 매일 업데이트되었습니다.

"사건의 영향을 받는 고객과 사람들은 매체보다 훨씬 오랫동안 관심을 가질 것입니다" Ensign은 말합니다. "더 이상 매체에서 언급되지 않는다고 해서 소통을 계속하는 것이 중요하지 않다는 의미는 아닙니다.

4. 앞으로의 위험을 줄이는 방법 공유

SolarWinds 공격 이후 회사는 Facebook 및 Yahoo 보안 책임자 출신 스탠포드 대학교 교수인 Alex Stamos, 그리고 사이버 보안 및 인프라 보안국(CISA) 국장 출신 Chris Krebs를 SolarWinds 복구를 위한 독립 컨설턴트로 영입하여 미래의 사이버 보안에 대한 신뢰를 높였습니다. SolarWinds는 또한 미래의 위험을 줄이기 위해 보안 계층에 대대적인 변화를 감행하고 대중에 알렸습니다.

커뮤니케이션 계획 수립

사이버 공격은 알려지지 않은 많은 요소와 복잡한 상황을 수반합니다. 탄탄한 계획을 준비하고 커뮤니케이션을 관리하는 팀을 구성하면 상황에 맞춰 쉽게 계획을 수정할 수 있습니다. 위기 커뮤니케이션을 효과적으로 해내면 기업이 대응과 커뮤니케이션을 기반으로 고객으로부터 더 많은 신뢰를 얻고 사이버 공격을 철폐할 수 있습니다.

"일이 생기기 전에 커뮤니케이션 계획, 프로그램, 자산, 자료, 관계를 전부 준비해 것이 중요합니다. 일이 닥쳐도 그 순간이 오리라는 것을 모두가 알고 있기 때문에 준비된 모든 것을 자유롭게 사용하면서 원하는 모습을 내보일 수 있습니다." Ensign은 말합니다.

IBM X-Force Cyber Crisis Management 컨설턴트는 커뮤니케이션 팀이 주요 사이버 공격에 대응하고 비즈니스의 시나리오 선호도에 맞게 조정된 강력한 맞춤형 위기 커뮤니케이션 플레이북을 구축할 수 있도록 지원합니다. 커뮤니케이션 스트림을 사이버 위기 계획에 통합하거나 오래된 계획을 개선하여 현재의 업계 표준에 부합하도록 도와드립니다. 또한 고객사의 커뮤니케이션 팀이 참여하는 몰입형 시뮬레이션을 실행하여 사이버 위기 가능성에 대비하는 근육 기억을 만드는 데 도움을 줄 수 있습니다.

IBM의 Cyber Crisis Management 서비스에 대해 자세히 알아보려면 여기를 클릭하세요.

지금까지 위기 상황에서의 커뮤니케이션을 위해 무엇을 해야 할지 알아보았습니다. 이 시리즈의 다음 편 위기 커뮤니케이션: 무엇을 하지 말아야 할까도 읽어보세요.

