기업이 정보보안과 관련해 가장 심각한 상황에 직면하게 되는 경우는 IT침해를 통해 정보가 유출되는 경우일 것이다. DDoS 공격 등을 통해 서비스가 중단되는 경우에도 그로 인한 피해와 기업 이미지에 영향이 있겠으나, 그동안 발생한 보안사고의 면면을 보면 정보유출로 인한 경우가 가장 큰 피해를 주고 있다고 판단된다.

개인정보 유출사고의 경우, 일단 사고가 발생하게 되면 그동안의 노력은 한순간에 물거품이 되고 만다. 법적 책임여부나 담당자의 잘잘못 여부가 문제가 아니다. 최종 판결 시까지 기업의 이미지는 떨어지게 되고, 혹여 잘못 대처해 대중의 공분이라도 사게 되면 각종 언론에 도배가 됨은 기본이다. 각종 공문서와 사고사례에 회자되면서 잊히지 않는 직인으로 남아 두고두고 기업의 이미지에 먹칠을 하게 될 수도 있기 때문이다.

더구나 최종 판결에 승소하더라도 이미 기업에게는 깊은 상처가 남아 오랫동안 그 후유증에 시달려야만 한다. 따라서 보안사고가 발생한 경우 기업들은 이를 숨기고자 하는 유혹에 빠지기 쉽다. 그러나 이러한 은폐 시도가 발각되면 오히려 그에 따른 후폭풍까지 각오해야 하는 위험한 결정이다. 법적인 책임이 문제가 아니라 대중의 공분을 자초하는 자충수가 될 수 있기 때문이다. 필자의 경험으론 대중과 관련해 기업이 선택할 수 있는 방법은 오직 정면돌파뿐이라고 본다. 그렇다고 무조건 정면돌파를 시도하는 것이 아니라 다음 두 가지 사항을 명심할 필요가 있다.

첫째, 보안사고 발생 초기에 무조건 사고를 진화해야 한다. 시간을 오래 끄는 것은 기업에게 무조건 불리한 상황을 만들게 된다. 각종 블로그나 언론 등에서 관련 사고 내용을 오래 언급하면 언급할수록 기업의 이미지는 점점 하락하고, 사고의 후유증도 커지게 된다. 따라서 기업은 모든 역량을 동원해 초기에 사고를 진화하도록 최선을 다해야 한다. 그들이 원하는 사고내용과 진실을 모두 던져주어 한바탕 크게 욕을 먹고 곤란을 겪더라도 그들의 관심에서 빨리 멀어져야만 하는 것이다.

둘째, 대중에게 진심으로 다가가야만 한다. 진심이 담긴 사과와 적극적인 보상 및 노력의 자세로써 대중의 분노를 잠 재워야 한다. 어설프게 진실을 호도하기 위해 차일피일 미루다가는 오히려 더 큰 파장으로 다가오게 되고 대처가 불가능한 상황까지 몰릴 수 있다. 대중은 진실을 알고 싶어 하고 진심 어린 사과와 보상을 원하는 것이므로 이러한 요구에 충실히 대응한다면 보안사고의 파장은 빠르게 진정될 수 있다. 어쩌면 정직한 기업 이미지를 만들 호재로 활용할 수 있을지도 모른다.

얼마 전 작고하신 고(故) 김영삼 전 대통령께서 남기신 말 중 대도무문(大道無問)이란 말이 유명하다. “큰 뜻에는 지름길이 없다” 정도로 해석하면 될까 싶다. 보안사고도 마찬가지다. 그 대응에는 지름길이나 편법은 없다. 오직 우직한 정면돌파만이 진정한 해법이다.