제목: 정보 유출 사태, 적절한 대응과 투명한 정보 공개의 중요성
최근 정보 보안 사고가 일상화된 가운데, 기업이나 지방자치단체의 정보 유출 사과와 공지를 보며 불충분한 설명에 의문을 품은 적이 있는지도 모른다. 만약 본인의 직장에서 사고가 발생했다면, 과연 같은 시선으로 바라보지 않을 자신이 있는가? SNS의 발달로 인해 사고 발표가 명성에 미치는 위험이 커지는 시대에, '대중에게 어떻게 전달하는가'는 기업 이미지, 주가, 신뢰 유지를 위해 무시할 수 없는 요소가 되고 있다. NRI 세큐어 테크놀로지스(NRI SecureTechnologies)의 산업 전문가들과 기자가 정보 공개에 대해 논의했다.
산업 전문가들에 따르면, 정보 공개는 크게 두 가지 유형으로 나뉜다. 첫째, 전문 기관이나 보안 커뮤니티 간에 이루어지는 '정보 공유'는 필요한 정보를 수집하고 다른 조직에 피해가 확산되는 것을 방지하기 위한 것이다. 둘째, '피해 공표'는 법적 요구를 충족하고 사용자 및 사회에 대한 설명 책임을 이행하기 위한 것이다. 피해 공표의 기준은 사고의 규모와 유형에 따라 7단계로 나뉘며, 각 단계에 맞는 대응이 필요하다.
때에 따라서는 즉각적인 공개가 필요한 경우도 있다. 예를 들어, 사용자가 웹사이트에 접속함으로써 악성 소프트웨어에 감염되거나 피싱 사기를 당할 위험이 있는 경우, 즉각적인 공개가 필요하다. 또한, 자사의 피해가 동종 업계에서도 발생할 수 있는 경우, 전문 기관과 협력하여 원인이 밝혀지는 대로 주의를 환기시키는 공개도 고려될 수 있다.
그러나 초기 보도 후 정보 업데이트가 없으면 대중의 불신을 초래할 수 있으므로, 해외에서는 이해관계자들의 이해를 얻기 위해 타임라인 형식으로 정보를 업데이트하는 경우도 있다. 이러한 전제를 바탕으로, 적절한 정보 공개의 형태에 대해 전문가들과 기자가 토론을 진행했다.
