제목: freee, 사이버 보안 위기 대응 훈련 실시 - 내부 정보 유출 및 사기 대응 시나리오
최근 자주 거론되는 암흑 아르바이트와 투자 사기의 위협 속에서, 기업들은 자사 정보의 유출뿐만 아니라 그 정보가 범죄에 악용되는 상황에 대한 두려움을 가지고 있다. 클라우드 기반 회계 및 인사 서비스를 제공하는 freee(프리)는 이러한 위기에 대비하기 위해 사내 보안 훈련을 실시하고 있다. freee는 2018년 10월에 발생한 대규모 장애를 잊지 않기 위해 매년 10월 전사적인 장애 훈련을 진행해왔다.
이번 훈련의 주제는 유출된 정보가 악용될 가능성이 동시다발적으로 제기될 때, 사내에서 적절한 협력이 이루어질 수 있는지 여부였다. freee는 과거에도 고객 불만을 처리하는 콜센터와 언론 문의를 받는 홍보실 등 여러 부서를 포함한 시나리오 훈련을 실시해왔다. 이번에는 비즈니스 조직을 중심으로 한 협력을 테마로 한 시나리오를 만들었다.
훈련 시나리오는 다음과 같다. 어느 날, 콜센터에 고객 A씨로부터 "세무사의 이름을 도용한 투자 사기를 당했다"며 도움을 요청하는 연락이 들어온다. 거의 동시에, 다른 창구에는 B세무사 법인으로부터 "자사 정보를 사용한 가짜 투자 제안을 하는 딥페이크 동영상이 만들어졌다"는 문의가 접수된다. 이 두 문의는 겉보기에는 무관해 보이지만, 실제로는 같은 원인에서 비롯된 것이었다. 부실한 관리로 인해 유출된 개인 정보가 사기단에게 넘어가 세무사를 사칭한 딥페이크 사기가 만들어지고 피해자가 발생한 것이다.
이번 훈련은 정보가 통합되어 적절히 에스컬레이션될 수 있는지, 보안 팀, 법무, 홍보 등의 스테이크홀더가 참여하여 정상적인 보안 운영으로 연결될 수 있는지를 중점적으로 다루었다. freee의 CISO인 모기와 유키 상무이사는 "내부 부정 행위에 대한 대비도 중요하다"고 말했으며, CIO인 토사 테츠헤이는 "조직이 커질수록 내부 통제를 강화하는 것이 어렵다"고 언급하며, 이번 훈련의 중요성을 강조했다.
