인사이트 리포트/상세 기사
loading...

보안

위기 커뮤니케이션 계획: 사이버보안 사고 대응을 위한 실무 가이드

Michael Kausch

이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기]

이제 사이버보안 사고는 발생 여부가 아닌 발생 시점의 문제로 인식되고 있습니다. 비즈니스 연속성과 평판을 지키기 위해 위기 대응 커뮤니케이션 계획은 필수입니다. 사이버 공격에 직면했을 때 CISO가 마주하는 과제는 사고 대응에 그치지 않습니다. 커뮤니케이션 역시 위기관리의 핵심 요소로 작용하며, 침해 사고 이후의 비즈니스 피해를 최소화하는 데 중요한 역할을 합니다. CISO는 ‘사고 대응 계획’을 수립하고 점검하듯 ‘위기 커뮤니케이션 계획’도 커뮤니케이션 부서를 비롯한 주요 부서와 협력해 함께 마련하고 실행하며 모의 테스트를 진행해야 합니다.

커뮤니케이션 관점에서 효과적인 위기 예방은 3가지 요소로 이뤄지며, 이들 3가지 요소는 실제 위기가 발생한 이후에 비로소 시작되는 것이 아닙니다. 기업 커뮤니케이션 전략에는 일반적으로 다음과 같은 조치를 포함해야 합니다.

  • 위기 커뮤니케이션 계획은 가능한 모든 위기 상황에 대해 기업이 최적의 대비를 할 수 있도록 지원합니다. 여기에는 명확한 행동 및 커뮤니케이션 수칙, 사전에 준비된 메시지, 안전한 커뮤니케이션 채널과 도구가 포함됩니다.
  • 인터넷 모니터링은 소셜미디어와 언론에서 위기가 어떻게 인식되고 있는지 보여줍니다. 평판에 해를 끼칠 수 있는 게시물을 조기에 식별하고 신속하게 대응합니다.
  • 평소의 일상적인 커뮤니케이션을 통해 언론과 접점을 미리 마련해 두면, 위기 상황에서도 신뢰 기반의 관계와 평판을 효과적으로 활용할 수 있습니다.

핵심은 ‘역할 분담’

위기 상황에서 일관되게 커뮤니케이션하고 신속하게 대응하기 위해서는 명확한 커뮤니케이션 책임 체계를 갖추는 것이 필수입니다. 위기 상황에서 기업의 전반적인 대응에 대한 최종 책임은 경영진에게 있지만, 위기 커뮤니케이션에 대한 실질적 책임은 기업 커뮤니케이션 부서에 명확히 부여해야 합니다.

위기 커뮤니케이션 비상 TF에는 실제 커뮤니케이션 의사결정에 적극적으로 참여할 책임이 있는 인원만 포함해야 합니다. 이 조직은 직급이나 위계에 따라 구성하지 않고, 실질적인 역할과 책임을 기준으로 구성해야 합니다.

TF의 핵심 목표는 모든 부서의 구성원이 참여하는 위기 커뮤니케이션 비상 대응팀(Crisis Communications Emergency Response Team, CCERT)을 구성하는 것입니다. CCERT의 역할은 전사에 현재 상황을 명확히 공유하는 데 있습니다. 이는 사이버보안팀과 IT팀이 문제 해결을 위해 실행하는 구체적인 조치에 기반하기 때문에, CCERT는 기업 커뮤니케이션 담당자와 사이버보안 또는 IT 담당자가 공동으로 이끌어야 합니다.

CCERT는 커뮤니케이션 조치뿐 아니라, 사고와 관련한 외부 보도 상황을 지속적으로 모니터링해야 합니다. 이를 바탕으로 커뮤니케이션 전략과 메시지를 상황에 맞게 조정하는 결정도 내려야 합니다.

위기 상황에 대비한 인프라 사전 구축

위기 커뮤니케이션을 계획할 때는 다양한 실무적인 요소까지 함께 고려해야 합니다. 예를 들어 위기 대응 회의를 진행할 전용 공간을 사전에 확보하거나, 온라인 회의 진행 방식을 미리 정해두는 것 등입니다. 사이버 위기 상황에서는 이메일, 채팅, 유선전화, IP 전화 등 주요 커뮤니케이션 수단을 사용할 수 없을 가능성을 항상 염두에 두어야 합니다.

보안을 위해 IT 네트워크에 접속할 수 없거나, 네트워크를 차단해야 하는 상황도 충분히 발생할 수 있습니다. 따라서 위기 대응팀의 연락처 목록과 사전에 준비한 문서는 내부 IT 네트워크 연결 없이 열람할 수 있도록 별도로 확보해 두어야 합니다.

위기 상황에서는 팀 구성원이 기업 내부 IT 인프라와 분리된 별도의 이메일 계정을 사용해야 합니다. 경영진은 이와 같은 대체 커뮤니케이션 인프라를 구축할 때, 데이터 보호와 보안에 각별히 신경 써야 합니다.

위기 상황에서 사용할 커뮤니케이션 채널 구축

위기 상황이 발생해 초기 긴급 커뮤니케이션을 시작해야 할 때, 어디서부터 출발해야 할까요? 사내 네트워크가 마비되고 공식 웹사이트 접속도 불가능한 상황이라고 가정하면 별도의 대체 사이트를 미리 구축할 필요가 있습니다.

대체 사이트는 위기 상황에서 고객, 파트너, 대중에게 중요한 정보를 제공할 수 있도록 사전에 준비된 웹사이트여야 합니다. 사고 관련 커뮤니케이션과 기업의 대응 내용을 전달할 수 있는 영역을 미리 구성해 두고, 필요한 경우 내용을 신속히 업데이트할 수 있도록 설계해야 합니다. 위기가 발생하면 기업의 공식 웹사이트 주소는 가능한 한 빠르게 이 대체 사이트로 리디렉션해야 합니다.

또한 대체 사이트는 위기 상황과 대응 현황에 대한 최신 정보를 지속적으로 게시하는 용도로 활용할 수 있습니다. 예를 들면 피해자, 언론, 파트너가 연락할 수 있는 정보를 함께 제공해야 합니다. 누가 대체 사이트의 콘텐츠를 관리하고 업데이트할지 CCERT 내에서 사전에 명확히 정해두는 것이 중요합니다.

다층적 커뮤니케이션 전략 수립

효과적인 외부 커뮤니케이션을 위해서는 언론과 소셜미디어 이용자가 일관된 출처에서 정보를 받아야 합니다. 따라서 언론 대응은 반드시 홍보 경험이 있는 지정된 기업 커뮤니케이션 담당자만 수행하도록 명확히 규정해야 합니다.

또한 위기 상황에서는 언론 대응이 여러 단계를 거쳐 이뤄지는 만큼, 모든 부서는 언론 대응을 맡은 지정 담당자의 연락처를 명확히 인지하고 있어야 합니다.

위기가 발생하면 사전에 준비된 입장문을 제공할 수 있도록 해야 합니다. 이 입장문에는 사고의 구체적인 내용을 담지 않더라도, 투명한 커뮤니케이션 의지를 명확히 드러내는 것이 효과적입니다.

대부분의 사이버 사고는 유사한 양상을 보이므로 입장문은 사전에 충분히 준비할 수 있습니다. 내부적으로 위기의 규모와 영향 범위를 더 명확히 파악할수록 초기 입장문을 더욱 구체적인 내용으로 작성할 수 있습니다.

위기의 원인과 영향 범위가 확인되는 즉시, 핵심 메시지를 담은 공식 발표를 통해 적극적인 정보 공개에 나서야 합니다. 사이버 공격은 대부분 알려진 유형을 따르기 때문에, 이런 보도자료 또한 사전에 준비해 둘 수 있습니다. 필요에 따라 사고에 대한 이해를 돕거나 기업의 평판을 보호하고 피해자를 위한 추가 정보를 담은 보도자료를 별도로 추가할 수 있습니다.

적극적인 커뮤니케이션을 전개할 때 유의할 점은, 언론 연락처 목록이나 보도자료 발송 도구 같은 내부 시스템을 사용할 수 없을 가능성이 높다는 것입니다. 이럴 경우 퍼블릭 클라우드 기반의 대체 솔루션이 방법이 될 수 있습니다. 하지만 위기 대응팀 구성원과 외부 긴급 협력자의 개인 이메일 주소, 휴대전화 번호 같은 중요한 정보는 가장 안전한 매체인 종이에 반드시 보관해 둬야 합니다.

곧이어 배포할 두 번째 보도자료에는 사고에 대한 추가 정보와 위기 대응 전략의 설명, 피해자를 위한 안내 내용을 담습니다. 이후 상황 전개에 따라 추가 보도자료를 순차적으로 발표하게 됩니다.

선택적으로 진행할 수 있는 네 번째 단계는 커뮤니케이션 관점에서 신뢰를 회복하는 데 도움이 됩니다. 경영진과 전문가가 함께 나서서 위기를 어떻게 극복했는지 그 과정과 노력을 직접 설명하는 것입니다.

위기 커뮤니케이션 핸드북 가이드

위기 커뮤니케이션 매뉴얼은 CISO의 사고 대응 계획 매뉴얼뿐 아니라, 기업 전체의 종합 위기 대응 매뉴얼에도 반드시 포함돼야 합니다. 매뉴얼은 다음 항목을 중심으로 설계하면 효과적입니다.

  • 위기 정의
  • 책임 주체 정의
  • 위기 대응팀 구성원 명단 및 개인 이메일, 휴대전화 번호를 포함한 전체 연락처
  • 각 위원회의 역할 및 업무 설명
  • 대응 프로세스 정의
  • 위기 시 활용할 모든 커뮤니케이션 채널 정의(대상 그룹별 채널 구분 포함)
  • 위기 시 사용할 커뮤니케이션 도구 정의
  • 대외 발표 담당자의 역할 정의
  • 위기 인지부터 해결까지 전 과정을 담은 플로우차트
  • 조직의 커뮤니케이션 문화에 대한 설명
  • 사전에 준비된 문서 양식 및 메시지 템플릿

경험적으로 위기 커뮤니케이션 매뉴얼은 반드시 경영진, 커뮤니케이션 부서, IT 부서, 보안 전문가, 그리고 각 부서의 실무 담당자가 함께 참여하는 협업 과정을 통해 마련해야 합니다. 이 매뉴얼은 위기 상황에서 기업 생존을 좌우할 핵심 요소입니다. 위기 발생 시 효과적인 커뮤니케이션이 이뤄지지 않으면 고객과 파트너가 관계를 단절할 가능성이 높아지기 때문입니다.

마지막으로 사이버보안 모의 훈련처럼, 사이버 공격에 따른 위기 커뮤니케이션 역시 정기적으로 연습해야 합니다. 그래야 위기 선언부터 최종 보고까지 전 과정을 반복적으로 점검함으로써 대응 조치가 효과적으로 작동하는지, 위원회가 제 역할을 수행하는지, 프로세스가 계획대로 이뤄지는지, 그리고 준비된 템플릿이 실제 상황에 적합한지 확인할 수 있습니다.

IDG logo

▶   해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶   해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.


이 글이 좋으셨다면 구독&좋아요

여러분의 “구독”과 “좋아요”는
저자에게 큰 힘이 됩니다.

subscribe

구독하기

subscribe

Michael Kausch
Michael Kausch

vibrio의 Founder

관련 아티클

공유하기