만약 이러한 일이 발생하면 누가 책임을 집니까?
조직도 우리도 마찬가지 입니다!
Bill Mew는 핵심 오피니언 리더로 디지털 윤리 캠페인 담당자이며 기업가입니다. 핵심 오피니언 리더로서 Bill은 ‘의미있는 보호(Bill은 데이터 보안의 세계 정상급 인플루언서로 선정됨)와 경제 및 사회 가치의 ‘극대화(또한 Bill은 사이버 보안 및 디지털 변혁에서부터 govtech 및 스마트 시티에 이르기까지 모든 분야의 세계 정상급 인플루언서로도 선정됨) 사이의 균형을 맞추는 것에 집중합니다. 그는 또한 매주 TV/라디오(BBC, RT 등)에서 이러한 주제의 전문가로 등장합니다. 영국의 다른 어떤 과학 기술자보다도 방송에 많이 출연하고 있습니다.
기업가로서 Bill은 CrisisTeam.co.uk의 창립자이자 CEO이고, 이곳에서 그는 사고대응, 인터넷 관련 법규, 명성 관리 및 사회적 영향 분야의 엘리트 전문가 팀과 협업하며 고객들이 사이버 공격의 영향을 최소화할 수 있도록 도왔습니다.
많은 조직에서 사이버 보안는 CISO에서만, 개인정보 보호는 규정준수부에서만 담당한다는 인식이 팽배해 있습니다. 사이버 보안와 개인정보 보호를 공동 책임으로 생각하지 않으면 데이터는 안전할 수 없으며, 데이터에 문제가 생기면 모두가 집단으로서, 개인으로서 책임을 지게 됩니다.
이러한 조직에서는 고위 관리직이 사이버 보안과 개인정보 보호를 진지하게 받아들이지 않고 있습니다. 대부분 CISO 또는 DPO(데이터 보호 관리자)에 책임을 전가할 수 있는 업무라고 생각하며 간과하기도 합니다. 이러한 고위 관리직이 이러한 사고방식을 유지할 경우 조직 내 태도에도 영향을 미치며 결국 모든 직급의 직원들이 이를 중요한 문제라고 생각하지 않게 되는 것은 당연한 일입니다.
오로지 가격만 고려하여 암호화되지 않은 USB 드라이브, SSD 또는 IOT 장치 조달을 결정하고, 해당 장치가 안전한지 하드웨어 암호화가 가능한지 고려하지 않은 경우, 암호화되지 않은 장치의 사이버 보안이 취약해집니다. 이로 인하여 조직 전체가 데이터 유출 위험에 처하게 됩니다.
직원이 기본 사이버 안보 규칙을 준수하지 않고 비밀번호 또는 이메일 첨부파일 관리를 소홀히 할 경우, 조직 전체의 보안이 위험해질 수 있습니다. 사이버 범죄자들은 약하거나 알려진 비밀번호를 적극적으로 목표로 삼고 피싱 기법으로 피해자의 보안을 약화시킵니다. 이는 사이버 피해 사례에서 가장 흔한 공격 벡터입니다.
GDPR은 명시된 사용 목적에 대한 동의를 얻은 경우에만 개인 정보를 수집할 수 있다고 규정합니다. 불법적으로 데이터를 수집 또는 공유할 경우, 모두가 막대한 벌금 및 소송 위험에 처할 수 있습니다.
조직도 우리도 마찬가지 입니다!
조직 내에서 암호화되지 않은 USB 드라이브, SSD 또는 안전하지 않은 IoT 장치를 사용하는 모습을 발견하실 경우, 분명히 말해야 합니다. 동료의 사이버 보안 상태가 깔끔하지 않은 경우, 분명히 말해야 합니다. 마케팅 부서에서 고객 개인정보를 부적절하게 사용하는 직원을 목격할 경우, 분명히 말해야 합니다.
조직이 상명 하달식으로 태도를 바꾸고 사이버 보안 및 개인정보 보호를 중요시 여기도록 하려면 문화적인 사고방식을 바꿔야 합니다.
조직에서 마련할 수 있는 장려책은 많습니다. 고객들이 개인정보를 안전하게 관리하는 조직과의 거래를 선호하고 그렇지 않은 조직과의 거래는 거려한다는 명확한 근거가 있습니다. 고객의 신뢰를 유지하고 이러한 신뢰를 저해할 사이버 보안 사고를 예방하는 것이 모두의 최우선순위가 되어야 합니다.
조직이 데이터 보호를 진지하게 받아들이게 할 수 있는 제지 방법도 많습니다. 우선 GDPR은 최대 2천만 유로 벌금 또는 연간 매출의 4% 중 더 큰 금액을 사고마다 지불하도록 규정합니다. 사고 해결 비용이 천만 유로 단위에 이를 수 있으며, 랜섬웨어 공격일 경우 사이버 범죄자가 추가로 천만 유로 수준의 금액을 요구할 수 있습니다. 개인정보 남용 피해자로부터 소송을 당할 수도 있습니다.
조직에 제재를 가하는 것만으로는 충분하지 않다는 듯이, 개인에 가하는 제재도 등장하고 있습니다. 임원진과 CISO 한 명이 개별적으로 피고로 지명었된 미국의 최근 소송은 사이버 보안 사고 소송의 새로운 선례를 정립했습니다. 애널리스트 기업 Gartner의 보고서는 CEO 개인이 사이버 공격에 대한 책임을 지게 되리라 예측하였습니다.
시민과 고객으로서 우리는 조직이 개인정보를 보호하기를 바라며, 우리가 다른 사람의 개인정보에 대한 책임이 있을 때 이에 대한 기준이 그 만큼 높아야 합니다. 집단으로서 개인으로서 우리 모두에게 책임이 있을 수 있다는 점을 유념해야 합니다. 개인정보 보호는 올바른 일이므로 이에 집중할 수 있도록 모두가 똑같이 동기부여를 받아야 합니다.
#KingstonIsWithYou
저희는 SSD가 특정 저장 환경에 불러올 이점과, 모바일로 업무를 보는 직원이 이동 중에 안전하게 작업할 수 있도록 하는 데 가장 적합한 SSD에 대한 조언을 제공합니다.