반응형
개인정보 유출 사고를 생각하면 보통
- 차단
- 포렌식
- 복구
같은 기술 대응을 떠올리게 된다.
물론 중요하다.
하지만 실제로 대응 단계에서 더 크게 흔들리는 건 기술이 아니라 “정리되지 않은 사실관계”인 경우가 많다.
그래서 나는 유출 대응을 준비할 때 기술보다 먼저 정리해야 하는 것이 있다고 느낀다.
‘무슨 일이 있었는지’를 증명할 수 있어야 한다
사고가 발생하면 가장 먼저 필요한 건 결론이 아니라 기록이다.
- 어떤 시스템에서
- 어떤 계정으로
- 언제부터 언제까지
- 어떤 데이터가
- 어떤 경로로
이게 정리되어야 대외적으로도 말이 맞고, 내부 대응도 흔들리지 않는다.
그래서 평소에 사고 대응 준비를 한다면,
가장 먼저 아래를 점검하는 게 좋다고 본다.
- 접근로그가 남는가(누가, 언제, 무엇에)
- 로그 보관기간이 충분한가(조사에 필요한 기간)
- 로그가 변조되지 않게 관리되는가(무결성)
- 백업/스냅샷 정책이 조사와 충돌하지 않는가
통지/보고가 필요한 경우, "시점"이 중요한 이유
유출 대응에서 타임라인은 핵심이다.
누가 언제 알았고, 언제 조치했고, 언제 보고했는지에 따라
사후 평가가 크게 달라질 수 있다.
그래서 대응 체계를 만들 때는
‘기술 조치 플로우’뿐 아니라
‘보고 플로우’를 같이 붙여두는 게 안전하다고 느낀다.
예:
- 1차 탐지(관제/알림) → 2차 사실확인(보안/개인정보) → 의사결정(책임자) → 보고/통지 준비
- 개인정보 담당자 관점에서 자주 점검하는 포인트
사고 시점에 가장 빈번하게 등장하는 질문은 이것들이다.
- 유출 범위는 개인정보인가, 로그인가, 결합 가능한 데이터인가
- 암호화/가명처리/마스킹이 적용돼 있었는가
- 유출 데이터가 단독으로 식별 가능한가
- 접근 주체는 내부 계정인가, 외부 침해인가
- 2차 피해 가능성(스피어피싱 등)은 어느 정도인가
결국 결론은 “사고의 성격”을 분류하는 데서 출발한다.
그래야 대응 강도가 정해진다.
평소에 만들면 좋은 산출물 2개
개인적으로 사고 대응 준비에서 가장 효율이 좋았던 산출물은 아래 2개였다.
- 시스템별 개인정보 처리흐름 요약(어디에 무엇이 있는지)
- 사고 대응 체크리스트(사실확인 질문 20개 정도)
이 두 개가 있으면 사고 대응에서 ‘첫 2시간’이 훨씬 단단해진다.
마무리
유출 대응은 결국
기술이 아니라 ‘정리’의 싸움이라는 생각이 든다.
기술 조치도 중요하지만,
- 기록이 남고
- 사실관계가 정리되고
- 커뮤니케이션이 흔들리지 않는 구조
이게 준비돼 있어야 실제로 대응이 된다.
반응형