[아이뉴스24 성지은 기자] "보안에 대한 책임은 최고경영자(CEO)에게 있다. 해킹사고 당시 이 메시지를 고객에게 전달하고 사고를 수습하기 위해 고객 입장에서 적극적으로 소통했다."
프랭크 블레이크 전 홈디포 회장은 4일(현지시간) 미국 워싱턴.D.C 힐튼호텔에서 열린 '파이어아이 사이버 디펜스 서밋 2018'에서 2014년 홈디포 해킹사고를 회상하며 이같이 말했다.
미국 주택용품 소매업체 홈디포는 2014년 5천600만장의 카드정보가 유출됐다. 해커는 약 5개월간 홈디포를 해킹해 고객의 신용카드, 체크카드 정보를 수집했다.
당시 최고경영자(CEO)로 해킹사고를 수습한 블레이크 전 회장은 "노동절 다음 화요일 아침 신용카드 정보 등이 유출됐다는 소식을 전달받았다"며 "1~2시간 안에 은행들에서 해킹 의심 사고가 있다는 전화가 쏟아졌고 문제를 인식하게 됐다"고 당시 상황을 설명했다.
급작스러운 사고 소식을 듣고 혼란에 빠질 수 있었지만, 상대적으로 침착하게 대응할 수 있었다는 게 그의 설명이다. 위급 상황에 대비해 이와 유사한 가상의 상황을 만들고 대처 훈련을 받았기 때문이다.
블레이크 전 회장은 "분명히 좋은 소식은 아니었지만 바로 공황에 빠지진 않았다"고 말했다. 다만 "정보 유출 소식 이후 다음날 매출이 30% 가까이 떨어져 밥을 먹기 힘들 정도로 마음고생이 심했다"며 "사람들이 그 시절로 돌아가면 어떻게 대처할 거냐고 묻는데, 그냥 사고가 발생하지 않았으면 좋겠다"고 당시 겪은 어려움을 토로했다.
그는 해킹사고를 수습하며 얻은 교훈을 3C로 요약했다. 소통(Communication), 협력(Cooperation), 최고경영자의 리더십(CEO's leadership)이다.
그는 "처음에 결정을 내린 것은 사이버 유출 사고에 대해 투명하게 공개하는 것이었다"며 "고객들에게 우리가 확실한 건 아니지만 조사를 실시하고 있다고 발표했고, 고객 입장을 고려해 매번 정보를 업데이트했다"고 말했다.
사고 소식 다음 날엔 매출이 즉각 감소했지만, 적극적으로 소통한 결과 전반적인 매출은 줄지 않았다는 게 그의 설명이다.
블레이크 전 회장은 "고객을 잘 돌보는 것이야말로 기업이 해야 할 일"이라며"부정적 여론이 담긴 기사를 의식하는 데 시간을 낭비하기보다 소통하는 데 집중했다"고 강조했다. 또한 "우리는 고객 입장을 고려해 첫 번째 성명서에서 '거짓말을 말하지 않겠다'고 약속했다"며"재정문제가 발생할 시엔 홈디포에서 책임지겠다고 알렸다"고 덧붙였다.
해킹 경위 등을 조사하기 위해 미연방수사국(FBI) 등 조사기관과도 적극 협력했다.
그는 "조사에 필요한 정보를 조사기관과 적극적으로 공유했다"며 "특별한 정보에 대해서는 FBI가 말하지 말라고 주의를 상기시켰는데, 가이드라인에 따라 행동했다"고 말했다.
보안 사고와 관련해서는 CEO가 직접 책임을 떠안고 문제 해결을 주도해야 한다는 게 그의 생각이다. 최고정보관리책임자(CIO), 최고정보보호책임자(CISO)에게 책임을 묻기보다 CEO가 나서 문제 해결을 주도해야 한다는 것.
블레이크 전 회장은 "보안사고가 발생하면 사람들은 대체적으로 무엇이 잘못인지, 누구에게 잘못이 있는지 잘잘못을 따지지만, 사이버 유출이 벌어져 문제를 해결해야 할 때 이에 대한 책임을 묻는 것은 옳지 않다"며 "사고 발생 당시 CEO에게 책임이 있다는 인상을 주고 각 책임자에게 결과보고를 받아 문제를 해결하기 위해 노력했다"고 말했다.
워싱턴D.C(미국)=성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기