"해킹에 성공하면 10만달러를 지급합니다."

연이은 해킹 사고를 보며 더보드는 정보보안을 둘러싼 기업들의 고민을 기사로 담아 냈다. 정보보안을 위해 이사회에선 무엇을 하고 있고 어떤 투자를 하는지 살펴봤다. 다양한 얘기들을 담았지만 결국 핵심은 예방과 대응책이다. 제대로 예방을 냈나, 사고가 발생한 뒤 제대로 대응을 했느냐가 기업의 명운을 가른다.

가장 좋은 건 예방이다. 해킹에 성공하면 10만달러를 지급하겠다는 위의 사례는 테슬라가 내걸은 버그카운티 프로그램이다. 테슬라는 오토파일럿을 해킹하면 10만달러를 지급한다고 내걸었다. 그외 중대한 해킹 이슈는 2만~5만달러의 상금을 내걸었다. 그만큼 해킹 대응에 자신있다는 얘기다.

아직 10만달러를 타갔다는 소식은 듣지 못했다. 해킹을 당해도 10만달러를 지급하면서 또 하나의 스토리텔링 마케팅을 할 듯하다. 언젠가 해킹에 노출될 텐데 예방을 잘 하고 있다는 대외 명분을 벌써부터 챙겼다.

예방을 못했다면 사후 대처를 잘해야 한다. 사고 수습에서 기업 평판이 갈린다.

베스트프랙티스로 꼽히는 사건은 노르웨이 알루미늄 제조 기업 노르스크 하이드로(Norsk Hydro)다. 2019년 랜섬웨어의 공격을 받아 사내 IT네트워크가 마비가 됐다. 데이터 유출은 없었지만 전세계 3만5000명이 근무하는 공장이 멈췄다.

노르스크는 해킹이 발견된 즉시 사안을 공개하고 CEO가 직접 언론과 시장에 내용을 공개했다. 해커들의 요구는 거부하고 당국과 협조를 하며 해킹 집단을 조사했다. 개인 정보 유출 여부를 공개적으로 선제적으로 점검했다.

사태가 수습되기 전까지 수작업으로 기록을 해가며 공장을 돌렸다. 해킹 사고를 전사적 위기 관리 체계 재정립의 기회로 삼았다. 네트워크 분리, 백업 체계 등을 새롭게 했다. 피해 규모는 1억달러 수준에 달했다. 결국 법적 분쟁은 없었고 위기 대응을 잘했다는 평판을 남겼다.

미국 보험사 Aflac에선 2025년 초 2200만명에 달하는 고객 정보가 유출되는 사건이 있었다. Aflac도 대응을 잘 한 케이스로 꼽힌다. 공시를 통해 즉시 내용을 공개하고 즉각적인 보상 패키지를 제공했다. 무료 신용모니터링과 신원 도용 방지 서비스를 약속했다. 베스트프랙티스까진 아니어도 표준적인 대응 모델을 잘 따랐다는 평가를 받는다.

최악의 대응으로 꼽히는 곳은 우버다. 우버는 2016년 5700만명의 고객 개인정보가 해커에 의해 탈취되는 사건에 휘말렸다. 이름 이메일 전화번호 운전면허 정보 일부가 노출됐다.

사후 대응은 정 반대였다. 우버는 사건을 공개하지 않고 자체 해결에 나섰다. 해커에게 10만달러를 지급하고 데이터를 삭제하겠다는 약속을 받았다. CEO는 사건에 침묵하고 축소했다. 1년여 뒤 언론에 의해 해킹 사실이 알려지며 2차 위기를 맞게 됐다.

뒤늦게 미국과 유럽의 규제당국의 조사를 받게 됐고 집단 소송까지 갔다. 결국 미국 다수의 주에서 1억4800만달러 규모의 합의금을 내는 소송으로 끝맺음했다. 남은 것은 신뢰 추락과 평판 악화였다.

2025년 한국에선 유독 해킹 사고와 정보 탈취 사건이 많았다. 롯데카드 정보 도용, KT의 소액결제 사건, SK텔레콤의 유심 정보 노출, 쿠팡의 개인 정보 탈취사건까지 있었다. 해당 사안들을 곱씹어 보면 베스트와 워스트 프랙티스가 교차한다.

즉시 사건을 투명하게 공개하고 당국과 협력해 고객 구제책을 만든 케이스가 있는가 하면 오너가 뒤늦게 사과를 하고 은폐하기 급급한 케이스도 있었다.

열명이 한명의 도둑을 잡지 못한다고 이런 사고는 언제든 벌어진다. 아무리 돈을 많이 써도 제대로 막지 못한다. 참고로 쿠팡의 정보보안 예산은 860억원으로 삼성전자 KT에 이어 국내 기업 중 3위에 해당한다.

문제는 대응이고 사후 조치다. 사건을 축소하고 여론전만 벌이는 것은 누구에게도 도움이 되지 못한다. 제때 대응을 하지 못했어도 투명한 공개와 재발 방지책을 마련하는 게 급선무다. 평판이라도 건지는 게 피해를 최소화하는 첩경이다.