개인정보 유출을 발견한 날 당신이 해야 할 일 7가지

1. 사내 대응TF를 즉시 구성하라 

절대 개인정보보호팀이나 정보보안팀만으로 TF를 꾸리면 안 된다. 
이유는 나머지 해야 할 일들을 보면 저절로 알 수 있을 것이다. 
개인정보보호팀이나 정보보안팀 이외에 IT, 법무, 대외, 사업(마케팅 등 포함), 홍보, 감사, 때로는 인사까지 관계 부서의 핵심 인력을 참여시켜야 한다. 
외부 변호사나 보안전문가도 참여시키면 좋지만, 극초기 단계에서는 사안의 기밀 유지도 고려해서 적절히 결정하라. 

2. 해킹 및 유출의 경로와 원인을 신속히 파악하라 

사실관계의 “추정”과 “확정”은 전혀 다른 이야기다. 
특히 유출 여부에 대한 과학적·공학적 추론과 실제 사실 여부는 일치할 때가 적지 않지만, 궤를 달리할 때도 적지 않다. 
특히 관련 정보가 부족할 수밖에 없는 사건 당일은 더욱 그렇다. 
객관적인 태도로, 합리적인 증빙에 기초하여 파악한 진실을 가지고 유출 여부를 확정하라.

3. 소정의 신고와 통지 절차를 이행하라 

정보통신망법의 침해 신고(즉시, 24시간)와 개인정보 보호법(지체 없이, 72시간)의 유출 신고는 이제 구별해서 진행하는 것이 바람직하다. 
과거에는 후자로써 전자를 갈음하기도 했으나, 최근 전자에 대해 과태료 제재가 신설되어 더욱 그렇게 보기는 힘들게 되었다. 
아울러, 정보주체에 대한 통지에 인색하지 말아야 한다. 급히 신고만 하고 통지를 망설이는 경우도 적지 않은데, 연락처가 없는 경우가 아니라면 신속히 진행해야 한다.

4. 고객 소통을 강화하고 2차(추가) 피해 방지책을 강구하라 

고객은 왕(王)이다. 그리고 가끔 죽이기도 살리기도 하는 신(神)이다.
신고와 통지 전에 혹은 그와 동시에 고객센터 인력과 전용라인을 미리 충분히 확보하여 고객 불만을 최소화해야 한다. 
초기 단계 고객의 한 마디 불만을 미래의 소송 10건으로 생각해라, 실제로도 그렇다. 어떻게든 2차(추가) 피해를 방지할 각종 방안을 생각해내야 한다. 
그리고 피해 보상에 아끼지 마라. 선제적 피해 보상 때문에 수천만 건이 유출되고도 한 건의 소송도 제기되지 않은 사건들이 있다.

5. 언론대응의 분명한 기조를 정하되, 종합적 통찰력을 발휘하라 

방금 살펴본 고객 소통과 함께 언론대응이 사건 초기의 행방을 갈음함을 명심하라.
때로는 유보적인 입장이 지나치게 솔직한 입장보다 더 바람직할 때도 있고, 그 반대일 때도 있다. 
정답은 없으나, 다만, 필요한 것은, 사안의 진실 자체, 향후 대응방안, 수사기관·행정기관의 입장 등을 종합적으로 고려할 수 있는 통찰력이다. 
혼자 이 모든 것을 판단할 수 없으니 끊임없이 함께 상의하라. 

6. IT적 사고를 버리고 규범적으로 생각하라 

유출사고 이후에도 기술적 대응에 집착하는 경우가 많다. 
그러나, 문제된 취약점 보완과 사실관계 확정 외에는 당장 기술적으로 대응할 것은 없다. 
이제 남은 것은 “평판”과 “제재”뿐이다. 평판에 관련된 문제는 이미 살펴보았고, 궁극적으로 제재(손해배상 포함)에서 살아남아야 한다. 
“법령이 요구하는 컴플라이언스를 준수하였는가? 미진해 보이는 점들이 있다면 어떻게 설득하고 방어할 수 있는가?”에 몰두하라. 
변호사(들) 고용하였으니 다 되었다고 생각하지 마시길… 당신이 불 밝혀주지 않으면 모두 어둠을 헤맬 뿐이다.

7. 주문을 외워라 

당신이 하는 말을 당신의 귀가 가장 먼저 듣는다. 
그리고 당신이 듣는 말은 당신을 규정하고, 나아가 동료들이 듣는 그 말이 동료들의 한계를 정한다. 
모두 멘탈이 붕괴되는 처연한 상황에서 주문을 외워라. “죽으란 법(法)은 없다!” 진짜 맞는 말이다, 100% 보장한다.