기타
2014.05.26 15:36
[SBERI Report] 개인정보 유출 사고에 대응하는 기업 비교 - 한국과 미국
개인정보 유출 사고에 대응하는 기업 비교 - 한국과 미국
미국 3대 대형 마트 '타킷(Target)'의 정보 유출 사건
2013년 12월 최대 1억 1000만 명(미국 전체 인구의 3분의 1)에 달하는 고객의 신용정보가 해커들에 의해 유출된 사건
[원칙 1] 빠르게 조치하고, 자주 소통하라
- [12월15일] CEO 스타인하펠은 고객정보 유출 사실을 확인하자 마자 바로 정보 시스템 환경이 안전한지, 소비자들이 안전하게 쇼핑할 수 있는지를 확인하도록 지시함. 오후 6시경에 ‘안전조치’가 이뤄졌음을 보고 받음
- [12월16일] 본격적인 사건조사에 착수
- [12월17일] 전국의 매장 직원들에게 어떻게 고객을 응대 해야 하는지를 준비시킴
- [12월18일] 고객에게 통지함
- [12월19일~2월4일] 총 11차례에 걸쳐 고객에게 지속적인 상황 안내 및 응대
[원칙 2] 여론에 대응할 때 '법적 사고'로 판단하거나 소통하지 말라
- [1월10일] 카드 번호가 아닌 다른 데이터의 도난 사실을 공개할 법적 책임이 없었으나 공개함
- [1월13일] 4000만 명의 신용카드 및 직불카드 번호 유출, 7000만 건의 이름, 주소, 이메일 등 추가 유출 사실을 신문 전면광고를 통해 사과
- [1월14일] 회사의 보도자료가 회사의 입장을 옹호하는 측면에서 변호사가 쓴 것 같다는 고객들의 민원을 수용하여 보도자료를 수정함
[원칙 3] 위기관리 과정에서도 또 다른 위기를 만들지 마라
- 모든 고객들에게 1년 짜리 개인정보 도난 보험을 제공하기로 함
- 이는 모든 미국인에게 무료로 도난보험을 제공할 정도의 엄청난 비용임
[원칙 4] 진심으로 사과하라, 가치로 설명하라, 회사의 이름을 걸고 사과하라
- 회사를 광고할 때와 마찬가지로 회사 로고를 맨 상단에 배치함
- 사과문 맨 마지막에 CEO 친필 서명과 이름, 직책을 기술함
- 위기상황임에도 기업의 가치와 지향을 적극적으로 설명하고 앞으로의 기대와 의지도 천명함
- 고객의 이름과 전화번호 등 어떤 정보가 유출됐는지 분명하게 설명하고 조치의 내용도 구체적으로 기술함
- 상투적이거나 감정적이지 않은 사과임
- [1월13일] CNBC 경제뉴스에서 독점 인터뷰를 통해 사건경위 설명 및 사과 인터뷰를 함
신용정보회사 코리아크레딧뷰로(KCB) 정보 유출 사건
2014년 1월 KB카드 5300만 명, 롯데카드 2600만 명, NH카드 2500만 명 등 총 1억400만 건의 개인정보가 KCB 직원에 의해 유출된 사건
[원칙 1] 빠르게 조치하고, 자주 소통하라
- 지체 없이 고객에게 통보한 회사는 단 한 곳도 없었음
- 3개 카드사는 검찰의 사고 발표 후 20일이 지날 때까지 정보 유출 통지서를 발송하지 않음
- “이메일, 우편을 한꺼번에 발송하면 고객들의 재발급, 해지 신청이 몰려들어 업무 처리에 혼란이 생길 수도 있다” 혹은 “대금 청구서와 함께 보내려고 그랬다” 등 지극히 회사 편의 중심적인 발언을 해 소비자와 여론의 분노를 자극함
[원칙 2] 여론에 대응할 때 '법적 사고'로 판단하거나 소통하지 말라
- NH농협카드의 경영진은 국회의원들에게 “솔직히 말씀드리면 저희들이 피해자입니다. 엄격히 이야기하면”이라고 발언하는 실수를 저지름
- “법적으로 엄밀히 따져보면” KCB라는 제3자가 유출한 것이므로 법적으로는 자신들도 피해자라고 주장함
[원칙 3] 위기관리 과정에서도 또 다른 위기를 만들지 마라
- KCB는 카드사로부터 정보유출을 통보받은 고객에게만 피해자가 신청하면 1년간 무료로 신용정보 보호서비스를 제공하겠다고 함
- KCB는 유출사건 이후에도 이를 유료로 판매해 비난이 일자 금감원이 판촉 자제와 무료 제공을 요구해 결국 무료 서비스가 이뤄진 것임. 즉, 자발적인 조치가 아니었음
- 유출사고를 낸 회사가 신용정보 보호 서비스를 제공한다는 것 자체가 문제의 소지를 가짐
[원칙 4] 진심으로 사과하라, 가치로 설명하라, 회사의 이름을 걸고 사과하라
- 로고를 빼고 하얀 백지에 검은 글자로 구성된 밋밋한 지면의 사과문을 올린 기업도 있음
- 회사의 비상 책임자가 자신의 이름을 내걸지 않고 ‘임직원 일동’ 뒤에 숨음
- 사과문 내용은 법무법인이 작성한 글처럼 딱딱하고 상투적으로 구성된 경우도 있음
- 기업 고유의 브랜드와 문화를 상징하는 언어는 찾아보기 힘듦
- 유출 사건에 대해서 검찰의 발표와 KCB의 책임으로 규정하고자 함
* 동아비즈리스리뷰(2014.3.11) 제149호 ‘유사한 개인정보 유출 사고 너무나 다른 한미 기업의 대응’을 토대로 작성하였습니다. http://www.dongabiz.com/Business/Strategy/article_content.php?atno=1203110401&chap_no=1