사이버 공격에 직면했을 때 CISO가 마주하는 과제는 사고 대응에 그치지 않는다. 커뮤니케이션 역시 위기 관리의 핵심 요소로 작용하며, 침해 사고 이후의 비즈니스 피해를 최소화하는 데 중요한 역할을 한다. CISO는 사고 대응 계획을 수립하고 점검하듯 위키 커뮤니케이션 계획도 홍보 조직을 비롯한 주요 부서와 협력해 함께 마련하고 실행하며 모의 테스트를 진행해야 한다.

커뮤니케이션 관점에서 효과적인 위기 예방은 3가지 요소로 이뤄지며, 이들 3가지 요소는 실제 위기가 발생한 이후에 비로소 시작되는 것이 아니다. 기업 커뮤니케이션 전략에는 일반적으로 다음과 같은 조치를 포함해야 한다.

• 위기 커뮤니케이션 계획은 다양한 위기 상황에 대비해 기업이 최적의 준비를 갖추도록 돕는다. 여기에는 명확한 행동 및 커뮤니케이션 수칙, 사전에 준비된 메시지, 안전한 커뮤니케이션 채널과 도구가 포함된다.
• 인터넷 모니터링은 소셜미디어와 언론에서 위기가 어떻게 인식되고 있는지 보여준다. 평판에 해를 끼칠 수 있는 게시물을 조기에 식별하고 신속하게 대응해야 한다.
• 평소의 일상적인 커뮤니케이션을 통해 언론과 접점을 미리 마련해두면, 위기 상황에서도 신뢰 기반의 관계와 평판을 효과적으로 활용할 수 있다.

핵심은 ‘역할 분담’

위기 상황에서 일관되게 커뮤니케이션하고 신속하게 대응하기 위해서는 명확한 커뮤니케이션 책임 체계를 갖추는 것이 필수다. 위기 상황에서 기업의 전반적인 대응에 대한 최종 책임은 경영진에게 있지만, 위기 커뮤니케이션에 대한 실질적 책임은 홍보 조직에 명확히 부여해야 한다.

위기 커뮤니케이션 비상 대응팀에는 실제 커뮤니케이션 의사결정에 적극적으로 참여할 책임이 있는 인원만 포함해야 한다. 이 조직은 직급이나 위계에 따라 구성하지 않고, 실질적인 역할과 책임을 기준으로 구성해야 한다.

비상 대응팀의 핵심 목표는 모든 부서의 구성원이 참여하는 위기 커뮤니케이션 대응팀(Crisis Communications Emergency Response Team, CCERT)을 구성하는 것이다. CCERT의 역할은 전사에 현재 상황을 명확히 공유하는 데 있다. 이는 사이버보안팀과 IT팀이 문제 해결을 위해 실행하는 구체적인 조치에 기반하기 때문에 CCERT는 홍보 조직 담당자와 사이버보안 또는 IT 담당자가 공동으로 이끌어야 한다.

CCERT는 커뮤니케이션 조치뿐 아니라, 사고와 관련한 외부 보도 상황을 지속적으로 모니터링해야 한다. 이를 바탕으로 커뮤니케이션 전략과 메시지를 상황에 맞게 조정하는 결정도 내려야 한다.

위기 상황에 대비한 인프라 사전 구축

위기 커뮤니케이션을 계획할 때는 다양한 실무적인 요소까지 함께 고려해야 한다. 예를 들어 위기 대응 회의를 진행할 전용 공간을 사전에 확보하거나, 온라인 회의 진행 방식을 미리 정해두는 것 등이다. 사이버 위기 상황에서는 이메일, 채팅, 유선전화, IP 전화 등 주요 커뮤니케이션 수단을 사용할 수 없을 가능성을 항상 염두에 둬야 한다.

보안을 위해 IT 네트워크에 접속할 수 없거나, 네트워크를 차단해야 하는 상황도 충분히 발생할 수 있다. 따라서 위기 대응팀의 연락처 목록과 사전에 준비한 문서는 내부 IT 네트워크 연결 없이 열람할 수 있도록 별도로 확보해 둬야 한다.

위기 상황에서는 팀 구성원이 기업 내부 IT 인프라와 분리된 별도의 이메일 계정을 사용해야 한다. 경영진은 이와 같은 대체 커뮤니케이션 인프라를 구축할 때, 데이터 보호와 보안에 각별히 신경 써야 한다.

위기 상황에서 사용할 커뮤니케이션 채널 마련

위기 상황이 발생해 초기 긴급 커뮤니케이션을 시작해야 할 때, 어디서부터 출발해야 할까? 사내 네트워크가 마비되고 공식 웹사이트 접속도 불가능한 상황이라고 가정하면 별도의 대체 사이트를 미리 구축할 필요가 있다.

대체 사이트는 위기 상황에서 고객, 파트너, 대중에게 중요한 정보를 제공할 수 있도록 사전에 준비된 웹사이트여야 한다. 사고 관련 커뮤니케이션과 기업의 대응 내용을 전달할 수 있는 영역을 미리 구성해두고, 필요한 경우 내용을 신속히 업데이트할 수 있도록 설계해야 한다. 위기가 발생하면 기업의 공식 웹사이트 주소는 가능한 한 빠르게 이 대체 사이트로 리디렉션해야 한다.

또한 대체 사이트는 위기 상황과 대응 현황에 대한 최신 정보를 지속적으로 게시하는 용도로 활용할 수 있다. 예를 들면 피해자, 언론, 파트너가 연락할 수 있는 정보를 함께 제공해야 한다. 누가 대체 사이트의 콘텐츠를 관리하고 업데이트할지 CCERT 내에서 사전에 명확히 정해두는 것이 중요하다.

다층적 커뮤니케이션 전략 수립

효과적인 외부 커뮤니케이션을 위해서는 언론과 소셜미디어 이용자가 일관된 출처에서 정보를 받아야 한다. 따라서 언론 대응은 반드시 홍보 경험이 있는 지정된 기업 커뮤니케이션 담당자만 수행하도록 명확히 규정해야 한다.

또한 위기 상황에서는 언론 대응이 여러 단계를 거쳐 이뤄지는 만큼, 모든 부서는 언론 대응을 맡은 지정 담당자의 연락처를 명확히 인지하고 있어야 한다.

위기가 발생하면 사전에 준비된 입장문을 제공할 수 있도록 해야 한다. 이 입장문에는 사고의 구체적인 내용을 담지 않더라도, 투명한 커뮤니케이션 의지를 명확히 드러내는 것이 효과적이다.

대부분의 사이버 사고는 유사한 양상을 보이므로 입장문은 사전에 충분히 준비할 수 있다. 내부적으로 위기의 규모와 영향 범위를 더 명확히 파악할수록 초기 입장문을 더욱 구체적인 내용으로 작성할 수 있다.

위기의 원인과 영향 범위가 확인되는 즉시, 핵심 메시지를 담은 공식 발표를 통해 적극적인 정보 공개에 나서야 한다. 사이버 공격은 대부분 알려진 유형을 따르기 때문에, 이런 보도자료 또한 사전에 준비해둘 수 있다. 필요에 따라 사고에 대한 이해를 돕거나 기업의 평판을 보호하고 피해자를 위한 추가 정보를 담은 보도자료를 별도로 추가할 수 있다.

적극적인 커뮤니케이션을 전개할 때 유의할 점은, 언론 연락처 목록이나 보도자료 발송 도구 같은 내부 시스템을 사용할 수 없을 가능성이 높다는 것이다. 이럴 경우 퍼블릭 클라우드 기반의 대체 솔루션이 방법이 될 수 있다. 하지만 위기 대응팀 구성원과 외부 긴급 협력자의 개인 이메일 주소, 휴대전화 번호 같은 중요한 정보는 가장 안전한 매체인 종이에 반드시 보관해 둬야 한다.

곧이어 배포할 두 번째 보도자료에는 사고에 대한 추가 정보와 위기 대응 전략의 설명, 피해자를 위한 안내 내용을 담는다. 이후 상황 전개에 따라 추가 보도자료를 순차적으로 발표하게 된다.

선택적으로 진행할 수 있는 네 번째 단계는 커뮤니케이션 관점에서 신뢰를 회복하는 데 도움이 된다. 경영진과 전문가가 함께 나서서 위기를 어떻게 극복했는지 그 과정과 노력을 직접 설명하는 것이다.

위기 커뮤니케이션 핸드북 가이드

위기 커뮤니케이션 매뉴얼은 CISO의 사고 대응 계획 매뉴얼뿐 아니라, 기업 전체의 종합 위기 대응 매뉴얼에도 반드시 포함돼야 한다. 매뉴얼은 다음 항목을 중심으로 설계하면 효과적이다.

• 위기 정의
• 책임 주체 정의
• 위기 대응팀 구성원 명단 및 개인 이메일, 휴대전화 번호를 포함한 전체 연락처
• 각 위원회의 역할 및 업무 설명
• 대응 프로세스 정의
• 위기 시 활용할 모든 커뮤니케이션 채널 정의(대상 그룹별 채널 구분 포함)
• 위기 시 사용할 커뮤니케이션 도구 정의
• 대외 발표 담당자의 역할 정의
• 위기 인지부터 해결까지 전 과정을 담은 플로우차트
• 조직의 커뮤니케이션 문화에 대한 설명
• 사전에 준비된 문서 양식 및 메시지 템플릿

경험적으로 위기 커뮤니케이션 매뉴얼은 반드시 경영진, 홍보 조직, IT 부서, 보안 전문가, 그리고 각 부서의 실무 담당자가 함께 참여하는 협업 과정을 통해 마련해야 한다. 이 매뉴얼은 위기 상황에서 기업 생존을 좌우할 핵심 요소다. 위기 발생 시 효과적인 커뮤니케이션이 이뤄지지 않으면 고객과 파트너가 관계를 끊을 가능성이 높아지기 때문이다.

마지막으로 사이버보안 모의 훈련처럼, 사이버 공격에 따른 위기 커뮤니케이션 역시 정기적으로 연습해야 한다. 그래야 위기 선언부터 최종 보고까지 전 과정을 반복적으로 점검함으로써 대응 조치가 효과적으로 작동하는지, 위원회가 제 역할을 수행하는지, 프로세스가 계획대로 이뤄지는지, 그리고 준비된 템플릿이 실제 상황에 적합한지 확인할 수 있다.
dl-itworldkorea@foundryco.com