[오늘의 보안 영어] affected

“The information did not contain credit card information, Social Security Number, account passwords or other sensitive personal information. We are notifying affected customers.”
-BleepingComputer-

[이미지 = utoimage]

- affect는 쉬운 단어라 대부분의 사람들이 알고 있습니다. ‘영향을 주다’라는 뜻이죠. affected는 ‘영향을 받은’이라는 뜻이고요.

- 사이버 공격을 받아 데이터 침해가 의심되거나 확실시 되는 기업들이 성명문을 발표할 때 이 단어를 꼭 씁니다. 위에서처럼 ‘이번 사건으로 영향을 받은 고객들에게 알리고 있다’는 식인데, 생각해 보면 affected라는 단어만이 아니라 아예 이 문장 자체가 거의 반드시 나오는 것도 같습니다.

- 내 개인정보가 누군가 의도하지 않은 사람의 손에 넘어간 것 자체를 소비자들은 피해라고 생각하고 있기 때문에 affected라는 단어를 보면 기분이 썩 좋지는 않습니다. ‘피해 고객에게 알리고 있다’가 더 맞는 표현으로 느껴지기 때문입니다.

- 기업 입장은 다릅니다. 새나간 개인정보를 통해 2차 공격이 발생하고, 그로 인해 실질적인 재산 피해나 물리적 피해가 발생해야만 피해라고 인식하죠. 정보 정도 외부로 넘어간 게 뭐 그리 대수냐는 인식이 아직 팽배한 게 사실입니다. “이걸 아직 피해라고 말하기는 힘들고...”라는 설명은 사건 발생 시 회사 측과 인터뷰할 때 가장 많이 듣는 말 중 하나입니다.

- affected라는 말에는 뉘앙스가 하나 더 있습니다. ‘외부 요인’이 작용했다는 것입니다. 외부의 누군가가 우리에게 영향을(혹은 피해를) 줬다고 말하고 싶은 게 affected라는 단어를 사용하는 기업의 심리이기도 합니다. 내부자의 실수나 배반 등의 이유는 아니다, 즉 우리가 내부 인력 관리 못해서 그런 건 아니라는 의미가 내포되어 있다고 볼 수 있습니다. 실수를 저지른 게 아니라 불가항력적인 일이 일어났다는 거죠.

- 결국 affected는 대부분의 경우 사건의 규모를 축소해서 알리고자 하는 기업의 입장이 잔뜩 배어 있는 용어 선택이라고 봐도 무방합니다. 그리고 이 단어를 써서 사건을 고지하는 게 표준처럼 굳어지고 있습니다.

- 보안 관련 외신에서 affected라는 단어가 나올 때, ‘피해를 본'이라고 이해하면 더 정확합니다.

※ 이 코너는 보안뉴스에서 발간하는 프리미엄 리포트의 [데일리 보안뉴스+] 콘텐츠를 통해 2주 빨리 만나실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)