보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[주말판] 보안 문화 정착시키기, 더 이상 선택 사항이 아니다

입력 : 2023-11-04 10:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
조직의 보안을 강화하려면 기술도 필요하고 전략도 필요하고 정책도 필요한데, 이제는 ‘문화’도 필요하다. 보안 문화가 제대로 정착되지 않는다면 아무리 좋은 기술이나 전략이나 정책도 허술하게 변한다.

[보안뉴스 문정후 기자] 능력과 경험이 출중한 보인 팀이 갖춰져 있는가? Okay.
성능 좋은 엔드포인트 탐지 소프트웨어와 모니터링 도구가 설치되어 있는가? Okay.
다중인증 시스템이 활성화 되어 있고, 모든 직원이 이를 잘 쓰고 있는가? Okay.
그렇다면, 우리 회사는 안전한가? Hmm.

[이미지 = gettyimagesbank]


최첨단 기술이 있고 최정예 전문가들이 든든하게 버티고 있다면 사실 어느 조직이건 보안 걱정을 할 필요가 없어야 맞다. 하지만 우리는 지난 수년 동안의 경험으로 잘 알고 있다. 보안이라는 게 그렇게 간단한 문제가 아니라는 걸 말이다. 가장 비싼 솔루션과 가장 몸값 높은 전문가를 모셔도 뚫릴 땐 뚫리는 게 우리의 네트워크이며 시스템들이다. 우리에게는 최첨단 기술과 최정예 전문가들 외에도 필요한 게 있는데, 바로 ‘보안 문화’다.

그렇다면 ‘보안 문화’라는 건 무엇인가? 조직 내 모든 구성원이 보다 안전한 행동을 선택하는 분위기가 잘 형성된 상태가 유지되는 것을 말한다. 보다 안전한 행동을 매번 선택하려면 교육도 잘 되어 있어야 하고, 보안 사고가 터졌을 때 책임을 진다는 약간의 부담감도 있어야 한다. 그 외에도 보안 문화를 구성하는 것에는 여러 가지가 있을 수 있다. 보안 문화를 구성할 때 기억해야 할 몇 가지 사안들을 소개하자면 다음과 같다.

1) 위에서부터 시작 : 그것이 무엇이든 조직 내에서 문화라는 걸 의도적으로 형성하려면 위에서부터 시작하는 게 보통이다. 보안도 마찬가지다. 물론 위에서부터 아래로 내려오는 것만이 유일한 방법이라는 것은 아니다. 하지만 보안과 관련된 여러 가지 실천 사항들을 실행하도록 권유하고 전파하는 게 위에서 아래로 내려왔을 때 훨씬 효과적인 게 사실이다. 반대로 조직 내 서열이 가장 낮은 자가 보안을 담당한다고 했을 때, 위험한 파일을 다운로드 받지 말라거나 특정 링크를 클릭하지 말라거나 소프트웨어 업데이트를 하라는 지시가 얼마나 지켜질까?

게다가 보안 문화를 정착시킨다는 건 경우에 따라 꽤 큰 돈이 들어갈 수도 있는 일이다. 지갑을 단단히 틀어쥐고 계신 누군가가 뒤에서 지원을 해주는 것이 중요하다. 그 인물이 보안에 관심이 없다면, 혹은 보안을 중요하게 생각하지 않는다면 CEO가 움직여야 한다. 그래야 재무 책임자가 머뜩찮게 여겨도 지갑이 보안을 향해 열린다.

2) 사이버 보안의 중요성을 증명 : 사이버 보안이 중요하다는 사실을 모르는 사람은 이제 거의 없다고 봐도 무방하다. 하지만 보안의 중요성을 인정하는 것과, 보안 문화를 기꺼이 받아들여 정착시키는 것은 별개의 이야기다. 수많은 기업들이 아직 보안 문화와 거리가 먼 상황에서 사업을 유지하고 있으니까 말이다. 왜 그럴까? 보안이 중요하다는 것을 기계적으로만 알고 있기 때문이다. 누군가 혹은 시대가, 매체가 보안이 중요하다고 하도 강조하니 그것에 떠밀려 보안의 중요성을 읊는다는 것이다. 중요함을 몸으로 익히고 알아야 ‘보안 문화’라는 것의 씨앗이 발아한다.

그렇기 때문에 보안 문화를 배양하고자 하는 조직이라면 보안의 중요성을 증명하고, 실질적으로 느끼게끔 만들어줘야 한다. 이는 조직의 상황에 따라 각기 다른 접근법을 사용해야 할 것이지만 그래도 몇 가지 대표적 방안들이 있으니 이 자리에서 소개해 본다.

- 반복한다. 사이버 보안의 중요성을 주구장창 강조한다. 사내 이메일로도 매일 보안 관련 글이나 메모를 보내고, 회사에 어떤 보안 솔루션이 새로 설치됐으며, 어떤 정책이 마련되었는지를 꾸준히 알린다. 또한 왜 그런 새로운 시도들을 하는지도 계속, 반복해 알린다.

- CEO나 COO 등 회사에서 가장 높은 사람들이 주도하는 회사 전체 회의 시간이나 담화 시간에 꼭 보안 관련 주제를 집어넣는다. 사이버 보안과 사업의 밀접성을 최대한 여러 각도에서 설명한다. 이것이 윗사람이 아랫사람에게 하는 지시의 형태로만 전달돼서는 안 된다. C레벨 임원들 사이에서도 보안과 관련에서 이야기가 되어야 하고, 그 이야기가 회사 전체로 전달되는 게 좋다.

3) 교육, 교육, 교육 : 지식에 투자하는 것이 가장 높은 이자율을 자랑한다는 말이 있다. 보안 사고가 발생할 때마다 평균 400만 달러의 손해가 야기되는 지금 시대에 반드시 기억해야 할 지혜라고 할 수 있다. 이제는 보안을 모르거나 간과했을 때 기업이 감당해야 하는 손해가 너무나 크다. 그러므로 기업은 직원들을 대상으로 보안 교육 훈련을 적극 제공해야 하고, 조직 구성원들은 쉽게 보안 사고에 휘말리지 않는다는 ‘높은 수익률의 이자’를 기업에 되돌려 주어야 한다.

교육을 제대로 받고, 훈련 과정까지 마친 임직원들은 기업 보안의 최전선에서 훌륭한 기능을 발휘하는 방어 자산이 된다. 보안 담당자들에게도 큰 힘이 될 뿐만 아니라 결국 기업 전체의 방어력도 한 차원 높여준다. 또한 이 임직원들은 동료들에게도 영향을 미치게 되고, 보안 문화가 정착하는 데 큰 도움이 되기도 한다.

‘보안 문화’라는 말이 거창하게 들릴 수 있지만 더 이상 이것은 선택 사항이 아니다. 다행히 거창하게 들리는 것만큼 보안 문화를 정착시키는 게 그리 어렵기만 한 일은 또 아니다. 반복하고 또 반복해서 임직원들이 보안에 대해 듣고, 보안 교육을 받고, 보안 훈련에 참가하도록 하면 된다. 물론 똑같은 방식으로 똑같은 내용을 반복하는 건 능사가 아니다. 기왕이면 재미있게, 귀가 쫑긋 세워지도록, 머리에 쏙쏙 박히도록 하는 게 효과를 거둔다.

그렇다면 보안 문화가 정착했는지 안 했는지를 어떻게 알 수 있을까? 어느 날 직원들끼리 탕비실에서나 회사 근처 카페에서 지난 번 모의 피싱 메일 훈련 결과에 대해 이야기를 나누거나, 최근 보안 관련 소식들을 공유하기 시작한다면 긍정적인 신호로 받아들여도 된다. 그리고 보안 팀끼리 자축 파티를 열어도 무방하다.

글 : 제임즈 얀센(James Jansen), 부회장, Consilio
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)