보안뉴스 창간 18주년을 축하합니다!!

Home > 전체기사

보안 인지 제고 훈련 시 저지르는 7가지 끔찍한 죄악들

입력 : 2023-11-29 12:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안 인지 제고 훈련이 점점 많은 곳에서 실행되고 있다. 하지만 교육 효과는 아직도 제대로 나타나지 않고 있다. 왜냐면 흔히 나타나는 7가지 죄악 때문이다.

[보안뉴스=조안 굿차일드 IT 칼럼니스트] 효과가 좋은 보안 제고 프로그램들이란 위험과 안전에 대해 사람들이 보다 잘 인식하게 하고, 그러므로 안전한 행동의 방향을 선택하도록 하는 것을 말한다. 이런 변화를 바탕으로 침해 사고가 크게 줄어드는 것도 당연히 나타나야 하는 현상이다. 하지만 세상 모든 게 그렇듯 잘 되는 교육 프로그램이 있기도 하고 잘 되지 않는 훈련 과정이 있기도 하다. 그 중 잘 되지 않는 교육 프로그램에서 나타나는 ‘죄악’들이 있는데, 이를 정리하면 다음과 같다.

[이미지 = gettyimagesbank]


1. 지나치게 포괄적이다
한 번의 교육과 훈련 프로그램에 너무 많은 것을 담으려 하는 경우들이 있다. 강사나 교육 기획 담당자가 지나치게 야심찰 경우에 나타나는 현상이다. 하지만 보안 솔루션들이 그렇듯 한 번에 모든 것을 다 이룰 수는 없다. 한 번에 하나씩의 변화만 이끌어 내도 그 훈련 코스는 성공한 것이라고 할 수 있다. 한 번의 프로그램으로 너무 많은 것을 이루려 하지 말자.

훈련 프로그램이 포괄적일 때 생기는 허점 중 하나는 교육 대상에 상관없이 똑같은 프로그램이 똑같은 방식으로 제공된다는 것이다. HR 팀원들을 대상으로 하나 IT 팀을 대상으로 하나 교육을 똑같이 하면 당연히 반응과 효과가 달라진다. 교육 대상에 맞는, 맞춤형 교육을 세밀히 하는 게 중요하다. 보안 업체 아크틱울프(Arctic Wolf)의 부회장 제이슨 호에니크(Jason Hoenich)는 “인간의 행동 반응과 기업 내 문화적 특성에 대한 기본적 이해 없이 진행되는 보안 교육은 실패할 가능성이 높다”고 말한다. “언제 어디서나, 누구를 위한 것이든 천편일률적인 보안 강연이 효과를 갖는다면 그게 더 이상한 게 아닐까요.”

2. 교육과 훈련에 전략이 없거나 없는 것과 마찬가지다
2020년 보안 업계에 작은 화제가 됐던 사건이 하나 있다. 한 사장님께서 피싱 시뮬레이션 훈련을 한답시고 직원들에게 특별 보너스 메일을 보냈던 것이었다. 사장이 직접 보낸 보너스 메일에 피싱을 떠올릴 직원이 얼마나 됐을까. 대부분은 그런 인지를 전혀 하지 못하고 보너스를 신청 양식을 말끔히 개인 정보로 채워 넣었다. 그리고 그렇게 한 직원들은 보너스가 아니라 추가 보안 교육 과정에 참석해야만 했다. 물론 그렇게 하지 않은 직원들에게 보너스가 나간 것은 아니었다.

극대화 된 보안 교육 효과를 노렸겠지만 선을 넘었다. 전략이랍시고 생각한 거겠지만 없느니만 못한 것이었다. 무례하다고 해도 과언이 아닌 훈련 전략이었다. 보안 전문가 토니아 두들리(Tonia Dudley)는 “절대로 발휘하면 안 되는 전략”이라고 딱 잘라 말한다. “민감한 주제는 훈련장에 가지고 들어가면 안 됩니다. 어딘가에 합격했다거나, 상을 받게 될 거라거나, 보너스를 준다거나 하는 걸 미끼로 쓴다는 건 절대로 금지되어야 합니다. 그 모든 게 단순 미끼라는 걸 아는 순간 보안 프로그램 자체에 원한 비슷한 감정이 들게 되고, 그러면 학습 효과는 사라지게 됩니다.”

3. 기승전‘규정’일 때가 많다
보안에 있어 규정을 준수한다는 건 너무나 중요한 일이다. 세세한 보안 규정과 표준을 지키지 못해 큰 손해를 보는 경우는 세기가 힘들 정도로 많다. 하지만 보안 교육의 모든 내용을 규정 위주로 구성하다보면 그건 보안 교육이 아니라 법학 강연이 되고 만다. 교육과 훈련을 통해 우리가 궁극적으로 만들고 싶은 건 규정을 기계처럼 잘 지키는 임직원이 아니다. 보안 문화를 수용한 사람들이다. 보안을 ‘여러 개의 규정’으로 이해하고 있는 사람들이 보안을 문화로 받아들이기는 힘들 수 있다.

두들리는 “보안 인지 제고 훈련 프로그램이 규정 준수에 매몰되는 순간 해당 프로그램에 참여한 모든 사람의 시간이 낭비된 것이라고 보면 된다”고까지 말한다. “규정이 중요하지 않다는 게 아닙니다. 규정은 아무리 강조해도 지나치지 않을 만큼 중요합니다. 그러나 그것이 강연의 핵심 주제가 되어서는 안 됩니다. 한 세션 정도야 그렇게 할 수 있지만 모든 보안 훈련 프로그램의 결론이 규정 준수라면 암담합니다.”

4. 빠른 결과가 나타나기를 원한다
보안 분야 담당자들은 회사로부터 압박 아닌 압박을 받는다. 교육과 훈련 프로그램을 진행했으면 성과가 나타나야 한다는 운영진들의 소리 없는 기다림이 너무나 두렵고 떨린다. 그렇기 때문에 교육을 진행하면서 스스로가 빠른 결과를 원하게 된다. 그러면서도 마음 한 편으로는 보안 교육의 빠른 성과라는 게 과연 무엇일까 고민한다. 한 마음 안에 두 가지 생각이 상충되면서 머리가 복잡해지고, 그러면서 교육 프로그램 자체가 산으로 갈 때가 많다.

실제로 보안 인지 제고 프로그램의 성과를 수치화한다는 건 불가능에 가까운 일이다. “보안 문화를 형성하는 건 수년씩 걸리기도 하는 일입니다. 단 번에 성과를 거둔다는 건 있을 수 없는 일입니다.” 두들리의 설명이다. “다만 보안을 위협하는 것들은 빠르게 변하기 때문에 보안 교육도 여기에 빠르게 대응하여 프로그램 콘텐츠를 수정할 필요는 있습니다. 빠른 성과라는 건 이런 지점에서 나타나야 합니다.”

5. 교육 대상자들을 협박한다
보안 교육을 하겠다고 사람들을 모아놓고 결국 하는 말이 ‘너네들 이대로 하지 않으면 큰 벌이 뒤따른다’는 것일 때가 많다. 각종 사고와 사건의 사례들을 모아놓고 ‘이걸 지키지 않으면 이런 일이 일어나고, 그 책임을 누군가 져야 한다’고 말하면서 심리적인 압박을 이어가는 것도 쉽게 찾을 수 있는 교육 접근법이다.

보안 훈련 전문 업체 와이저(Wizer)의 창립자 가브리엘 프리들랜더(Gabriel Friedlander)는 “옥죄는 게 아니라 북돋고 활성화시켜야 하는데 이를 잘 구분하지 못하는 보안 담당자들이 많다”고 말한다. “보안 부서에서 협박을 하기 시작하면 제시된 보안 수칙 사항을 지키는 사람이 줄어들기 시작합니다. 적극적으로 보안 수칙들을 지키는 게 아니라 아예 보안 자체를 생각에서 지워내고 자신이 안전하다고 생각하는 방식들로 돌아서는 것이죠. 피싱 메일을 받았으면 보고하는 게 아니라 조용히 삭제하고 침묵을 지키는 식으로 말이죠. 조직 전체로서 큰 손실입니다.”

6. 눈에 보이는 교육 대상자들만을 고려한다
다시 강조하지만 보안 교육의 가장 큰 목적은 보안 문화를 형성하는 것이다. 문화라는 건 넓게 형성되면 형성될수록 오히려 우리 회사의 것으로 가져오기가 쉽다. 즉 보안 교육 및 훈련 프로그램을 넓게 퍼트리면 퍼트릴수록 의외의 효과를 거둘 확률이 높아진다는 뜻이 된다. 그러니 교육 콘텐츠를 회사 내에 꽁꽁 감춰둘 필요가 없다. 직원들을 대상으로 교육을 마쳤다면 이를 소셜미디어 등을 통해 공개하는 것도 좋은 전략이다.

“요즘은 누구나 소셜미디어를 통해 콘텐츠를 소비하죠. 교육생들에게도 소셜미디어 링크를 주고 공유를 독려하세요. 한 사람이라도 이걸 퍼트려 다른 사람이 보안 교육 콘텐츠를 접하게 한다면 의미가 있습니다. 훈련 프로그램에 참여하는 사람들 하나하나가 결국 보안 대사가 되게끔 유도하는 것이죠. 회사라는 테두리 바깥에까지 교육 효과가 미칠 수 있도록 창의적으로 생각해야 합니다.”

7. 다른 곳에서 잘 통했던 전략을 고집한다
꼭 필요한 보안의 실천 사항이나 고민거리들은 조직마다 다르고 시대마다 다르며 사람마다 다르다. 그러니 보안 훈련 프로그램을 진행해야 하는 입장이라면 먼저 그 대상이 되는 조직의 문화부터 탐구해야 한다. 어떤 기초 위에, 어떤 식으로 보안 문화의 벽돌을 쌓아야 하는지를 고민해야 한다는 게 바이오테크 기업 바이오젠(Biogen)의 보안 담당자 줄리 라인하트(Julie Rinehart)의 설명이다.

“보안 훈련 프로그램의 최종 목적은 사람의 행동 패턴과 양식을 바꾸는 겁니다. 그렇게 함으로써 되도록 많은 사람들이 안전한 결정을 내리고, 안전한 방향으로 움직이게 하는 것이죠. 하지만 사람의 행동 패턴과 양식은 수많은 것들의 영향을 받습니다. 다시 말해 누구나 다른 요인에 의해 변한다는 것입니다. A라는 부서나 회사를 바꾸는 데 성공했던 접근법이 B라는 곳에서 똑같은 효과를 보기 힘든 건 이런 이유 때문이죠. 과거의 성공 사례는 좋은 자산이 되지만, 그걸 또 자가 복제해서 똑같이 사용한다는 건 좋은 생각이 아닙니다. 그 때 그 때 상황에 맞는 프로그램을 만드는 게 중요합니다.”

글 : 조안 굿차일드(Joan Goodchild), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)