Home > 전체기사

TV 희극 작가가 보안 교육을 진행하며 얻은 팁 세 가지

  |  입력 : 2021-08-03 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 교육은 늘 따분하고 지루하다는 인식이 만연하다. 일반인들을 대상으로 하는 보안 콘텐츠는 아직 더 부드럽고 목 넘김이 좋아야 하기 때문에 이 부분에 대한 적극적인 고민과 개선이 필요하다.

[보안뉴스 문가용 기자] ‘어떻게 해야 당신의 시선을 살 수 있을까요?’ 이건 짝사랑 상대를 그리워하는 젊은 연인의 가슴 아픈 혼잣말이 아니다. 사이버 보안 교육 프로그램을 앞두고 있고, 그래서 교육 자료를 기획하고 만드는 모든 사람들이 항목마다 되뇌는 질문이다. 희극 작가이기도 한 필자 역시 피해갈 수 없는 번뇌이다.

[이미지 = utoimage]


코로나 때문에 보안 교육은 그 어느 때보다 중요해졌다. 마임캐스트(Mimecast)가 조사한 바에 의하면 이메일을 통한 위협이 팬데믹 기간 동안 64% 증가했으며, 악성 이메일에 임직원이 클릭할 가능성은 3배 늘어났다고 한다. 회사라는 공간 밖으로 직원들을 뿔뿔이 흩어 보내니 인간적인 실수가 크게 늘어난 것이다. 보안 침해 사고의 90%는 사람의 실수와 부주의로부터 시작되는데 말이다.

교육 회의론자들의 말에도 어느 정도 수긍이 간다. 아무리 교육을 해도 상황이 나아지지 않으니 말이다. 지난 수년 동안 교육을 해왔음에도 팬데믹 한 번에 모든 것이 무너지니 허무한 감정이 들 수밖에 없다. 하지만 선생님이 아무리 잘 가르친다 한들, 반 전체가 우등생이 되던가? 또한 꾸준한 교육을 집중적으로 실시하면 사람은 반드시 변한다는 사례도 여럿 존재한다. 사람들이 ‘아직’ 안 변한거지, 영원히 안 변할 건 아니라고 믿어야 한다.

사람들이 생각보다 빠르게 변하지 않는 이유는 ‘교육 과정’에도 일부 있다. 피교육자들은 교육에 앞서 전혀 기대감을 갖지 않는다. 따분하고 지루할 것이라고 생각하는 사람이 99%다. 실제 보안 교육을 진행하면 반의 대부분이 잠에서 깨기 위해 사투를 벌이고 있는 걸 쉽게 눈치 챌 수 있다. 그 동안 그들이 받은 교육의 과정들이 크게 흥미롭지 않았다는 걸 반증한다. 재미없는 걸 수십 년 동안 줘놓고 재미를 느끼라고 할 수 없다. 물론 그 ‘듣지 않음’의 책임은 그들 각자가 져야 하겠지만 말이다.

문제는 그 ‘책임’이라는 부분이 너무나 막중할 수 있다는 것이다. 단지 졸음을 좀 참느라 애썼을 뿐인데 수년 동안 쌓아온 자료들을 한 번에 잃는다는 건 가혹하다. 그런 손실들을 최소화 하는 것이 보안 교육을 실시하는 필자 같은 사람들의 가장 큰 목표임을 잊지 말아야 한다. 그들의 시선을 끌고자 고민하는 것도 사실 이 때문이 아니던가. 그들의 시선을 잡아끌려는 것도 이런 커다란 목표 아래 시도되어야 하는 것이다. ‘내가 애써 준비한 강의를 잘 듣지 않았으니 당해도 싸’라고 생각하는 사람, 아무도 없을 것이라 필자는 믿는다.

그렇다면 보안에 눈꼽만큼도 관심이 없는 일반인들을 우리는 어떻게 ‘듣게’ 만들 수 있을까? 필자가 처음 마임캐스트 인식제고 훈련(Mimecast Awareness Training)을 담당하게 되었을 때, 보안에 대해 아는 것이 전혀 없었다. 위에서 잠깐 말했지만, 필자는 희극 작가였다. TV에 나오는 코미디물 프로젝트에 참가하곤 했었던 사람이었다는 것이다. 보안 담당자보다 코난 오브라이언(Conan O'Brien)과 더 가까웠다. 아니, 보안을 담당하는 전문가가 있다는 사실도 몰랐다.

보안 교육을 실행해야 하는 사람으로서 큰 단점이 될 수 있는 문제다. 그러나 보안 업계에 이미 자리 잡고 있었던 교육의 형태를 전혀 답습하지 못한 사람이었다는 건 충분히 장점이 될 수 있었다. 보안 업계에서 자주 사용하는 용어들도 몰랐으니, 그것만으로도 새로운 느낌을 줄 수 있을 것이라고 여겼다. 그래서 매번 보안과 관련된 공부를 밤새 해야 했지만, 그건 큰 문제가 아니었다. 아니, 내가 기억하고 공부한 걸 생생히 전달해 줄 수 있었으니 그 역시도 장점이었으리라 본다.

아무튼 시행착오가 없을 수 없는 그런 상황에서 필자는 몇 가지 ‘재미있는 보안 교육’ 노하우를 쌓을 수 있었다.
1) 이야기를 구성하라 : 보안 교육의 대부분은 사건 사고로 시작하는 경우가 많다. 효과가 있을 수도 있고, 흥미를 끌 수도 있지만 이 자체가 너무나 전형적인 패턴으로 고착화 됐다. 좀 바꿔볼 필요가 있는데, 정해진 답 같은 건 없다. 중요한 건 초반에 흥미를 확 끌었을 때, 그걸 유지시켜야 한다는 것이다. TV에서는 이를 ‘스토리 아크(story arc)’를 그린다고 말하는데, 보안 교육에도 그런 게 필요하다. 스토리는 어느 분야에서나 비중 있게 고민해야 한다.

2) 좋은 배우를 찾으라 : 간간히 농담 같은 거 섞는다고 해서 강의의 ‘텐션’이 올라가거나 유지되지는 않는다. 어지간한 강사라면 ‘원맨쇼’로 재미와 교훈을 다 잡기 힘들다. 좋은 배우가 필요하다. 강의를 연극의 형태로 구성하라는 건 아니다. 강연 도우미를 고용하라는 것도 아니다. 하지만 조금 입체적으로 가져갈 수는 있다. 예를 들어 보안 인식 제고 훈련을 주기적으로 한다고 했을 때 늘 같은 가상의 사무실에 같은 가상의 직원들을 등장시켜보라. 그래서 강연이 이어질수록 배경 스토리가 착착 쌓이고, 특정 캐릭터 이름만 나와도 사람들의 귀가 반응을 하도록 말이다. TV 드라마나 오래된 시트콤에 등장하는 캐릭터가 얼마나 사람들을 사로잡는지 생각해보라.

3) 빠르게 진행하라 : 사람들의 집중력이 유지되는 시간은 갈수록 줄어든다. 보통 2~3분이라고 하는데 강연을 해 보면 이 2~3분이 얼마나 금방 지나가는지 알 수 있을 것이다. 나는 아직 할 말이 산더미 같은데, 청중들이 벌써부터 핸드폰을 들여다보기 시작했을 때 등 뒤에 흐르는 식은 땀이 얼마나 처연한지 느껴보면 안다. 스토리와 캐릭터도 중요하지만 교육은 최대한 요점만 간단하게, 짧고 빠르게 하는 게 최고다. 한 번에 많은 걸 쏟아내는 것보다 주기적으로 짧게 여러 번 반복하는 게 교육 효과를 높인다.

아직은 일반인들 사이에서 보안에 대한 인식이 그리 높지 않다. 삼키기 좋은 음식을 줘야 할 시기다. 단단한 음식을 애써 먹이려 하면 서로 힘들 것이다. 보안 전문가들로서는 하나마나한 이야기, 너무 쉽고 간단해 유치할 지경인 내용이더라도 계속 언급해 일반인들의 전체적 보안 수준을 높이는 작업을 먼저 해야 한다. 지금은 그런 때다. 이 시기가 지나야 보다 고차원적인 콘텐츠가 소비될 날이 올 것이다.

글 : 얀 요그만(Jann Yogman), Mimecast
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)