2019.08.30

토픽 브리핑 | 사이버보안 교육, 바뀌어야 하고 바뀌고 있다

이대영 기자 | ITWorld
"기업 보안에서 가장 약한 고리는 인간이다", "사이버보안 사고의 90%는 인간의 실수에서 시작된다" 등 사이버보안의 격언과 통계는 인간이 가장 지키기 어렵고 힘든 대상임을 알려준다. 

하지만 최근 한국IDG가 개최한 보안 컨퍼런스에서 한 강연자는 "이런 격언은 모두 게으른 자의 변명"이라고 일침을 놓았다. 

유나이티드 항공(United Airlines) 글로벌 시큐리티 스트레티지 & 어웨어니스 시니어 매니저 크리스틴 아이주에커는 "사이버보안 위반의 90%는 인간의 오류다. 인간이야말로 가장 약한 고리라고 얘기하는 것은 게으른 사람의 핑게에 불과하다. 사람에게 집중해 보안에 대한 교육 훈련을 제대로 한다면 약한 고리가 아닐 수 있다"고 주장했다.

아이주에커의 주장은 보안 담당자들의 공분을 사기에 좋지만, 자신 또한 기업의 보안 담당자였고, 10년동안 한 기업의 보안 문화를 바꾼 장본인이다. 때문에 "문화 해커가 되어 기업의 나쁜 문화를 훔치자"는 그녀의 주장은 설득력은 넘어 실천 이론으로 받아들여졌다. 

해커의 공격 이론을 기업 보안 훈련 및 교육 방법론에 적용한 아이주에커가 보안 담당자에게 강조한 것은 무엇보다 "창의성"이었다. 기업마다 문화가 다르고 처한 상황이나 조건 등 거의 모든 환경이 다르기 때문에 타사의 교육이나 훈련 내용을 그대로 가져와서는 효과를 보기 힘들다는 것이다.  

"보안 신뢰성을 확보하라" 4차산업혁명위원회 김승주 교수, 제5회 시큐리티 월드 성료

여러 연구 보고서에 따르면, 사이버 공격의 91%와 그 결과 발생한 데이터 유출은 스피어피싱 이메일로 시작된다. 즉, 해킹의 압도적인 수가 직원이 악성코드가 포함된 이메일을 클릭하는 데서 시작된다는 것이다. 그래서 사이버보안 교육은 중요하며 기업의 보안 교육은 필수가 됐다. 

"낯선 메일을 조심하라는 말은 구닥다리 보안 교육"…오피스 365 피싱 공격 리뷰

하지만 기업의 보안 훈련과 교육은 힘들고 어렵다. 교육 담당자는 매번 무엇을 주제로, 어떻게 교육을 해야 임직원들이 잘 받아들일 지 고민하고 연구한다. 하지만 대부분은 기존에 있었던 교육 내용을 답습하기 마련이다. 아무리 좋게 말해도, 이런 교육 프로그램들은 단기적인 미봉책밖에 될 수 없으며, 여기서 동영상을 시청한다고 해서 실제로 직원들이 보안에 있어 적절한 행동을 취하게 된다는 그 어떤 증거도 없다. 

힘들고 어려운 것은 임직원도 마찬가지다. 보안 교육은 누구도 듣고 싶어하지 않으며 교육에 적극적으로 동참하거나 받아들이는 이들은 극소수다. 사이버보안 교육 업체는 보안 인식 교육에 직원을 참여시키고 프로세스를 덜 지루하게 만들기 위해 독창적인 방법을 사용한다.

보안 인식 교육 실패의 일곱 가지 이유
글로벌 칼럼 | 필수가 된 사이버보안 교육, 지루함을 벗어나라

기업에서 직원들에게 전달해야 할 보안 인식은 아주 다양하고 자세하다. 또한 보안 교육은 특정한 날을 정해 회사에서 한번씩 실시하는 교육이 아니라 일상 생활에서 회사에서 일어나는 모든 일들을 보안과 연결지어 생각하도록 하는 것이다. 이렇게 하려면 지속적인 노력이 필요하다. 

현직 CSO 6인이 전하는 보안 인식 훈련 팁

기업의 보안 교육에 대한 성공담이나 경험은 쌓이고 이를 정리해서 알려주지만, 무척이나 많은 담당자들이 교육 성과가 제대로 나지 않음에 좌절하곤 한다. 보안 전문가들은 한결같이 "일회성 교육으로는 되지 않으며 강력한 보안 문화가 정착해야만 성공할 것"이라고 주장한다. 

그렇다면 강력한 보안 문화란 무엇일까? KPMG 영국 CISO인 마크 파르는 "보안 문화란 직관적으로 일상 활동과 연결된 위험을 이해하고, 자신있게 이런 위험을 경감하거나 다룰 수 있는 문화다. ‘모든 것이 괜찮다. CISO가 우리를 위해 처리해 줄 것’이라는 생각을 버리도록 만들어야 한다"고 말했다. 

기업 내 사이버 보안 교육, “일회성 아닌 문화로 자리잡아야”
강력한 보안 문화를 조성하는 4가지 방법

최근 구글 컨슈머 리서치가 다양한 분야의 직장인 1,000명을 대상으로 실시한 설문 조사에서 응답자의 25%는 피싱, 랜섬웨어 공격과 같은 가장 일반적인 사이버보안 위협에 대해 모른다고 답했다. 응답자의 약 절반은 회사에 의무적으로 참여해야 하는 사이버보안 교육 프로그램이 없다고 답했으며, 10%는 선택적 교육 프로그램이 있다고 답했다. 또 다른 10%는 온보딩 과정에서 받은 교육이 유일한 공식적인 사이버보안 교육이라고 말했다. 이런 통계를 감안하면 사이버보안 전문가들이 조직의 시스템과 데이터를 보호하기 위한 보안 계층에서 가장 약한 고리를 여전히 사람으로 보는 것도 이상한 일은 아니다.

그렇다면 어떻게 하면 더 많은 직원들이 보안을 의식하고 조직 보호에 더 적극적으로 참여하도록 이끌 수 있을까? 앞서 설명한 아이주에커의 방법론도 좋지만 보안 책임자에게는 보안 메시지를 더 효과적으로 전파하고 직원들을 움직여 보안에 동참하도록 하는 전략이 필요하다.  

PwC의 사이버보안 및 개인정보보호 사업부 수장인 조 노세라는 "해서는 안 되는 것에 대해 말하는 CISO는 변화를 이끌고 지지를 얻기 어렵다. 또한 공포와 불확실성, 의심을 기반으로 하는 전략으로는 보안 프로그램에 대한 지지를 얻지 못한다. CISO는 보안이 비즈니스를 어떻게 돕는지에 대해 이야기해야 한다”고 말했다. 

현장의 보안 책임자들이 알려준 보안 가치를 더 효과적으로 알리고 동참을 이끌기 위한 8가지 검증된 전략은 다음과 같다. 

- 교육은 짧게 
- 개인적 관점에서 전달
- 보안 대사 찾기 
- 경영진 동참 유도 
- 보안의 가치 보여주기 
- 빠른 대응 
- 단골 만들기 
- 직원에게 역량 부여 

"보안을 마케팅하라" 사용자를 설득하는 8가지 방법  

editor@itworld.co.kr 


2019.08.30

토픽 브리핑 | 사이버보안 교육, 바뀌어야 하고 바뀌고 있다

이대영 기자 | ITWorld
"기업 보안에서 가장 약한 고리는 인간이다", "사이버보안 사고의 90%는 인간의 실수에서 시작된다" 등 사이버보안의 격언과 통계는 인간이 가장 지키기 어렵고 힘든 대상임을 알려준다. 

하지만 최근 한국IDG가 개최한 보안 컨퍼런스에서 한 강연자는 "이런 격언은 모두 게으른 자의 변명"이라고 일침을 놓았다. 

유나이티드 항공(United Airlines) 글로벌 시큐리티 스트레티지 & 어웨어니스 시니어 매니저 크리스틴 아이주에커는 "사이버보안 위반의 90%는 인간의 오류다. 인간이야말로 가장 약한 고리라고 얘기하는 것은 게으른 사람의 핑게에 불과하다. 사람에게 집중해 보안에 대한 교육 훈련을 제대로 한다면 약한 고리가 아닐 수 있다"고 주장했다.

아이주에커의 주장은 보안 담당자들의 공분을 사기에 좋지만, 자신 또한 기업의 보안 담당자였고, 10년동안 한 기업의 보안 문화를 바꾼 장본인이다. 때문에 "문화 해커가 되어 기업의 나쁜 문화를 훔치자"는 그녀의 주장은 설득력은 넘어 실천 이론으로 받아들여졌다. 

해커의 공격 이론을 기업 보안 훈련 및 교육 방법론에 적용한 아이주에커가 보안 담당자에게 강조한 것은 무엇보다 "창의성"이었다. 기업마다 문화가 다르고 처한 상황이나 조건 등 거의 모든 환경이 다르기 때문에 타사의 교육이나 훈련 내용을 그대로 가져와서는 효과를 보기 힘들다는 것이다.  

"보안 신뢰성을 확보하라" 4차산업혁명위원회 김승주 교수, 제5회 시큐리티 월드 성료

여러 연구 보고서에 따르면, 사이버 공격의 91%와 그 결과 발생한 데이터 유출은 스피어피싱 이메일로 시작된다. 즉, 해킹의 압도적인 수가 직원이 악성코드가 포함된 이메일을 클릭하는 데서 시작된다는 것이다. 그래서 사이버보안 교육은 중요하며 기업의 보안 교육은 필수가 됐다. 

"낯선 메일을 조심하라는 말은 구닥다리 보안 교육"…오피스 365 피싱 공격 리뷰

하지만 기업의 보안 훈련과 교육은 힘들고 어렵다. 교육 담당자는 매번 무엇을 주제로, 어떻게 교육을 해야 임직원들이 잘 받아들일 지 고민하고 연구한다. 하지만 대부분은 기존에 있었던 교육 내용을 답습하기 마련이다. 아무리 좋게 말해도, 이런 교육 프로그램들은 단기적인 미봉책밖에 될 수 없으며, 여기서 동영상을 시청한다고 해서 실제로 직원들이 보안에 있어 적절한 행동을 취하게 된다는 그 어떤 증거도 없다. 

힘들고 어려운 것은 임직원도 마찬가지다. 보안 교육은 누구도 듣고 싶어하지 않으며 교육에 적극적으로 동참하거나 받아들이는 이들은 극소수다. 사이버보안 교육 업체는 보안 인식 교육에 직원을 참여시키고 프로세스를 덜 지루하게 만들기 위해 독창적인 방법을 사용한다.

보안 인식 교육 실패의 일곱 가지 이유
글로벌 칼럼 | 필수가 된 사이버보안 교육, 지루함을 벗어나라

기업에서 직원들에게 전달해야 할 보안 인식은 아주 다양하고 자세하다. 또한 보안 교육은 특정한 날을 정해 회사에서 한번씩 실시하는 교육이 아니라 일상 생활에서 회사에서 일어나는 모든 일들을 보안과 연결지어 생각하도록 하는 것이다. 이렇게 하려면 지속적인 노력이 필요하다. 

현직 CSO 6인이 전하는 보안 인식 훈련 팁

기업의 보안 교육에 대한 성공담이나 경험은 쌓이고 이를 정리해서 알려주지만, 무척이나 많은 담당자들이 교육 성과가 제대로 나지 않음에 좌절하곤 한다. 보안 전문가들은 한결같이 "일회성 교육으로는 되지 않으며 강력한 보안 문화가 정착해야만 성공할 것"이라고 주장한다. 

그렇다면 강력한 보안 문화란 무엇일까? KPMG 영국 CISO인 마크 파르는 "보안 문화란 직관적으로 일상 활동과 연결된 위험을 이해하고, 자신있게 이런 위험을 경감하거나 다룰 수 있는 문화다. ‘모든 것이 괜찮다. CISO가 우리를 위해 처리해 줄 것’이라는 생각을 버리도록 만들어야 한다"고 말했다. 

기업 내 사이버 보안 교육, “일회성 아닌 문화로 자리잡아야”
강력한 보안 문화를 조성하는 4가지 방법

최근 구글 컨슈머 리서치가 다양한 분야의 직장인 1,000명을 대상으로 실시한 설문 조사에서 응답자의 25%는 피싱, 랜섬웨어 공격과 같은 가장 일반적인 사이버보안 위협에 대해 모른다고 답했다. 응답자의 약 절반은 회사에 의무적으로 참여해야 하는 사이버보안 교육 프로그램이 없다고 답했으며, 10%는 선택적 교육 프로그램이 있다고 답했다. 또 다른 10%는 온보딩 과정에서 받은 교육이 유일한 공식적인 사이버보안 교육이라고 말했다. 이런 통계를 감안하면 사이버보안 전문가들이 조직의 시스템과 데이터를 보호하기 위한 보안 계층에서 가장 약한 고리를 여전히 사람으로 보는 것도 이상한 일은 아니다.

그렇다면 어떻게 하면 더 많은 직원들이 보안을 의식하고 조직 보호에 더 적극적으로 참여하도록 이끌 수 있을까? 앞서 설명한 아이주에커의 방법론도 좋지만 보안 책임자에게는 보안 메시지를 더 효과적으로 전파하고 직원들을 움직여 보안에 동참하도록 하는 전략이 필요하다.  

PwC의 사이버보안 및 개인정보보호 사업부 수장인 조 노세라는 "해서는 안 되는 것에 대해 말하는 CISO는 변화를 이끌고 지지를 얻기 어렵다. 또한 공포와 불확실성, 의심을 기반으로 하는 전략으로는 보안 프로그램에 대한 지지를 얻지 못한다. CISO는 보안이 비즈니스를 어떻게 돕는지에 대해 이야기해야 한다”고 말했다. 

현장의 보안 책임자들이 알려준 보안 가치를 더 효과적으로 알리고 동참을 이끌기 위한 8가지 검증된 전략은 다음과 같다. 

- 교육은 짧게 
- 개인적 관점에서 전달
- 보안 대사 찾기 
- 경영진 동참 유도 
- 보안의 가치 보여주기 
- 빠른 대응 
- 단골 만들기 
- 직원에게 역량 부여 

"보안을 마케팅하라" 사용자를 설득하는 8가지 방법  

editor@itworld.co.kr 


X