2019.10.15

사용자가 사이버보안 인식 교육을 싫어하는 5가지 이유와 좋아하게 만드는 방법

Roger A. Grimes | CSO
대부분의 기업 직원이 사이버보안 인식 교육에 참여하기를 꺼린다고 해도 과언이 아니다. 하지만 바꿀 방법은 있다. 필자가 아는 많은 보안 인식 교육 관리자들은 이런 방법을 실천하며, 덕분에 직원들은 재미있게 교육에 참여할 뿐만 아니라 교육을 더 늘려달라는 요청까지 한다. 거짓말이라고 생각하겠지만 아니다. 보안 인식 교육에 대한 일반적인 불만들을 살펴보고, 그리고 교육을 재미있게 만드는 방법을 알아보자.

 

ⓒ Getty Images Bank 


1. 지루한 사이버보안 인식 교육

대부분의 조직에서 하는 방식을 기준으로 보면 지루할 수 있다. 프로그램을 더 재미있게 만들고 다채롭게, 게임처럼 만들어야 한다. 일반적인 보안 인식 교육의 비디오 프레젠테이션은 마치 출산 과정이나 원소주기율표를 설명하는 듯한 분위기로 진행된다. 재미없고 딱딱하다. 프레젠테이션에 그래픽 요소나 음악이라도 들어가 있다면 그나마 운이 좋은 편이다.

보안 인식 교육 비디오에 영화 굿모닝 베트남의 로빈 윌리엄스와 같은 폭발적인 에너지까지 필요하진 않지만 보안 인식 교육을 위해서는 다소 과하다 싶을 정도의 에너지가 필요하다.

가장 좋은 교육 비디오는 발표자가 음성과 감정의 고저를 조절하는 방법을 잘 아는 비디오다. 이들은 마치 놀이기구를 타는 듯 교육을 진행한다. 필자가 본 가장 인상적인 비디오 중에는 전문 배우를 기용해서 멋진 배경과 음악을 깔고 스토리를 넣어 할리우드 스타일의 프로덕션 팀을 동원해 촬영한 비디오도 있다. 누군가 스크린 또는 칠판 앞에 서서 말하는 모습을 처음부터 끝까지 아이폰 하나로 촬영한 영상이 아니다.

보안 인식 교육 비디오가 넷플릭스의 에피소드처럼 재미있으면 직원들은 더 보여달라고 요청한다. 보안 인식 교육 기업은 이런 형식의 비디오를 제작하며 전문 제작 업체는 기업에 맞게 비디오를 맞춤 제작하기도 한다(참고로, 필자는 보안 인식 교육 업체에 근무한다).

교육을 다양화하라. 단순히 비디오를 보여주는 것이 전부라면, 특히 매번 같은 형식인 경우 내용이 아무리 재미있다 해도 결국 지루해진다. 대신 교육 콘텐츠의 내용에 변화를 준다. 완전히 만화로 구성된 비디오를 사용하고, 교육을 게임화한다. 필자는 게이머가 아니지만 교육을 게임화하면 많은 사람들의 몰입을 이끌 수 있다.

보안 인식 교육에서 필자가 가장 자주 접하는 게임 중 하나는 최종 사용자의 이메일 클라이언트에 의심스러운 피싱 이메일을 보고할 수 있는 클릭 버튼을 집어넣은 다음 가짜 시뮬레이션 피싱 이메일을 보내는 것이다. 최종 사용자 그룹이 지정된 기간 내에 가짜 피싱 이메일을 100% 보고하면 보상이 지급된다. 보상은 예를 들어 회사 뉴스레터를 통한 표창장 수여, 기프트 카드 또는 피자 파티가 될 수도 있다. 좋은 점은 게임이 진행되는 중에 진짜 피싱 이메일을 보고할 가능성도 높다는 것이다.


2. 보안 인식 교육의 중요성을 이해하지 못하는 직원

대부분의 최종 사용자는 보안 인식 교육의 중요성을 이해하지 못한다. 필자는 마이크로소프트에 근무할 당시 마이크로소프트 제품 구매를 유도하기 위해 외국인에게 뇌물을 주거나 외국인에게 뇌물을 받지 않도록 교육하는 “외국 부패방지법”에 관한 교육에 매년 참여해야 했다. 그러나 필자의 업무상 외국인을 만나 뇌물을 주고받을 만한 상황 자체가 결코 없었으므로 이 교육에 시간을 낭비하는 것이 싫었다.

대부분의 직원이 모든 교육에 대해, 또는 적어도 아직 자신의 일과 아무런 상관도 없는 교육에 대해 이렇게 느낀다. 직원들이 자신과 조직의 성공을 위해 보안 인식 교육이 중요하다는 사실을 알도록 해야 한다.

조직이 해킹된 경우 세부 정보를 숨겨서는 안 된다. 어떻게 해서 해킹이 일어났는지, 해커가 무엇을 했는지, 어떻게 했어야 해킹을 방지할 수 있었는 지를 모든 직원이 알도록 해야 한다. 필자가 본 가장 좋은 보안 인식 교육 비디오 중 하나에서는 조직의 직원들이 직접 출연해서 어떻게 피싱에 속아 클릭하지 말아야 할 것을 클릭했는 지를 이야기했다. 어떤 일이 일어났고 무슨 실수를 했으며 어떻게 했어야 했는 지를 동료로부터 직접 듣는다면 몰입이 더욱 잘 될 것이다.

사이버보안 사고로 인해 피해를 입은 비슷한 조직의 실제 사례를 공유하라. 랜섬웨어가 횡행하는 지금 기업의 사고 사례는 많다. 심지어 도시 전체가 며칠에서 몇 주까지 마비된 사례, 사이버보안 사고 하나로 회복하지 못하고 결국 문을 닫은 기업 사례도 있다.


3. 개인과 무관한 보안 인식 교육

누군가 관심을 갖기를 원한다면 그 개인과 결부시켜야 한다. 오로지 비즈니스를 보호하기 위해 직원을 교육해서는 안 된다. 회사가 직원과 직원의 가족을 소중히 여기고 있음을 직원이 알도록 해야 한다. 직원이 집에서도 사이버보안을 의식하는 데 도움이 되는 교육과 툴을 제공하라. 배우자, 부모, 자녀를 대상으로 사이버보안 인식을 교육하는 직원은 직장에서 최고의 보안 수비수가 된다.


4. 적시에 이뤄지지 않는 보안 인식 교육

보안 인식 교육 프로그램은 개인화되고 사용자의 역할과 관련되어야 하며 시의적절해야 한다. 필자는 필자와 아무 상관도 없는 외국 부패방지법에 대한 교육이 싫었다. 누구나 그럴 것이다.

예를 들어 대금 지급 업무를 하지 않는 직원을 대상으로 가짜 송장과 사기 송금을 피하는 방법을 교육해서는 안 된다. 단, 세금 납부 기간이 다가올 때는 모든 직원을 대상으로 개인 납세자 번호 정보를 요구하는 가짜 W-2 정보 요청 수법을 피하는 방법을 교육하고, HR/급여 부서 직원들에게는 해당 조직을 담당하는 세무사를 사칭한 가짜 W-2 정보 요청을 피하는 방법을 교육해야 한다. 

크리스마스가 다가오면 가짜 기프트 카드 사기를 피하는 방법을 교육해야 한다. 시스템을 적절히 패치하는 방법, 가짜 버전에 속지 않도록 설치된 악성코드 차단 프로그램을 정확히 알아보는 방법도 교육해야 한다.


5. 징벌 같은 느낌의 보안 인식 교육

직원들은 보안 인식 교육이 일방적이며 마치 징벌처럼 느껴진다는 말을 많이 한다. 정해진 시간만큼 교육에 참여해야 하며 그렇지 않을 경우 징계를 받는다. 교육에 참여하도록 사람들을 독려해야 하는 것은 사실이지만 교육을 더 재미있게, 색다르게 하면 직원은 자발적으로 더 많이 배우고 싶다는 생각을 하게 된다. 앞서 언급한 게임화가 좋은 방법이다.

예를 들어 1년 동안 모든 진짜 및 모조 피싱 이메일을 100% 보고하는 직원에게 아마존 기프트 카드를 선물로 지급하는 방법이 있다. 단, 직원들의 관심을 끌 정도로 기프트 카드의 금액이 충분히 커야 한다. 그런 다음 이메일에서 어떤 부분을 확인해야 하는지 알아보는 비디오를 몇 편 보도록 한다. 매월 다른 주제를 다루며 그 다음 달에 해당 주제와 기타 요소에 대한 테스트를 받게 됨을 알린다. 어느 달의 주제는 W-2 피싱이고, 다음 달은 “정돈된 책상” 또는 화면보호기 잠금 감사다. 기프트 카드에 25달러, 50달러, 100달러가 들겠지만 잘 교육된 직원의 가치는 이보다 훨씬 더 크다.

이와 관련해 필자는 테스트 또는 실제 위협에 올바르게 대처하지 못한 직원을 해고하거나 징계해야 하냐는 질문을 많이 받는다. 금융 업계의 경우 피싱 이메일에 한 번만 속아도 바로 해고하는 기업이 많다. 필자는, 그리고 수많은 다른 사람들도 어느 누구라도 피싱에 걸려들 수 있다. 자신도 손쉽게 피싱을 당할 수 있음을 안다면 이런 해고 정책을 승인하지 못할 것이다.

자신은 절대 당하지 않는다고 생각하는 사람도 있겠지만 그렇지 않다. 지능이나 경험과는 무관하다. 누구나 속을 수 있고 누구나 실수를 할 수 있다. 필자는 특히 첫 실수에 대한 무관용, 또는 지나치게 가혹한 징계에 동의하지 않는다. 직원은 스스로 가치 있다고 느끼고 적절한 교육을 받을 때 훨씬 더 높은 생산성을 발휘한다.

물론 항상 아무거나 클릭하고 조직의 사이버보안을 강화하는 데 아무런 도움이 되지 않는 사람에게도 아무 조치 없이 넘어가야 한다는 말은 아니다. 그런 사람이라면 최소한 후속 테스트에서 조직에 대한 책임감 있는 모습을 보이기 전까지는 브라우저와 이메일 시스템을 통제해서 사전에 승인된 장소 및 사람과만 통신할 수 있도록 하는 방법이 있다. 통제되는 워크스테이션을 사용하기는 힘들지만 이렇게 하면 적어도 징계가 있음을 인지하도록 하고 성장과 개선의 기회도 부여할 수 있다.


사이버보안 인식 교육 마스터하기

만약 조직의 컴퓨터 보안 인식 프로그램을 담당하고 있다면 <변혁적 보안 인식: 신경과학자, 작가, 마케터에게서 배우는 보안(Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behavior)>을 읽어야 한다. 이 책의 저자 페리 카펜터는 대기업에서 보안 인식 교육 담당자로 일하다가 이후 가트너 분석가로 일하며 업계를 보는 안목을 키웠다. 이 책은 컴퓨터 보안 교육보다는 인간 심리에 초점을 두고, 경청하고 학습하도록 동기를 부여하는 요소가 무엇인지를 살펴본다. 문제의 근원을 다루는 책이다.

필자는 이런 모든 기법을 활용하는 사이버보안 인식 교육 프로그램을 운영하는 기업을 많이 알고 있다. 이와 같은 프로그램 덕분에 해당 기업과 소속 직원들은 더 생산적이고, 행복하며, 안전하다. editor@itworld.co.kr 


2019.10.15

사용자가 사이버보안 인식 교육을 싫어하는 5가지 이유와 좋아하게 만드는 방법

Roger A. Grimes | CSO
대부분의 기업 직원이 사이버보안 인식 교육에 참여하기를 꺼린다고 해도 과언이 아니다. 하지만 바꿀 방법은 있다. 필자가 아는 많은 보안 인식 교육 관리자들은 이런 방법을 실천하며, 덕분에 직원들은 재미있게 교육에 참여할 뿐만 아니라 교육을 더 늘려달라는 요청까지 한다. 거짓말이라고 생각하겠지만 아니다. 보안 인식 교육에 대한 일반적인 불만들을 살펴보고, 그리고 교육을 재미있게 만드는 방법을 알아보자.

 

ⓒ Getty Images Bank 


1. 지루한 사이버보안 인식 교육

대부분의 조직에서 하는 방식을 기준으로 보면 지루할 수 있다. 프로그램을 더 재미있게 만들고 다채롭게, 게임처럼 만들어야 한다. 일반적인 보안 인식 교육의 비디오 프레젠테이션은 마치 출산 과정이나 원소주기율표를 설명하는 듯한 분위기로 진행된다. 재미없고 딱딱하다. 프레젠테이션에 그래픽 요소나 음악이라도 들어가 있다면 그나마 운이 좋은 편이다.

보안 인식 교육 비디오에 영화 굿모닝 베트남의 로빈 윌리엄스와 같은 폭발적인 에너지까지 필요하진 않지만 보안 인식 교육을 위해서는 다소 과하다 싶을 정도의 에너지가 필요하다.

가장 좋은 교육 비디오는 발표자가 음성과 감정의 고저를 조절하는 방법을 잘 아는 비디오다. 이들은 마치 놀이기구를 타는 듯 교육을 진행한다. 필자가 본 가장 인상적인 비디오 중에는 전문 배우를 기용해서 멋진 배경과 음악을 깔고 스토리를 넣어 할리우드 스타일의 프로덕션 팀을 동원해 촬영한 비디오도 있다. 누군가 스크린 또는 칠판 앞에 서서 말하는 모습을 처음부터 끝까지 아이폰 하나로 촬영한 영상이 아니다.

보안 인식 교육 비디오가 넷플릭스의 에피소드처럼 재미있으면 직원들은 더 보여달라고 요청한다. 보안 인식 교육 기업은 이런 형식의 비디오를 제작하며 전문 제작 업체는 기업에 맞게 비디오를 맞춤 제작하기도 한다(참고로, 필자는 보안 인식 교육 업체에 근무한다).

교육을 다양화하라. 단순히 비디오를 보여주는 것이 전부라면, 특히 매번 같은 형식인 경우 내용이 아무리 재미있다 해도 결국 지루해진다. 대신 교육 콘텐츠의 내용에 변화를 준다. 완전히 만화로 구성된 비디오를 사용하고, 교육을 게임화한다. 필자는 게이머가 아니지만 교육을 게임화하면 많은 사람들의 몰입을 이끌 수 있다.

보안 인식 교육에서 필자가 가장 자주 접하는 게임 중 하나는 최종 사용자의 이메일 클라이언트에 의심스러운 피싱 이메일을 보고할 수 있는 클릭 버튼을 집어넣은 다음 가짜 시뮬레이션 피싱 이메일을 보내는 것이다. 최종 사용자 그룹이 지정된 기간 내에 가짜 피싱 이메일을 100% 보고하면 보상이 지급된다. 보상은 예를 들어 회사 뉴스레터를 통한 표창장 수여, 기프트 카드 또는 피자 파티가 될 수도 있다. 좋은 점은 게임이 진행되는 중에 진짜 피싱 이메일을 보고할 가능성도 높다는 것이다.


2. 보안 인식 교육의 중요성을 이해하지 못하는 직원

대부분의 최종 사용자는 보안 인식 교육의 중요성을 이해하지 못한다. 필자는 마이크로소프트에 근무할 당시 마이크로소프트 제품 구매를 유도하기 위해 외국인에게 뇌물을 주거나 외국인에게 뇌물을 받지 않도록 교육하는 “외국 부패방지법”에 관한 교육에 매년 참여해야 했다. 그러나 필자의 업무상 외국인을 만나 뇌물을 주고받을 만한 상황 자체가 결코 없었으므로 이 교육에 시간을 낭비하는 것이 싫었다.

대부분의 직원이 모든 교육에 대해, 또는 적어도 아직 자신의 일과 아무런 상관도 없는 교육에 대해 이렇게 느낀다. 직원들이 자신과 조직의 성공을 위해 보안 인식 교육이 중요하다는 사실을 알도록 해야 한다.

조직이 해킹된 경우 세부 정보를 숨겨서는 안 된다. 어떻게 해서 해킹이 일어났는지, 해커가 무엇을 했는지, 어떻게 했어야 해킹을 방지할 수 있었는 지를 모든 직원이 알도록 해야 한다. 필자가 본 가장 좋은 보안 인식 교육 비디오 중 하나에서는 조직의 직원들이 직접 출연해서 어떻게 피싱에 속아 클릭하지 말아야 할 것을 클릭했는 지를 이야기했다. 어떤 일이 일어났고 무슨 실수를 했으며 어떻게 했어야 했는 지를 동료로부터 직접 듣는다면 몰입이 더욱 잘 될 것이다.

사이버보안 사고로 인해 피해를 입은 비슷한 조직의 실제 사례를 공유하라. 랜섬웨어가 횡행하는 지금 기업의 사고 사례는 많다. 심지어 도시 전체가 며칠에서 몇 주까지 마비된 사례, 사이버보안 사고 하나로 회복하지 못하고 결국 문을 닫은 기업 사례도 있다.


3. 개인과 무관한 보안 인식 교육

누군가 관심을 갖기를 원한다면 그 개인과 결부시켜야 한다. 오로지 비즈니스를 보호하기 위해 직원을 교육해서는 안 된다. 회사가 직원과 직원의 가족을 소중히 여기고 있음을 직원이 알도록 해야 한다. 직원이 집에서도 사이버보안을 의식하는 데 도움이 되는 교육과 툴을 제공하라. 배우자, 부모, 자녀를 대상으로 사이버보안 인식을 교육하는 직원은 직장에서 최고의 보안 수비수가 된다.


4. 적시에 이뤄지지 않는 보안 인식 교육

보안 인식 교육 프로그램은 개인화되고 사용자의 역할과 관련되어야 하며 시의적절해야 한다. 필자는 필자와 아무 상관도 없는 외국 부패방지법에 대한 교육이 싫었다. 누구나 그럴 것이다.

예를 들어 대금 지급 업무를 하지 않는 직원을 대상으로 가짜 송장과 사기 송금을 피하는 방법을 교육해서는 안 된다. 단, 세금 납부 기간이 다가올 때는 모든 직원을 대상으로 개인 납세자 번호 정보를 요구하는 가짜 W-2 정보 요청 수법을 피하는 방법을 교육하고, HR/급여 부서 직원들에게는 해당 조직을 담당하는 세무사를 사칭한 가짜 W-2 정보 요청을 피하는 방법을 교육해야 한다. 

크리스마스가 다가오면 가짜 기프트 카드 사기를 피하는 방법을 교육해야 한다. 시스템을 적절히 패치하는 방법, 가짜 버전에 속지 않도록 설치된 악성코드 차단 프로그램을 정확히 알아보는 방법도 교육해야 한다.


5. 징벌 같은 느낌의 보안 인식 교육

직원들은 보안 인식 교육이 일방적이며 마치 징벌처럼 느껴진다는 말을 많이 한다. 정해진 시간만큼 교육에 참여해야 하며 그렇지 않을 경우 징계를 받는다. 교육에 참여하도록 사람들을 독려해야 하는 것은 사실이지만 교육을 더 재미있게, 색다르게 하면 직원은 자발적으로 더 많이 배우고 싶다는 생각을 하게 된다. 앞서 언급한 게임화가 좋은 방법이다.

예를 들어 1년 동안 모든 진짜 및 모조 피싱 이메일을 100% 보고하는 직원에게 아마존 기프트 카드를 선물로 지급하는 방법이 있다. 단, 직원들의 관심을 끌 정도로 기프트 카드의 금액이 충분히 커야 한다. 그런 다음 이메일에서 어떤 부분을 확인해야 하는지 알아보는 비디오를 몇 편 보도록 한다. 매월 다른 주제를 다루며 그 다음 달에 해당 주제와 기타 요소에 대한 테스트를 받게 됨을 알린다. 어느 달의 주제는 W-2 피싱이고, 다음 달은 “정돈된 책상” 또는 화면보호기 잠금 감사다. 기프트 카드에 25달러, 50달러, 100달러가 들겠지만 잘 교육된 직원의 가치는 이보다 훨씬 더 크다.

이와 관련해 필자는 테스트 또는 실제 위협에 올바르게 대처하지 못한 직원을 해고하거나 징계해야 하냐는 질문을 많이 받는다. 금융 업계의 경우 피싱 이메일에 한 번만 속아도 바로 해고하는 기업이 많다. 필자는, 그리고 수많은 다른 사람들도 어느 누구라도 피싱에 걸려들 수 있다. 자신도 손쉽게 피싱을 당할 수 있음을 안다면 이런 해고 정책을 승인하지 못할 것이다.

자신은 절대 당하지 않는다고 생각하는 사람도 있겠지만 그렇지 않다. 지능이나 경험과는 무관하다. 누구나 속을 수 있고 누구나 실수를 할 수 있다. 필자는 특히 첫 실수에 대한 무관용, 또는 지나치게 가혹한 징계에 동의하지 않는다. 직원은 스스로 가치 있다고 느끼고 적절한 교육을 받을 때 훨씬 더 높은 생산성을 발휘한다.

물론 항상 아무거나 클릭하고 조직의 사이버보안을 강화하는 데 아무런 도움이 되지 않는 사람에게도 아무 조치 없이 넘어가야 한다는 말은 아니다. 그런 사람이라면 최소한 후속 테스트에서 조직에 대한 책임감 있는 모습을 보이기 전까지는 브라우저와 이메일 시스템을 통제해서 사전에 승인된 장소 및 사람과만 통신할 수 있도록 하는 방법이 있다. 통제되는 워크스테이션을 사용하기는 힘들지만 이렇게 하면 적어도 징계가 있음을 인지하도록 하고 성장과 개선의 기회도 부여할 수 있다.


사이버보안 인식 교육 마스터하기

만약 조직의 컴퓨터 보안 인식 프로그램을 담당하고 있다면 <변혁적 보안 인식: 신경과학자, 작가, 마케터에게서 배우는 보안(Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behavior)>을 읽어야 한다. 이 책의 저자 페리 카펜터는 대기업에서 보안 인식 교육 담당자로 일하다가 이후 가트너 분석가로 일하며 업계를 보는 안목을 키웠다. 이 책은 컴퓨터 보안 교육보다는 인간 심리에 초점을 두고, 경청하고 학습하도록 동기를 부여하는 요소가 무엇인지를 살펴본다. 문제의 근원을 다루는 책이다.

필자는 이런 모든 기법을 활용하는 사이버보안 인식 교육 프로그램을 운영하는 기업을 많이 알고 있다. 이와 같은 프로그램 덕분에 해당 기업과 소속 직원들은 더 생산적이고, 행복하며, 안전하다. editor@itworld.co.kr 


X