"보안 훈련은 왜 항상 미흡할까" 보안 훈련의 문제점과 성공 비법

미국 해군에서 장교로 복무했던 브루스 빔은 "기업 보안 훈련에 ‘훈련한 것처럼 싸운다’는 군사 교리를 도입해 적용하는 것이 좋다"라고 말했다. 
 

  
빔은 모든 직원을 대상으로 이들이 직면할 다양한 공격에 맞서 싸울 수 있도록 훈련시키고, 이런 위협을 파악해 대응하는 방법을 연습시켜야 한다고 강조했다. 이렇게 하면 실제 위협이나 공격에 직면했을 때 배운 대로 맞서 싸우고, 반격할 수 있다.

사이버보안 분야 전문가를 훈련하고, 자격증을 발행하는 비영리 단체인 (ISC)2의 CIO로 재직 중인 빔은 “(ISC)2는 대비하는 것이 얼마나 중요한지 깊은 인상을 남긴다”라고 말했다.

위협에 준비된 대응을 하는 것이 보안 훈련 프로그램의 목적이다. 그러나 데이터에 따르면, 직원들이 ‘전투’에 준비되도록 만드는 기업들의 노력이나 성과가 여전히 미흡한 실정이다.

본지의 ‘2020년 보안 우선순위 조사’에 따르면, 보안 사고 가운데 36%는 피싱 스캠의 피해자가 되거나, 자신도 모르게 보안 정책을 위반하는 등 사용자의 악의없는 실수가 원인이다. 그리고 조사 대상의 27%는 소속 기업이 사용자에게 제공하는 보안 훈련이 부적절하다고 응답했다.

그러나 조사 대상의 29%는 보안 훈련과 인식 제고 프로그램이 보안 팀을 더 전략적인 과업에 집중하지 못하게 만드는 데, 이는 많은 기업이 이런 준비와 대비를 전반적인 사이버보안 전략의 일부로 중시해 취급하지 않고 있음을 알려주는 지표이다.

사이버 공격, 증가하고 표적화되고 있다

훈련의 필요성과 가치에 대한 인식 간에 격차는 어려운 시기에 특히 부각되고 있는 실정이다.
팬데믹으로 인해 여전히 많은 직원이 재택 근무를 하고 있다. 반면 기업은 광범위해진 새로운 가상 근무 환경에서 기업을 적절히 보호하기 위해 보안 조치와 대책을 강화하고 있다.

한편으로는 크게 급증한 피싱 공격 시도를 중심으로 모든 종류의 사이버 공격이 증가하고 있는 추세이다. FBI의 사이버 부문에는 팬데믹 초기 몇 개월 동안 매일 최대 4,000건의 사이버 공격이 접수됐다. 이는 400%가 증가한 수치이다. 사이버보안 업체인 몬스터 클라우드(MonsterCloud)에 따르면, 교육 기관부터 포천 50대 기업까지 모두가 원격 환경으로 이동하면서 사이버 공격이 800% 증가했다.

더 심각한 것은 사이버범죄가 더 조직화되고, 정교해지고, 표적화되고 있는 것이다. 전문가들은 스피어피싱 공격 또한 증가하는 추세라고 지적했다. 사이버보안 업체인 바라쿠다(Barracuda)에 따르면, 팬데믹 첫 수개월 동안 스피어피싱 공격은 667%가 증가했다.

보안 리더들은 보안 전문가들이 인식 제고 훈련을 강화하고, 효과없는 프로그램을 없애고, 더 현대적이고 효과적인 방법을 활용해야 위협이 증가하는 추세를 반전시킬 수 있다고 강조했다. 훈련은 가치있는 전략적 이니셔티브가 되어야 한다. 현재 시행되고 있는 훈련은 직원들을 적절히 준비시키지 못하기 때문이다.

보안 훈련 프로그램의 문제점

보안 인식 제고 훈련의 역사는 수십년 전으로 거슬러 올라간다. 그 근원은 사용자의 인식 부족과 보안 통제책 미흡이 중대한 위협이 된다고 지적한 1987년 연방 컴퓨터 보안법(federal Computer Security Act)이다. 이를 통해 연례 훈련 요건에 대한 개념과 관행이 확립됐다.

자문 및 컨설팅, 아웃소싱 서비스 회사인 가이드하우스(Guidehouse)의 사이버보안 책임자인 존 에켄로데는 1980년대 후반과 1990년대까지는 이런 연례 훈련이 적절했을지 모른다고 말했다. 대부분의 직원이 컴퓨터를 사용하고 인터넷이 부상하기 이전의 시대였기 때문이다. 그러나 세상은 디지털 시대로 접어들었다. 그런데 훈련은 많은 측면에서 이를 따라가지 못했다. 

ISACA가 1,873명의 보안 및 기술 분야 리더들을 조사해 발표한 ‘<2021년 실무에서의 프라이버시 보고서(2021 Privacy in Practice report)>’에 따르면, 매년 1회 프라이버시 훈련을 제공한다고 대답한 비율은 67%, 분기에 1회 제공한다고 대답한 비율은 14%였다. 52%는 온보딩(신입 직원 교육)의 일부로 제공하고 있으며, 18%는 중요한 사건이 발생한 후 훈련을 제공하고 있는 것으로 조사됐다. 

에켄로데는 “아직도 ‘매년 1회 훈련’이라는 사고방식에 사로잡혀 있다. 한 번 실시하면 완료된다는 사고방식이다. 그러나 이를 넘어서야 한다”라고 지적했다.

전문가들은 일부 기업은 훈련을 요구사항 준수의 일환, 의무적으로 해야 할 활동으로 보고 있다고 지적했다. 훈련은 보안 정책을 이해해 따르게 하고, 모범 사례를 도입해 기업 보안 태세를 강화하는 데 도움을 주는 방법을 사용자에게 교육시키는 기회를 제공하는 가치가 있는 데, 이들은 이런 가치를 간과한 것이다. 이런 이유로 큰 차이를 가져올 수 있는 강력한 프로그램을 개발하는 것에 많은 투자를 하지 않는다.

그러나 훈련이 보안을 강화하는 데 가치가 있다고 판단하는 기업조차 자사의 프로그램이 충분히 강력하지 않다는 것을 발견하는 경우가 많다.

컨설팅 업체인 NCC그룹의 위험 관리 및 거버넌스 담당 수석부사장인 존 로스턴은 “대체적으로 보안 인식 제고 훈련은 큰 효과가 없다. 기껏해야 최소한의 성과만 거둘 뿐이다. 영향에 있어 ROI가 약하다”라고 평가했다.

여러 보안 리더들이 그 이유에 대해 설명했다. 우선 몰입도 높은 콘텐츠가 부족하다고 지적했다. 대부분 직원에게 지나치게 기술적인 훈련 콘텐츠, 이들이 직면할 가능성이 높은 위험과 공격을 다루도록 그룹에 맞춤화 되기보다 일반적인 학습이 문제라고 말했다. 

또한 정보가 ‘지루한 방식’으로 전달되는 것도 문제다. 훈련 자료를 개선할 리소스의 부족, 제공되는 훈련의 종류와 빈도가 미흡한 것도 문제라고 지적했다.

포지티브 테크롤로지스(Positive Technologies)의 정보 보안 분석 조사 그룹 책임자인 에카테리나 킬류셰바는 “사이버보안 훈련 및 인식 제고 프로그램이 충분히 효과적이지 못한 주된 이유는 일회적이고 불규칙하게 이뤄지기 때문이다. 정보 보안 관련 행동이 실제 직원들이 맡고 있는 업무와 단절되어 있고, 업무 흐름에 통합되어 있지 않기 때문이다”라고 말했다.

킬류셰바는 “기업과 직원들이 이론적인 지식만 전수받고, 실제 활용할 수 있는 스킬은 획득하지 못하는 사례가 아주 많다. 이론적 지식을 새로운 스킬을 자신의 것으로 만드는 데 도움을 줄 연습으로 보완해야 한다. 자료 자체도 시대에 뒤떨어졌거나, 회사와 관련된 실제 위협을 간과하는 경우들이 있다"라고 설명했다. 

기업 보안 훈련이 효과적이지 못한 이유는 훈련 자료의 단조로움, IT와 직접 관련이 없는 직원에게 너무 복잡하고 어렵다는 것이다. 

킬류셰바는 "일부의 경우, 기업이 훈련을 하는 구체적인 목적, 결과를 측정하고 프로그램이 효과적인지 여부, 변화시켜야 할 부분을 파악하는 데 도움을 주는 매트릭스를 갖고 있지 않는 경우도 있다. 직원들이 프로그램을 얼마나 잘 마스터했는지, 이런 지식을 실제 적용하는 역량이 어느 정도인지 실제 평가하는 테스트가 없다”라고 말했다.

다음과 같은 조사 결과들은 훈련이 얼마나 비효과적일 수 있는지 보여준다. 오스터만 리서치(Osterman Research)와 보안 훈련 업체인 미디어프로(MediaPRO)가 다양한 기업과 직종에 종사하는 1,000여 명의 직장인들을 조사해 발표한 ‘2020년 프라이버시 및 보안에 대한 인식 현황 보고서’에 따르면, 많은 응답자가 악성코드, 피싱 및 클라우드 파일 공유에 대해 잘못 이해하고, 이로 인해 개인 데이터와 기업 데이터가 위험에 노출되고 있다.

60% 이상이 소속 기업이나 기관이 캘리포니아 소비자 보호법(CCPA)이나 EU의 개인정보 보호 규정(GDPR) 같은 주요 개인정보보호 규정들을 준수해야 하는지 여부를 모르고 있었다.

성공적인 보안 훈련 비법 

트레이닝과 인식 제고를 보안 전략의 핵심으로 만들기 위해 노력한 CISO들이 아주 많다. 이들은 직원들이 기업 보안에 더 효과적인 역할을 하도록 한다. 

미국 국가사이버보안협회(National Cyber Security Alliance, NCSA) 전무이사 켈빈 콜먼은 “많은 기업이 지금은 모두가 항상 연결되어 있는 환경이고, 자신의 브랜드를 보호해야 한다는 것을 알고 있다. 해킹이 브랜드와 평판에 큰 타격이 되며, 따라서 보안 훈련과 직원들이 해킹을 당하지 않도록 돕는 노력을 기울여야 한다는 것을 잘 알고 있다. 기업은 여기에 에너지를 쏟아붇고 있다”라고 말했다.

콜먼에 따르면, CEO와 이사회 이사, 기타 임원들은 훈련의 우선순위를 높이려는 CISO의 노력을 지원하고 있으며, 자사의 보안 프로그램을 더 강력하게 만들고, 더 자주 실시하고, 궁극적으로 더 효과적으로 만들기 위해 필요한 자원을 투입하고 있다. 콜먼은 이 부분을 꽤 잘하고 있는 기관과 기업이 많다고 덧붙였다.

캐터필라 파이낸셜 서비스 코퍼레이션의 CISO이자 SANS와 존스 홉킨스 대학에서 강사로 일하고 있는 로스 영은 소속 회사의 훈련 프로그램을 발전시켰다. 이를 위해, 영의 팀이 교육받은 내용을 더 잘 기억하고, 사용자가 실제 직면할 수 있는 상황에 연결시키는 게임화와 다른 디지털 도구를 도입해 더 몰입도 높고 영향력 있는 훈련을 만드는 방법을 탐구했다.

영은 “우리는 비디오 게임에서 교훈을 얻었다”라고 말했다. 그러면서 공급업체는 최근 사용자가 학습에 몰입할 수 있도록 ‘방 탈출(escape room)’ 경험이나 ‘자신이 선택한 어드벤처(choose-your-own adventures)’ 같은 것들을 특징으로 하는 ‘엔터테인먼트’ 요소의 훈련을 제공하고 있다고 밝혔다. 

영은 현재 더 정교한 교육이 전달될 수 있도록 훈련을 더 효과적으로 표적화하는 방법을 개발하고 있다. 영은 어떤 부서의 직원이 반복적으로 실수를 하는지 파악하기 위해 성과를 분석하고 있다. 제대로 이해되지 못하는 정책, 이런 문제를 가장 효과적으로 다루는 방법을 파악하기 위해서다.

그는 훈련 활동의 성과를 측정하는 새로운 방법을 찾는 것이 훈련을 개선하는 ‘열쇠’가 될 것이라고 말했다. “우리는 전달해야 하는 훈련에 대한 더 많은 가이드가 필요하다”라고 덧붙였다.

다른 이들도 직원이 보안에 더 집중하는 사고방식을 갖추도록 돕는 훈련 프로그램을 개발하고 있다. 컴플라이언스 관련 컨설팅 업체인 사이젠(CyZen)의 수석 사이버보안 컨설턴트인 마이클 쉰크는 짧지만 강력한 정보를 활용하는 것이 좋다고 말했다. 

쉰크는 "15분 동안 하나의 주제를 탐구하는 방법이다. 연중 이런 교육을 진행한다. 이런 방식이 매년 한 차례 여러 주제를 대상으로 실시하는 연례 교육보다 ‘소화’하기 훨씬 더 쉽다"라고 말했다.

쉰크는 여러 방식으로 교육을 실시해야 한다고 말했다. 그는 “모든 학습 방법이 다르기 때문에, 다양한 방법으로 정보를 전달하는 것이 좋다”라고 말했다. 그러면서 게임화와 적응형 학습이 많은 직원을 교육하는 데 효과적인 경우가 많다고 덧붙였다.

한편 에켄로데는 "CISO는 직원들이 자신이 학습한 내용을 실제 실천하기 쉽게 만드는 절차를 만들어야 한다"라고 조언했다. 직원들에게 피싱 시도를 포착해 보고하도록 교육하는 경우, CISO는 사용자가 이를 실천할 수 있는 명확하고 쉬운 방법을 만들어야 한다.

에켄로데와 다른 전문가는 보안 교육을 정말로 강화하려면 CEO가 참여해야 한다고 강조했다. CEO와 이사, 전체 의사결정권자가 보안 훈련을 중시한다는 것을 알 경우, 직원들은 교육에 몰입할 수 있다. editor@itworld.co.kr