보안

직원들이 보안규정을 지키지 않은 이유 3가지

Joan Goodchild | CIO 2008.10.31
보안업체인 RSA의 최근 조사에 따르면, 조사에 응한 근로자 중 대다수가 직무 수행을 위해 회사가 정한 보안정책을 지킬 수 없다고 느낄 때가 많다고 답했다. RSA는 많은 기업이 악의를 가진 내부자의 협박에 시달리고 있다고 지적하면서, 진정한 위험은 결백해 보이지만 규정을 어기는 평범한 직원들이라고 지적했다.

CSO
는 애플리케이션 개발과 통합에 대한 가트너 분석가인 프랭크 케니(Frank Kenney)에게 사람들이 기업의 보안정책을 지키지 않은 주요 이유가 무엇이라고 생각하는지, 그리고 어떻게 하면 그들이 규정을 지킬 것이라고 생각하는지 물었다.

1.
그들은 규정을 모른다

RSA의 조사 결과는 응답자 대부분이 자신이 속한 조직의 보안 정책에 ‘익숙’하다고 응답했음을 보여준다. 그러나 케니는 정책이 언제나 흑백으로 명백한 것은 아니라고 지적했다. 많은 기업이 직원에게 혼란스러운 메시지를 보내고 있을 가능성이 높다는 설명이다.

케니는 "만일 지메일을 쓰지 말라고 하는 회사에서 일하지만 회사에서 지메일을 막지 않아서 현실적으로 지메일에 접속할 수 있는데다가, 대용량메일을 보낼 수 있는 수단을 회사에서 직원에게 제공하지 않는다면, 직원들은 지메일을 사용한다고 지적했다.

케니가 말하고자 하는 요점은 근로자가 특정 애플리케이션을 쓰지 못하도록 막거나 특정 웹사이트를 방문하지 못하도록 막는 회사라면, 그런 규정을 회사지침서에 적는 이상의 무언가를 해야 한다는 것이다. CSO는 근로자들에게 고용지침이 무엇인지 분명히 알려주어야 하고 이를 때때로 되새기게 해야 한다. 또한 어기는 일이 없도록 방지하는 수단을 곳곳에 배치해야 한다고 케니는 강조한다. 직원이 지메일을 안 쓰기를 바란다면 지메일 사이트를 막으면 된다.

2.
직원들이 규정을 알더라도 그것을 지키라고 일깨워주는 사람이 아무도 없다

규정을 만들고 누구나 규정을 안다고 해도 규정을 어겼을 때 아무런 문제가 생기지 않는다면 직원이 규정을 어기는 일을 무슨 수로 막을 것인가?

케니는 "빨간불에서는 멈춰야 한다는 것 쯤은 모두 안다. 하지만 근로자들은 회사의 정책을 어겨도 징계당하지 않는다는 것을 안다는 것이 문제"라고 지적했다.

RSA
는 조사에 응한 사람들이 일반컴퓨터에서 회사 이메일 계정에 접속한 적이 있음을 인정했다고 말한다. 또한 대다수는 무선네트워크를 통해서 회사 이메일 계정에 접속했다고 응답했다고 한다. 이 말은 회사의 정보가 위험함을 의미한다. 하지만 근로자도 그렇게 생각할까? 그렇더라도 근로자들이 왜 그걸 신경 쓰겠는가? 케니는 직원들이 하는 일이 무엇을 말하는지를 직원에게 교육해야 한다고 제안한다. 그리고 상벌체계를 갖춰서 회사의 정책을 더욱 공고히 해야 한다.

케니는 "올바른 행동에 대한 보상이 따른다면 교육이 효과를 보일 것이다. 잘못된 일에 벌을 주는 것도 효과적인 방법"이라고 말했다.

점심 무료제공, 공연티켓제공 같은 경품을 주는 것도 좋은 방법이다. 반대로 규정을 무시하면 "직급을 낮추겠다고 계속 경고하고 실제로 그렇게 해야 한다.

3.
규정이 생산성을 떨어뜨린다

IT
분야가 시작될 때부터 자신의 업무를 보기 위해 보안문제를 이리저리 피하는 일이 지속되어왔다. 초창기 사례로는 다운로드나 이메일을 통한 배포를 금지했던 민감한 기업문서 출력 등이 있다.

케니는 "노트북을 잠그고 플래시 드라이브에 파일을 저장하지 못하도록 할 수 있다. 하지만 그들은 일의 능률을 올리기 위해 출력을 할 것이다라고 말했다.

케니는 직원들은 IT의 보안정책이 일의 능률을 떨어뜨린다고 본다고 지적했다. 그가 볼 때 가장 위험한 일은 야후, 핫메일, 지메일 같은 웹 기반 서비스를 이용해 회사문서를 주고받는 일이다.

애버딘(Aberdeen)의 최근 보고서에 의하면, 몇몇 업계를 중심으로 보안/관리 파일전송제품에 대한 필요성 또는 대용량 파일을 안전하게 공유할 필요성이 늘어나고 있다고 한다. 케니는 "직원이 웹기반 이메일을 이용할 때 회사는 어떤 종류의 지적재산권이 안개 속으로 빠져드는 지 알지 못한다. 그들에게는 안전하게 파일을 전송할 툴이 필요하다"라고 말했다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.