대부분의 보안 관련 논의는 직원을 위험 요소로 간주합니다. 그 결과, 제공되는 교육은 이러한 인식을 강화하는데, 장황한 연례 프레젠테이션과 직원들이 저지를 수 있는 사소한 실수에 대한 심각한 결과 설명 등이 그 예입니다. 이러한 접근 방식은 두려움과 무관심을 조장하고 행동 변화를 거의 이끌어내지 못합니다. 하지만 대안적인 접근 방식이 존재하며, 단지 전제를 뒤집기만 하면 됩니다.
공포에 기반한 훈련이 효과적이지 않은 이유
이에 따르면 Verizon 데이터 유출 조사 보고서데이터 유출 사고의 74%는 인적 요소와 관련이 있습니다. 성공적인 소셜 엔지니어링 공격이든, 오류든, 오용이든 마찬가지입니다. 이러한 통계를 인용하는 사람들은 종종 직원이 취약점이라고 지적하지만, 사실 이 통계는 인간의 행동이 공격의 표적이 되며, 동시에 인간의 행동을 통해 공격을 막을 수 있다는 것을 보여줍니다.
공포에 기반한 교육은 그러한 통계를 판단의 기준으로 삼습니다. 반면 인식에 기반한 교육은 그것을 기회로 봅니다. 직원들이 자신이 약점이 아니라 문제 발견의 최전선에 있다는 사실을 깨닫게 되면 사고방식이 바뀝니다. 이전에는 미처 알아차리지 못했던 것들을 발견하게 되고, 자신이 틀렸기를 바라며 침묵하는 대신 적극적으로 의견을 제시하게 됩니다.
기술적 통제보다 심리적 통제가 더 중요하다.
연례 행사 체크리스트를 넘어
직원 보안 교육을 규정 준수 우선이라는 관점에서 접근하면 악순환에 빠지게 됩니다. 교육 일정이 잡히고, 팀원들이 (바라건대) 참석하여 비디오나 프레젠테이션을 시청하고, 보안 감사에서 체크리스트 항목을 통과하면, 다음 해 같은 시점이 되어 똑같은 과정을 반복할 때까지 아무것도 변하지 않습니다. 그때쯤 되면 교육에서 얻은 정보와 맥락은 이미 팀원들의 단기 기억에서 사라진 지 오래입니다. 이런 악순환이 계속되는 것입니다.
이건 팀의 실패가 아니라 구조적인 문제입니다. 인간의 기억 상실은 12개월 주기로 일어나지 않습니다. (그랬다면 정말 좋겠지만요.) 귀중한 교육 정보의 상당 부분이 팀원들의 머릿속에서 사라져 버립니다. 바로 다음번에 악의적인 공격이 조직을 겨냥할 때 말이죠.
자동화된 교육 과정이 연례 수동 워크숍보다 뛰어난 성과를 보이는 이유는 단 하나, 세미나 기간뿐만 아니라 연중 내내 보안에 대한 인식을 높이기 때문입니다. 보안 인식 교육 자동화된 플랫폼을 통해 제공되므로 모든 사람에게 연락하고, 진행 상황을 추적하고, 실제 행동에 따라 조정할 수 있습니다. 따라서 스트레스가 많은 3월에 재택근무를 하면서 보안을 철저히 준수하는 팀은 12월에 실수를 저지를 가능성이 훨씬 적습니다.
적시 학습 모델
직원 보안 인식 교육은 최적의 시기에 제공될 때 가장 효과적입니다. 예를 들어, 직원이 피싱 시뮬레이션 링크를 클릭했을 때 단순히 신고하는 것으로 끝내서는 안 됩니다. 오히려 그 순간이 바로 짧고 집중적인 학습 모듈을 제공하기에 가장 적합한 기회입니다.
적시 학습이라고도 불리는 이 접근 방식은 미리 계획된 교육보다 더 높은 학습 효과를 보이는 것으로 나타났습니다. 학습 내용은 실제 발생한 상황과 직접적으로 관련되어 있기 때문입니다. 직원은 불이익을 당한다는 느낌 대신, 정보가 가장 필요한 바로 그 순간에 무엇을 피해야 하는지 배우게 됩니다.
비난 없는 보고 문화 구축
아무리 잘 훈련된 직원이라도 때때로 실수를 저지르는 것은 불가피합니다. 사소한 사고와 심각한 보안 침해의 차이는 종종 실수가 얼마나 빨리 보고되는지에 달려 있습니다. 직원들이 보복을 두려워하면 침묵하게 되고, 보안 침해는 더욱 확산될 것입니다. 그리고 마침내 누군가가 이를 알아차릴 때쯤이면 복구 비용은 훨씬 더 많이 발생할 것입니다.
그렇기 때문에 잘 정립되고 처벌을 부과하지 않는 보고 절차를 마련하는 것은 조직이 갖춰야 할 가장 중요한 요소 중 하나입니다. 이는 직원들에게 실수를 발견하고 즉시 보고하는 것이 올바른 대응이며, 은폐해서는 안 된다는 것을 보여줍니다. 또한, 보안 담당자가 침해 사태가 심각해지기 전에 경보를 울릴 수 있도록 해줍니다.
이는 우리가 충분히 이야기하지 않는 내부자 위협 위험에 대해 분명히 시사하는 바입니다. 대부분의 내부자 관련 사건은 악의적인 의도가 있는 것이 아닙니다. 누군가 승인되지 않은 소프트웨어를 설치하거나, 가장 공격에 속거나, 클라우드 서버를 잘못 설정하는 등의 실수에서 비롯됩니다. 신고를 장려하는 안전 문화는 이러한 문제가 커지기 전에 해결할 수 있습니다. 반면 비난 위주의 문화는 이러한 문제들이 숨겨지도록 방치합니다.
보안을 전문적인 기술처럼 느끼게 만들기
때때로 게임화는 사소한 것으로 여겨지지만, 실제로는 맥락을 바꾸기 때문에 효과적입니다. 즉, 교육이 직원들에게 주어지는 것이 아니라, 직원들이 잘할 수 있는 무언가가 되는 것입니다. 순위표, 인정, 완료 배지는 사람들이 전문 자격증을 취득하려는 동기와 같은 경쟁심과 성취욕을 불러일으킵니다.
직원들이 보안 인식 수준을 스스로 평가하거나 피싱 시뮬레이션에서 팀의 뛰어난 성과를 확인할 때, 보안은 더 이상 컴퓨터 전문가만의 문제가 아니라 전문가의 정체성이 됩니다. 진정한 사이버 보안 문화는 포스터, 마우스 패드, 봉제 인형, 또는 직원 핸드북에 붙은 경고 스티커에서 만들어지는 것이 아니라, 바로 그 순간 형성되는 것입니다.
MFA 도입, 섀도우 IT 감소, 심지어는 차량 무단 출입 시 적절한 신원 확인 절차 도입과 같은 물리적 보안 문화까지, 직원들이 이러한 사항들을 훌륭한 전문가의 기본 요건으로 받아들일 때 개선됩니다. 단순히 규정 준수를 강요하는 것이 아니라, 역량을 키우도록 지원하는 것입니다.
사고에 가장 효과적으로 대응하는 조직은 X-Prize 상을 받을 만한 최고의 보안 기술을 보유한 조직이 아닙니다. 오히려 직원들이 전문적인 역량을 발휘하고, 이상한 점을 발견하면 즉시 도움을 요청하도록 동기 부여가 되어 있는 조직입니다.