Offcanvas

CSO / How To / 리더십|조직관리 / 보안 / 비즈니스|경제 / 인문학|교양 / 훈련|교육

'습관이 문화를 만든다' 보안 인식 프로그램에 필요한 7가지

2017.06.26 Ira Winkler  |  CSO
4년 전 필자가 한 CSO 행사에서 기조연설을 부탁받았을 때 참석한 CSO들의 최고 관심사가 보안 문화라는 것은 의외였지만 고무적이었다. 다수의 보안평가 및 침투 테스트 수행 경험을 통해 필자가 확인한 사실은 최고의 기술을 동원한 보안 활동도 회사의 보안 문화가 약하면 아쉽게도 실패할 수밖에 없다는 점이다.



4년 전 행사 당시에 필자는 CSO들이 기술에만 의존하는 방법에서 벗어나 강력한 보안 문화 정착의 방향으로도 이동하고 있다는 것을 확인하고 용기를 얻었다.

그 후 보안 인식 프로그램의 중요성에 대한 인식이 폭발적으로 늘어난 듯했다. 보안 인식 프로그램에 배정되는 자원도 늘어났다.

다음은 필자가 생각하는 보안 인식 프로그램에서 가장 중요한 요소다.

1. 경영진 지원 확보
경영진 지원이 확보되면 자유가 많아지고, 예산과 타 부서의 지원도 늘어난다. 보안 인식 프로그램 실행 담당자는 다른 일에 집중하기 전에 먼저 강력한 지원 확보를 위해 최소한 노력은 해야 한다.

물론 경영진 지원 확보는 어렵지만, 보안 인식이 준법 감시에 필수적이라는 사실과 보안 인식 활동이 결국 회사 비용 절감으로 이어진다는 점 등을 강조하면 성공 확률을 높일 수 있다. 관련 뉴스와 팁을 다룬 짧은 기사와 뉴스레터 등 임원 전용 자료를 준비하는 것 역시 절실한 경영진 지원 확보에 도움이 된다.

2. 핵심 부서와 협력
성공적인 보안 인식 프로그램은 어떻게 해서든 법무, 준법 감시, 인사, 마케팅, 개인정보 보호 및 물리적 보안 등 다른 부서를 참여하게 한다. 경영진 지원이 이미 확보되어 있으면 타 부서 지원을 확보하기 쉬워진다. 이들 부서는 상호 간에 이득이 있는 경우가 많아서 자금이나 자료 배포 등 추가 자원 제공에 협조적일 가능성이 높다. 이들 부서에서 보안 인식 활동을 의무화할 수 있는 경우도 많다. 예를 들면, 조직 전반에 영향력이 큰 법무 부서와 준법 감시 부서는 신입 사원 교육 등의 사내 절차에 보안 인식을 의무적으로 포함할 수 있다.

이러한 지원을 확보하려면, 전반적인 보안 인식 활동에 협력 부서가 필요로 하는 것을 반영시켜야 할 경우도 있다. 예를 들면, 보안 인식 소식지에 준법 감시 관련 내용을 싣겠다고 제안할 수도 있다. 이를 통해 필요한 지원을 확보할 수만 있다면 귀찮더라도 충분히 해 볼만 한 일이다.

한 가지 덧붙여 말하자면, 대부분 조직에서는 타 부서의 참여가 필수적이다. 예를 들면, 사내 통신 담당자를 통해 자료를 승인받아 직원들에게 배포해야 할 때 자료 배포 방식이나 자료 형식에 대한 정책이 있을 수 있다. 이러한 사항을 최대한 빨리 파악해야 한다.

3. 중요성 강조
대부분의 보안 인식 프로그램은 구색만 갖추고 컴퓨터 기반 교육 비디오를 상영하는 것이 전부인 듯하다. 본지를 겨냥해 시도된 시리아 전자 군대(SEA) 공격 사례에서 확인한 것처럼, 시기적절한 정보에 중점을 두는 보안 인식 프로그램은 성공을 거두고 공격을 예방할 수 있다.

그렇다고 꼭 본인 조직이 공격 대상이 될 필요는 없다. 관련 참고 자료는 풍부하다. 워너크라이(WannaCry)는 사이버보안 관련 문제가 세간의 주목을 받은 대표적인 사례다. 이 밖에도 주요 소매업체를 대상으로 한 해킹으로 인해 보안 문제가 세간의 주목을 받았다. 이러한 공격 사례를 주기적으로 활용해 보안 인식 프로그램 활동의 중요성을 부각해야 한다. 그래야 사용자들이 담당자의 조언을 잘 따르게 된다.

4. 성공 측정
성공적인 활동의 핵심 요소 중 하나는 활동의 성공을 입증하는 것이다. 이렇게 하려면 새로운 보안 인식 활동에 앞서 측정 지표를 수집하는 수밖에 없다. 기준점을 설정하지 않으면, 활동이 기대 이상의 성공을 거둔 것을 실증하기 어렵다.

측정 지표에는 태도에 대한 설문조사와 인식 교육 전후에 피싱(phishing) 시뮬레이션 도구 활용 등을 포함할 수 있다. 또한, 업무 지원 센터에 신고된 보안 관련 사건 발생 건수, 바이러스 사건 발생 건수, 금지 웹사이트 방문 시도 횟수를 알려주는 웹 콘텐츠 필터 보고서 등을 활용할 수도 있다. 보안의 어떤 측면에서라도 나아진 점을 측정해 보여줄 수 있다면, 보안 인식 프로그램의 존재를 정당화할 수 있고 추가 자금과 지원을 확보할 수 있다. 회사 내 어떤 부서라도 자신의 존재 가치를 입증해야 하며 보안 부서도 예외가 아니다.

5. 행동 금지보다는 행동 방식 안내
보안 부서는 직원이 하면 안 되는 일을 지시하는 데 집중한 나머지 흔히 ‘금지의 부서’로 비치곤 한다. 그러나 사람들은 하고 싶은 일이라면 어떻게 해서든지 방법을 찾아내고야 마는 것이 현실이다. 허용돼서는 안 되는 행동이 분명히 있는 것은 인정하지만 예외적인 경우로 봐야 한다.

보안 인식 활동은 하지 말라는 말을 하는 것보다 안전한 행동 요령을 알려주는 것이 더 효과적이다. 이상적인 보안 인식 프로그램은 직장에서나 가정에서 정보를 안전하게 다루는 방법을 알려줘야 한다. 예를 들면, SNS 사용을 금지하는 대신 안전한 SNS 사용법을 알려 주는 것이다.

6. 보안 인식에 혜택 부여
직원의 실제 행동을 기준으로 혜택을 부여하는 제도를 마련한다. 모든 조직에서 이런 게임 방식의 프로그램을 실행하는 것은 현실적이지 않겠지만, 적절한 보안 행동을 한 사람들을 위한 혜택과 보상을 도입할 기회가 없는 것은 아니다.

예를 들면, 잠재적인 보안 사건을 신고하는 사람을 포상하는 방법이다. 피싱 시뮬레이션 메시지 신고 등에도 적용된다. 사용자들이 좋은 행동을 보여줄 방법을 최대한 많이 찾아내서 적절한 포상 제도를 만들어야 한다. (본 기사는 혜택이 부여된 보안 인식에 관한 좋은 참고 자료다).

7. 다양한 인식 제고 도구 사용
컴퓨터 기반 교육 모듈이 필요한 경우도 있지만, 이에 전적으로 의존하는 보안 인식 프로그램들이 너무 많은 것도 탈이다. 가장 성공적인 보안 인식 프로그램은 뉴스레터, 포스터, 게임, 뉴스피드(newsfeed), 블로그, 피싱 시뮬레이션 등의 다양한 도구를 활용한다. 활동에 적극적으로 참여할수록 성공도 커진다.

또, 한 가지 고려할 점은 자료에 사용자의 다양성을 반영해야 한다는 것이다. 최대한 많은 사용자를 설득할 수 있도록 다양한 자료를 만들어야 한다. ‘모든 사람에게 다 들어 맞는 한 가지’ 보안 인식이란 없다는 게 확실하기 때문이다.

결론
이 외에도 많지만 일단 위에서 소개한 요소부터 확보하면 좋다. 습관이 보안 문화를 이끈다는 사실을 기억하자. 미진한 보안 문화를 보완해 줄 기술은 없다. 적절하게 시행되는 보안 인식 프로그램으로 얻은 지식은 행동을 고취한다. 대부분의 보안 전문가들은 적절한 보안 행동이 상식의 문제라고 생각하지만, 현실에서 그 상식이란 널리 알려진 지식에 기반을 두며 그 지식은 더욱 널리 알려야 한다.

* Ira Winkler는 시큐어 멘템의 대표이자 CISSP로 'Advanced Persistent Security'의 저자다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.