2013.02.20

보안 인식에 대한 5가지 오해

Lance Spitzner | CSO

SANS 시큐링 더 휴먼 프로그램의 교육 담당 이사 렌스 스피츠너가 보안 인식에 대한 5가지 오해에 대해 밝혔다.

필자는 종종 보안 인식 교육과 관련하여 보안업계에 만연해 있는 오해와 근거 없는 믿음에 놀라곤 한다. 오늘은 필자가 가장 흔하게 듣는 오해와 그것이 왜 오해인지에 대해 알아보도록 하자.

1. 보안 인식 교육은 소용이 없다
필자는 종종 이런 이야기를 듣는다: "보안 인식 교육은 소용이 없다. 인식 프로그램이 실제로 사람의 행동을 변화시키는 것을 본 적이 없다."

솔직히 말해서, 필자도 이 말에 동의한다. 과거 대부분의 인식 프로그램은 행동을 바꾸는데 실패했다. 하지만 이것은 과거 대부분의 프로그램이 행동을 바꾸기 위해 개발된 것이 아니었기 때문이다. 그 목표는 오직 규제 준수와 요건을 충족시키는 것뿐이었다. 따라서 최소한의 투자만이 이뤄졌다고 볼 수 있다.

이런 최소한의 인식 프로그램에서는 누군가가 1년에 한 번씩 파워포인트 프레젠테이션을 진행하거나 분기별 보안 인식 소식지를 보낸다.

인식 프로그램이 행동을 효과적으로 바꾸기 위해서는 처음부터 행동을 바꿀 수 있도록 설계된 프로그램을 개발해야 한다.

2. 여전히 누군가는 문제를 일으키기 때문에 아무런 효과가 없다
사람들은 인식이 문제라고 말한다. 교육을 얼마나 진행하는지에 상관없이 여전히 문제를 겪는 사람이 있다는 것이다. 보안은 위험을 낮추는 것이지 완전히 없애는 것이 아니다.

인식은 또 하나의 보안 통제 요소에 불과하다. 사람의 인식 수준이 다른 이유는 절대로 이해할 수 없는 부분이다. 인식은 암호화, 방화벽, 침입 탐지와 다를 바 없다. 하지만 인식을 통해 여러분은 투자의 결과를 얻을 수 있으며, 피싱 테스트의 결과에 따르면 인간이라는 요소의 위험성을 최대 95%까지 낮출 수 있다. 이 정도 수준의 ROI를 제공할 수 있는 방법이 있다면 알려주기 바란다.

3. 사람들은 이미 모든 것을 알고 있다
필자는 사람들이 따라야 하는 보안 행위를 알고 있지만 단지 따르지 않기로 선택한다고 주장하는 학자들의 흥미로운 보고서를 읽어본 적이 있다.

도대체 이 사람들은 어디에서 이런 데이터를 얻은 것일까? 필자가 일해본 기관에서 사람들은 단지 어떤 보안 행위를 따라야 하는지 모르고 있을 뿐 아니라 그 규칙을 배우고 싶어했다. 그들은 온라인에 악당이 존재한다는 것을 알고 있지만, 스스로를 보호하기 위해 무엇을 해야 하는지 모르고 있다. 문제는 사람이 아니다. 문제는 우리가 그들을 효과적으로 교육하지 못하고 있다는 것이다. 필자의 경험으로 비춰볼 때, 사람들이 가장 모르고 있는 것이 무엇인지 아는가? 그들은 운영체제와 애플리케이션의 최신 업데이트를 유지하는 것이 컴퓨터와 모바일 기기를 안전하게 유지하는 가장 기본적인 방법이라는 것을 모르고 있었다.




2013.02.20

보안 인식에 대한 5가지 오해

Lance Spitzner | CSO

SANS 시큐링 더 휴먼 프로그램의 교육 담당 이사 렌스 스피츠너가 보안 인식에 대한 5가지 오해에 대해 밝혔다.

필자는 종종 보안 인식 교육과 관련하여 보안업계에 만연해 있는 오해와 근거 없는 믿음에 놀라곤 한다. 오늘은 필자가 가장 흔하게 듣는 오해와 그것이 왜 오해인지에 대해 알아보도록 하자.

1. 보안 인식 교육은 소용이 없다
필자는 종종 이런 이야기를 듣는다: "보안 인식 교육은 소용이 없다. 인식 프로그램이 실제로 사람의 행동을 변화시키는 것을 본 적이 없다."

솔직히 말해서, 필자도 이 말에 동의한다. 과거 대부분의 인식 프로그램은 행동을 바꾸는데 실패했다. 하지만 이것은 과거 대부분의 프로그램이 행동을 바꾸기 위해 개발된 것이 아니었기 때문이다. 그 목표는 오직 규제 준수와 요건을 충족시키는 것뿐이었다. 따라서 최소한의 투자만이 이뤄졌다고 볼 수 있다.

이런 최소한의 인식 프로그램에서는 누군가가 1년에 한 번씩 파워포인트 프레젠테이션을 진행하거나 분기별 보안 인식 소식지를 보낸다.

인식 프로그램이 행동을 효과적으로 바꾸기 위해서는 처음부터 행동을 바꿀 수 있도록 설계된 프로그램을 개발해야 한다.

2. 여전히 누군가는 문제를 일으키기 때문에 아무런 효과가 없다
사람들은 인식이 문제라고 말한다. 교육을 얼마나 진행하는지에 상관없이 여전히 문제를 겪는 사람이 있다는 것이다. 보안은 위험을 낮추는 것이지 완전히 없애는 것이 아니다.

인식은 또 하나의 보안 통제 요소에 불과하다. 사람의 인식 수준이 다른 이유는 절대로 이해할 수 없는 부분이다. 인식은 암호화, 방화벽, 침입 탐지와 다를 바 없다. 하지만 인식을 통해 여러분은 투자의 결과를 얻을 수 있으며, 피싱 테스트의 결과에 따르면 인간이라는 요소의 위험성을 최대 95%까지 낮출 수 있다. 이 정도 수준의 ROI를 제공할 수 있는 방법이 있다면 알려주기 바란다.

3. 사람들은 이미 모든 것을 알고 있다
필자는 사람들이 따라야 하는 보안 행위를 알고 있지만 단지 따르지 않기로 선택한다고 주장하는 학자들의 흥미로운 보고서를 읽어본 적이 있다.

도대체 이 사람들은 어디에서 이런 데이터를 얻은 것일까? 필자가 일해본 기관에서 사람들은 단지 어떤 보안 행위를 따라야 하는지 모르고 있을 뿐 아니라 그 규칙을 배우고 싶어했다. 그들은 온라인에 악당이 존재한다는 것을 알고 있지만, 스스로를 보호하기 위해 무엇을 해야 하는지 모르고 있다. 문제는 사람이 아니다. 문제는 우리가 그들을 효과적으로 교육하지 못하고 있다는 것이다. 필자의 경험으로 비춰볼 때, 사람들이 가장 모르고 있는 것이 무엇인지 아는가? 그들은 운영체제와 애플리케이션의 최신 업데이트를 유지하는 것이 컴퓨터와 모바일 기기를 안전하게 유지하는 가장 기본적인 방법이라는 것을 모르고 있었다.


X