2014.07.21

'실효성 UP!' 보안 훈련과 게임화 기법

Lamont Wood | Computerworld
비보안 부문에 종사하는 직원들이 보안을 진지하게 받아들이도록 만드는 것은 해묵은 과제 중 하나다. 그리고 이 과제를 해결할 새로운 방법 하나가 등장했다. 다름 아닌 '게임화(Gamification)'다.

게임화를 통해 게임 요소를 접목함으로써 사용자의 보안 인식을 높이고, 행동을 개조한다는 게임이다. 그리고 실제 게임화 접목에 따른 성과가 나오고 있다.

세일즈포스닷컴(Salesforce.com)의 최고 신뢰 책임자(Chief Trust Office) 패트릭 헤임은 "우리 회사 프로그램 참가자들의 경우, 피싱 링크를 클릭하는 확률은 50%가 줄었고, 피싱 이메일을 보고하는 확률은 82%가 늘었다"라고 보고했다. 그는 부정적인 강압 대신 긍정적인 인식에 바탕을 둔 게임화 접목 보안 활동을 시작한지 18개월 후에 성과가 나오기 시작했다고 덧붙였다.




"우리 회사 프로그램 참가자들의 경우, 피싱 링크를 클릭하는 확률은 50%가 줄었고, 피싱 이메일을 보고하는 확률은 82%가 늘었다." 세일즈포스닷컴 패트릭 헤임 최고 신뢰 책임자


1만 3,000명의 직원을 채용하고 있는 세일즈포스닷컴은 물리적 보안에 대한 인식 구축에도 노력을 기울이고 있다. (인가를 받지 않은 사람이 인가를 받은 사람의 뒤를 따라 보안 출입구를 통과하는) '테일게이팅(tailgating)'을 테스트하는 캠페인에 300명이 자발적으로 참여했다. 문을 통과해 뭔가를 가져가면 보상하는 캠페인이었다.

보안 트레이닝 벤더인 산스 인스터튜트(SANS Institute)의 랜스 스피츠너 트레이닝 디렉터는 보안 트레이닝을 실시하기 전에는 약 30~60%의 사용자가 피싱 이메일의 먹잇감이 됐다며, 그러나 트레이닝과 게임화를 접목한 프로그램을 6개월~1년 실시했을 때, 이 비율을 5%로 줄일 수 있다고 강조했다.

게임화?
매릴랜드 애나폴리스(Annapolis) 소재 컴퓨터 보안 회사인 시큐어 멘템(Secure Mentem)의 아이라 윈클러 대표는 "게임화와 컴퓨터 게임은 아무런 관련이 없다. 이는 게임 원칙을 비즈니스 문제에 적용한다는 개념이다"라고 설명했다.

윈클러에 따르면, 게임화에는 다음 4가지 원칙이 있다.

- 목표를 정한다.
- 목표에 도달하는 규칙을 정한다.
- 피드백 메카니즘을 만든다.
- 자발적으로 참여한다.


골프 경기에서도 확인할 수 있는 원칙들이다. 골프는 가능한 가장 적은 시도로 공을 홀 컵에 넣는 경기이다. 그렇다고 홀 컵 가까이로 공을 가져가 떨어뜨릴 수는 없다. 점수는 피드백을 주는 시스템이고, 경기자들은 자발적으로 경기에 참여한다.

기업 보안 인식에 있어서 게임화란 올바른 행동을 한 직원들에게 점수를 부여, 배지, 상금이나 상품, 순위표의 상위 순위 등 다양한 형태로 인정하는 방법이다.

이런 프로그램들은 '피싱 이메일 보고', '테일게이팅 보고나 방지', '(소셜 엔지니어링을 중심으로) 여러 침입 시도 방지', '바닥에서 주운 USB 메모리 카드 보고', '데스크톱을 적시에 패치 및 업데이트 하는 행동', '강력한 비밀번호를 사용하는 행동', '보안 세미나 참석', '주차한 자동차에 노트북 컴퓨터를 방치하지 않는 행동', '(개발자들의 경우) 버그나 취약점을 보고하는 행동' 등 보안 관련 행동을 보상한다.

그러나 아직까지는 게임화가 기업 분야에서 널리 수용되고 있는 용어로 자리를 굳히지는 못했다. 캐나다 브리티시 콜롬비아 뱅쿠버(Vancouver) 소재 패밀리 인슈어런스 솔루션스(Family Insurance Solutions)의 IT 보안 관리자인 조단 슈뢰더는 "기업에서 '게임'이라는 용어를 사용했다가 반발을 사는 경우가 많다. 나는 이런 이유로 '게임' 대신 '적극적인 피드백(Active feedback)'이라는 말을 사용해왔다. 더 긍정적으로 받아들이기 때문이다"라고 말했다.
 

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.



2014.07.21

'실효성 UP!' 보안 훈련과 게임화 기법

Lamont Wood | Computerworld
비보안 부문에 종사하는 직원들이 보안을 진지하게 받아들이도록 만드는 것은 해묵은 과제 중 하나다. 그리고 이 과제를 해결할 새로운 방법 하나가 등장했다. 다름 아닌 '게임화(Gamification)'다.

게임화를 통해 게임 요소를 접목함으로써 사용자의 보안 인식을 높이고, 행동을 개조한다는 게임이다. 그리고 실제 게임화 접목에 따른 성과가 나오고 있다.

세일즈포스닷컴(Salesforce.com)의 최고 신뢰 책임자(Chief Trust Office) 패트릭 헤임은 "우리 회사 프로그램 참가자들의 경우, 피싱 링크를 클릭하는 확률은 50%가 줄었고, 피싱 이메일을 보고하는 확률은 82%가 늘었다"라고 보고했다. 그는 부정적인 강압 대신 긍정적인 인식에 바탕을 둔 게임화 접목 보안 활동을 시작한지 18개월 후에 성과가 나오기 시작했다고 덧붙였다.




"우리 회사 프로그램 참가자들의 경우, 피싱 링크를 클릭하는 확률은 50%가 줄었고, 피싱 이메일을 보고하는 확률은 82%가 늘었다." 세일즈포스닷컴 패트릭 헤임 최고 신뢰 책임자


1만 3,000명의 직원을 채용하고 있는 세일즈포스닷컴은 물리적 보안에 대한 인식 구축에도 노력을 기울이고 있다. (인가를 받지 않은 사람이 인가를 받은 사람의 뒤를 따라 보안 출입구를 통과하는) '테일게이팅(tailgating)'을 테스트하는 캠페인에 300명이 자발적으로 참여했다. 문을 통과해 뭔가를 가져가면 보상하는 캠페인이었다.

보안 트레이닝 벤더인 산스 인스터튜트(SANS Institute)의 랜스 스피츠너 트레이닝 디렉터는 보안 트레이닝을 실시하기 전에는 약 30~60%의 사용자가 피싱 이메일의 먹잇감이 됐다며, 그러나 트레이닝과 게임화를 접목한 프로그램을 6개월~1년 실시했을 때, 이 비율을 5%로 줄일 수 있다고 강조했다.

게임화?
매릴랜드 애나폴리스(Annapolis) 소재 컴퓨터 보안 회사인 시큐어 멘템(Secure Mentem)의 아이라 윈클러 대표는 "게임화와 컴퓨터 게임은 아무런 관련이 없다. 이는 게임 원칙을 비즈니스 문제에 적용한다는 개념이다"라고 설명했다.

윈클러에 따르면, 게임화에는 다음 4가지 원칙이 있다.

- 목표를 정한다.
- 목표에 도달하는 규칙을 정한다.
- 피드백 메카니즘을 만든다.
- 자발적으로 참여한다.


골프 경기에서도 확인할 수 있는 원칙들이다. 골프는 가능한 가장 적은 시도로 공을 홀 컵에 넣는 경기이다. 그렇다고 홀 컵 가까이로 공을 가져가 떨어뜨릴 수는 없다. 점수는 피드백을 주는 시스템이고, 경기자들은 자발적으로 경기에 참여한다.

기업 보안 인식에 있어서 게임화란 올바른 행동을 한 직원들에게 점수를 부여, 배지, 상금이나 상품, 순위표의 상위 순위 등 다양한 형태로 인정하는 방법이다.

이런 프로그램들은 '피싱 이메일 보고', '테일게이팅 보고나 방지', '(소셜 엔지니어링을 중심으로) 여러 침입 시도 방지', '바닥에서 주운 USB 메모리 카드 보고', '데스크톱을 적시에 패치 및 업데이트 하는 행동', '강력한 비밀번호를 사용하는 행동', '보안 세미나 참석', '주차한 자동차에 노트북 컴퓨터를 방치하지 않는 행동', '(개발자들의 경우) 버그나 취약점을 보고하는 행동' 등 보안 관련 행동을 보상한다.

그러나 아직까지는 게임화가 기업 분야에서 널리 수용되고 있는 용어로 자리를 굳히지는 못했다. 캐나다 브리티시 콜롬비아 뱅쿠버(Vancouver) 소재 패밀리 인슈어런스 솔루션스(Family Insurance Solutions)의 IT 보안 관리자인 조단 슈뢰더는 "기업에서 '게임'이라는 용어를 사용했다가 반발을 사는 경우가 많다. 나는 이런 이유로 '게임' 대신 '적극적인 피드백(Active feedback)'이라는 말을 사용해왔다. 더 긍정적으로 받아들이기 때문이다"라고 말했다.
 

CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.

X