효과적인 '이용 목적 제한 방침'을 운영하기 위해 꼭 알아야 할 4가지

스마트폰, 소셜 미디어, 하이브리드 업무 방식이 등장하기 전에는 ‘이용 목적 제한 방침(Acceptable Use Policy, AUP)’을 마련하고 시행하기가 쉬웠다. 그때에 비하면 요즘은 매우 복잡하다. 거의 모든 곳에서 업무를 할 수 있고 업무에 사용하는 기기의 종류도 제한적이지 않다. 사무실에 한 번도 오지 않고 집 또는 카리브해 해변에서 자신의 개인용 노트북으로 일할 수도 있다. 그만큼 AUP는 기업뿐 아니라 직원을 보호하는 데 훨씬 중요한 요소가 됐다.
 

이용 목적 제한 방침이란?

AUP는 기업의 데이터와 기기, 네트워크 사용을 어느 선까지 허용할 것인지를 IT팀 관점에서 기술한다. 하이브리드 업무 환경이라면 개인이 보유한 기기나 홈 네트워크를 사용한 업무에 대한 조건을 포함해야 한다. 또한 게스트, 긱 워커(gig worker), 하청업체처럼 기타 시스템과 네트워크를 사용하는 비직원도 포함해야 한다.

누구나 이해할 수 있는 조건(가령 회사가 지급한 노트북으로 포르노를 보면 안 된다는 조건 등)이더라도 직원이 규칙과 그 규칙을 위반할 경우의 결과를 인식하도록 하는 것은 여전히 중요하다. 도로의 속도 제한이 명확함에도 불구하고 여전히 많은 운전자가 속도 위반을 한다는 사실을 기억하자.

가트너 수석 자문위원 알렉스 마이클스는 “사이버보안이 중요하다는 사실은 모두가 안다. 단지 보안을 위해 필요한 일을 하지 않을 뿐”이라고 말했다. 사이버보안을 자신의 개인적 책임으로 보지 않기 때문일 수 있다. 하지만 상당수의 데이터 침해가 악성 링크 클릭과 같은 사람의 실수에 의해 발생한다.

문제는 많은 AUP가 이해하기 어려운 기술적인 용어로, ‘하지 말라’는 금지 조항 위주로 작성된다는 점이다. 인터넷에서 찾은 범용 템플릿을 사용하는 경우도 있다. 그렇다면 더욱 진보적이고 효과적인 접근 방법은 무엇일까?

마이클스는 “보안 분야에서 일하는 대부분 사람은 보안 영역에서만 활동했다. 그러나 행동 경제학, 변경 관리 분야의 지식을 가진 전문가의 의견도 필요하다. 정책을 마련하고 보안에 대한 인식을 바꾸고 재구성할 때는 이런 부분에 대한 논의도 필요하다”라고 지적했다.

AUP는 곧 IT 보안 정책이다

AUP는 일반적으로 암호, 인증 절차, 공용 와이파이 사용과 같은 IT 보안 정책에 관한 규칙을 둔다. 소셜 미디어 사이트에서의 행동에 관한 기준을 정하는 데도 AUP를 사용할 수 있다.

하지만 인포테크 리서치 그룹(Info-Tech Research Group)의 보안 워크숍 선임 디렉터인 프랭크 사전트는 AUP의 이런 측면을 재평가해야 한다고 봤다. 사전트는 “과거에는 방화벽과 같은 기술적 통제 수단을 사용해 비교적 쉽게 AUP를 시행할 수 있었다. 지금은 많은 직원이 원격으로, 경우에 따라서는 다른 국가에서도 일을 하고 회사 측은 이 사실을 모를 수도 있다. 이런 상황은 기업의 보안과 컴플라이언스, 세금에 영향을 미칠 수 있다. 기업은 새로운 업무 방식을 따라잡아야 한다. 일론 머스크처럼 ‘사무실로 복귀하라’고 지시할 수 있지만, 이는 단기적인 해결책일 뿐”이라고 말했다.

기업은 변화에 대처할 방법이 필요하지만(예를 들어 겨울 동안 카리브해에서 일하기를 원하는 직원 수용하기), 변화하는 세계에서 정책의 타당성도 유지해야 한다. 사전트는 “이와 관련해 기업 관점에서 어떤 위험이 있는지 지속해서 학습하고 정책과 통제 수단, 위험 평가 방법을 계속 조정하며 목표 지점에 이르러야 한다”라고 강조했다.

지속적인 개선이 필요하다

AUP는 감사할 수 있어야 하고 강제성도 갖추어야 하지만, 직원 보호와 권위주의적 분위기 사이에서 균형을 맞추는 것은 까다로운 일이다. 마이클스는 “보안 분야에서 일하는 기술자가 아닌 최종 사용자에게 맞게 작성해야 한다. 정책 수립 과정에서 흔히 빠지는 위험은 보안 리더가 정책 마련 과정을 소유하거나 보안팀의 누군가에게 이를 위임한 뒤 외부 의견 수렴이나 정상 운영 여부를 확인하지 않는 것”이라고 설명했다.

성숙한 보안 프로그램은 외부의 의견을 구하고 HR 및 다른 부서와 긴밀한 파트너십을 유지한다. 하지만 마이클스는 “많은 기업이 아직도 기초적인 금지, 차단에 머물러 있다. 영향을 받는 사람이 아니라 기술과 프로세스에 초점을 둔다”라고 덧붙였다.

AUP는 명확하고 간결하며, 난해한 기술 용어가 아닌 이해하기 쉬운 문구로 작성돼야 한다. 어떤 단어를 선택하느냐의 간단한 문제가 직원의 협조를 좌우한다. 정책 기안 전문가인 루이스 아이슨은 “상대를 존중하는 언어와 정책은 매우 중요하다. 여기서 존중하는 언어란 부모가 자녀에게 잔소리하는 듯한 느낌을 주지 않는 정책을 의미한다. 예를 들어, ‘노트북을 빌리기 전에는 CEO의 허락을 받아야 한다’는 문구보다는 ‘CEO의 허락하에 노트북을 빌릴 수 있다’는 식으로 써야 한다”라고 말했다.

이어 “잔소리하는 부모처럼 들리게 하면, 그 결과도 부모가 아이에게 잔소리를 해서 얻는 것과 같다”라고 강조했다.

효과적으로 시행할 수 있어야 한다

시행할 수 없는 AUP는 종잇조각에 불과하다. 아이슨은 “보안 담당자는 HR 관리자가 아니다. 규율주의자가 아님에도 규율주의자 역할을 맡은 것이다. 적절하지 않다”라고 진단했다. 실제로 이들은 정보 보안 분야에서 일하기 위해 입사한 것이지 직원을 감시하려고 들어온 것이 아니다.

보안팀은 위반을 구성하는 것이 무엇인지, 그 위반의 위험 수준(경미한 위험부터 심각한 위험까지)을 판단하는 전문 지식을 갖췄다. 하지만 AUP는 징계 프로세스를 이미 보유한 HR팀에서 해야 한다”라고 말했다. 

데이터 위협 관리 컨설팅 업체 데이터리스크 캐나다(Datarisk Canada)의 CEO 클라우디우 포파는 “오늘날 HR팀은 할아버지 세대의 HR팀과 다르다. 지금 HR은 AUP와 같은 정책의 시행을 책임진다. 최근까지도 ‘그건 기술적 정책’이라며 회피했지만, 이제는 안 된다. 이 정책은 HR이 시행해야 한다. 갑자기 HR팀을 상대로 보안 교육이 필요해진 상황”이라고 언급했다.

지역에 따라서는 개인정보보호 규정 준수를 감독하는 것도 HR의 일이다. 포파는 HR 담당자가 보안 및 개인정보보호 인식교육을 받고 보안팀 회의에도 참석해야 한다고 봤다. “무엇을 시행하는지 알아야 하기 때문”이다. 정책에는 규율이 필요하지만, 규칙 위반에 대해 징계를 내리기보다는 올바른 행동을 장려하는 것도 한 방법이다.

사용자가 따르기 쉬운 규칙을 설정해야 한다

마이클스는 “직원 개개인이 사이버보안 및 비즈니스에 미치는 영향과 관련해 스스로 책임감을 느낄 때 보안팀이 원하는 대로 행동할 가능성이 훨씬 높다”라고 말했다.

가트너의 PIPE(Practices, Influences, Platforms, Expertise) 프레임워크가 바로 이런 목적으로 만들어졌다. 인식에서 행동과 문화로 옮기는 것이다. PIPE 프레임워크에서는 가트너가 고안한 용어인 ‘사이버 판단(cyber judgment)’이 사용된다. 보안 또는 위험 관리 리더가 부재한 상황에서 사용자가 위험에 대해 정보에 근거한 결정을 내리도록 돕는 역할을 한다.

디지털 마찰을 줄여 사용자가 규칙을 최대한 쉽게 따르도록 만드는 것도 중요하다. 가령 6개월마다 암호를 바꿔야 한다면 높은 수준의 디지털 마찰이 발생하겠지만, 암호를 아예 없애고 생체인식을 도입하면 디지털 마찰의 수준이 낮아질 것이다.

여기서 기술의 역할은 AI/ML을 사용해서 의사 결정을 이끌고 특정 상황에서 사용자가 해야 할 행동과 하지 말아야 할 행동에 관한 교육을 제공하는 것이다. 마이클스에 따르면, 선도적인 기업은 AUP를 협업 툴 또는 헬프 데스크에 집어넣거나 특정 프로젝트에서 자동으로 제공한다. 마이클스는 “12개월 전에 대충 배운 내용에 의존하는 것이 아니라 실제로 필요한 순간에, 실시간으로 정보를 제공한다. 바로 이런 부분에 중점을 두는 업체가 늘고 있다”라고 덧붙였다.

또한 기업은 AUP를 업데이트하거나 개선할 때 직원이 하지 말아야 할 행동아 아니라 전사적인 보안 문화를 형성하기 위해 할 수 있는 일에 초점을 둬야 한다. 아이슨은 “보안 규칙을 따르는 것과 보안 문화를 도입하는 것은 다르다. 직원들을 울타리 안에 가두고 모든 출입구마다 경비원을 둘 것인지, 아니면 요구하는 수준에 맞는 적절한 통제 수단을 둘 것인지를 생각해야 한다”라고 말했다.
editor@itworld.co.kr