Offcanvas

������������������������������������������������������ ������������������������������������������������������

기고 | 직원 대상 보안 의식 교육이 필요 없는 이유

데이브 에이텔은 인식 제고 교육에 투자하는 비용이 낭비라고 주장하고 있다. 정보 보안과 관련해 변하지 않는 진리 하나가 있다. 직원들에게 정기적으로 보안 교육을 제공하면 보안을 크게 개선할 수 있다는 것이다. -> 효과적인 보안 교육을 위한 10계명 당연히 이유가 있다. RSA는 내장된 플래시 취약성을 갖고 있는 워드 문서 때문에 해킹당했다. 그리고 며칠 뒤, 공격자가 시스템을 관장하는 프라이빗 키를 확보한 후, 관련이 없는 회사 전체의 시큐어ID(SecureID)가 위험에 처했다. 그러나 RSA 같은 피싱 공격이 직원 교육의 정당성을 입증하는 사례일까? 아니면 반대일까? RSA, 구글, 이베이, 어도비, 페이스북, 오크릿지 국립 연구소(Oak Ridge National Laboratory), 기타 첨단 기술 기관 및 회사에 근무하는 임직원들도 피싱을 당할 수 있다는 것은 아주 똑똑하고 잘 훈련된 사람들도 해킹 공격의 피해자가 될 수 있다는 의미가 아닐까? 보안 교육의 한계를 보여주는 대표적인 사례가 하나 있다. 지난 2004년 웨스트포인트(West Point)에서 실시된, 이른바 '캐로네이드(Carronade)'라는 피싱 관련 실험이다. 사관 후보생들의 보안 인식을 테스트하기 위해 피싱 이메일을 발송한 실험이다. 이메일을 발송하기 앞서 4시간 동안 컴퓨터 보안 교육을 했지만, 사관 후보생들은 이메일에 적힌 링크를 클릭했다. 기본적으로 IT 담당자들이 사용자를 대상으로 보안 교육 프로그램을 요청하는 것은 '이건 우리 잘못이 아니다'는 점을 강조하기 위해서다. 그러나 이는 잘못됐다. 사용자는 네트워크에서 발생하는 일에 대한 책임이 없다. 또 첨단 정보 보안 위협을 인지하거나, 이로부터 스스로를 보호할 수 있는 능력이 없다. 은행에서 창구 출납 직원에게 은행을 지키라고 요구하는 것이나 다름없다. 다시 말해, 일개 직원이 오퍼레이션 새디(Operation Shady RAT), 오...

CSO CISO 보안 교육

2012.07.20

데이브 에이텔은 인식 제고 교육에 투자하는 비용이 낭비라고 주장하고 있다. 정보 보안과 관련해 변하지 않는 진리 하나가 있다. 직원들에게 정기적으로 보안 교육을 제공하면 보안을 크게 개선할 수 있다는 것이다. -> 효과적인 보안 교육을 위한 10계명 당연히 이유가 있다. RSA는 내장된 플래시 취약성을 갖고 있는 워드 문서 때문에 해킹당했다. 그리고 며칠 뒤, 공격자가 시스템을 관장하는 프라이빗 키를 확보한 후, 관련이 없는 회사 전체의 시큐어ID(SecureID)가 위험에 처했다. 그러나 RSA 같은 피싱 공격이 직원 교육의 정당성을 입증하는 사례일까? 아니면 반대일까? RSA, 구글, 이베이, 어도비, 페이스북, 오크릿지 국립 연구소(Oak Ridge National Laboratory), 기타 첨단 기술 기관 및 회사에 근무하는 임직원들도 피싱을 당할 수 있다는 것은 아주 똑똑하고 잘 훈련된 사람들도 해킹 공격의 피해자가 될 수 있다는 의미가 아닐까? 보안 교육의 한계를 보여주는 대표적인 사례가 하나 있다. 지난 2004년 웨스트포인트(West Point)에서 실시된, 이른바 '캐로네이드(Carronade)'라는 피싱 관련 실험이다. 사관 후보생들의 보안 인식을 테스트하기 위해 피싱 이메일을 발송한 실험이다. 이메일을 발송하기 앞서 4시간 동안 컴퓨터 보안 교육을 했지만, 사관 후보생들은 이메일에 적힌 링크를 클릭했다. 기본적으로 IT 담당자들이 사용자를 대상으로 보안 교육 프로그램을 요청하는 것은 '이건 우리 잘못이 아니다'는 점을 강조하기 위해서다. 그러나 이는 잘못됐다. 사용자는 네트워크에서 발생하는 일에 대한 책임이 없다. 또 첨단 정보 보안 위협을 인지하거나, 이로부터 스스로를 보호할 수 있는 능력이 없다. 은행에서 창구 출납 직원에게 은행을 지키라고 요구하는 것이나 다름없다. 다시 말해, 일개 직원이 오퍼레이션 새디(Operation Shady RAT), 오...

2012.07.20

효과적인 보안 교육을 위한 10계명

정보 보안 담당자들은 사용자가 보안에 대한 생각을 바꾸면 행동 또한 쉽게 바꿀 수 있다고 생각한다. 그러나 실제로는 이런 인식 제고가 변화로 이어지지 않는다는 교훈을 얻게 되곤 한다. 이런 결과를 초래하는 가장 근본적인 문제 가운데 하나는 교육 전문가가 아닌 보안 전문가들이 이런 인식 제고 프로그램을 기획해 추진하기 때문이다. 이런 교육훈련 프로그램은 긴 강의와 지루한 슬라이드 일색인 경우가 많다. 어떤 자료를 사용해 어떻게 가르쳐야 하는지 생각도, 연구도 하지 않기 때문이다. 결과적으로 원하는 결과를 얻지도 못하고, 발전도 없다. 이런 문제를 해결하기 위해서는 잠시 한 발 물러나 가장 효과적인 학습 방법에 대해 생각을 해 볼 필요가 있다. 학습법의 역사는 1950년대 초로 거슬러 올라간다. 이후 오랜 시간에 걸쳐 검증이 이뤄져 원칙으로 받아들여졌다. 따라서 정보 보안 교육에 적용한다면 즉각적이고 가시적이면서도 장기적인 결과를 이끌어낼 수 있다. 직원들을 교육시켜 기업의 전반적인 보안 수준을 높일 수 있는 것이다. 1. 교육 내용을 줄인다. 사람들은 쉽게 소화할 수 있다고 생각하는 작은 정보에 초점을 맞출 수 있을 때 학습 능률이 높아진다. 예를 들어, 15분 동안 55개나 되는 보안 관련 주제를 교육하면서, 사람들이 이런 교육 내용 전부를 기억하고 행동을 바꿀 것이라고 생각하는 것은 옳지 않다. 또 짧게 나눠 교육을 하는 것이 더 효과적이다. 2. 반복해서 교육한다. 사람들은 반복을 해야 학습을 한다. 피드백이나 실습 기회를 주지 않으면 학습 효율이 떨어지기 마련이다. 1회성이 아닌 지속적인 보안 교육훈련을 제공해야 한다. 3. 구체적인 사례를 들어 교육한다. 사람들은 그냥 내용보다는 실제 상황을 더 잘 기억한다. 따라서 보안 교육을 할 때는 가장 공격을 받을 만한 상황을 대상으로 교육을 하는 것이 중요하다. 4. 다양한 방법으로 메시지를 전달한다. 다양한 방법으로 여러 상황을 전달...

CSO 보안 교육

2012.05.08

정보 보안 담당자들은 사용자가 보안에 대한 생각을 바꾸면 행동 또한 쉽게 바꿀 수 있다고 생각한다. 그러나 실제로는 이런 인식 제고가 변화로 이어지지 않는다는 교훈을 얻게 되곤 한다. 이런 결과를 초래하는 가장 근본적인 문제 가운데 하나는 교육 전문가가 아닌 보안 전문가들이 이런 인식 제고 프로그램을 기획해 추진하기 때문이다. 이런 교육훈련 프로그램은 긴 강의와 지루한 슬라이드 일색인 경우가 많다. 어떤 자료를 사용해 어떻게 가르쳐야 하는지 생각도, 연구도 하지 않기 때문이다. 결과적으로 원하는 결과를 얻지도 못하고, 발전도 없다. 이런 문제를 해결하기 위해서는 잠시 한 발 물러나 가장 효과적인 학습 방법에 대해 생각을 해 볼 필요가 있다. 학습법의 역사는 1950년대 초로 거슬러 올라간다. 이후 오랜 시간에 걸쳐 검증이 이뤄져 원칙으로 받아들여졌다. 따라서 정보 보안 교육에 적용한다면 즉각적이고 가시적이면서도 장기적인 결과를 이끌어낼 수 있다. 직원들을 교육시켜 기업의 전반적인 보안 수준을 높일 수 있는 것이다. 1. 교육 내용을 줄인다. 사람들은 쉽게 소화할 수 있다고 생각하는 작은 정보에 초점을 맞출 수 있을 때 학습 능률이 높아진다. 예를 들어, 15분 동안 55개나 되는 보안 관련 주제를 교육하면서, 사람들이 이런 교육 내용 전부를 기억하고 행동을 바꿀 것이라고 생각하는 것은 옳지 않다. 또 짧게 나눠 교육을 하는 것이 더 효과적이다. 2. 반복해서 교육한다. 사람들은 반복을 해야 학습을 한다. 피드백이나 실습 기회를 주지 않으면 학습 효율이 떨어지기 마련이다. 1회성이 아닌 지속적인 보안 교육훈련을 제공해야 한다. 3. 구체적인 사례를 들어 교육한다. 사람들은 그냥 내용보다는 실제 상황을 더 잘 기억한다. 따라서 보안 교육을 할 때는 가장 공격을 받을 만한 상황을 대상으로 교육을 하는 것이 중요하다. 4. 다양한 방법으로 메시지를 전달한다. 다양한 방법으로 여러 상황을 전달...

2012.05.08

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13