Home > 전체기사

사이버 보안 교육과 훈련, 치욕과 형벌은 이제 그만

입력 : 2024-06-12 14:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
’보안'이라는 말을 편안하게 느끼는 사람은 얼마 없을 것이다. 오히려 스트레스와 압박감을 유발하는 단어에 가깝다. 그렇게 된 데에는 보안 분야 종사자들의 책임도 없지 않다.

[보안뉴스=숀 맥알몬트 CEO, Ninjio] CISO들이 수행해야 하는 가장 중요한 역할 중 하나는 주요 결정권자들이 보안을 지지할 수 있도록 분위기를 형성하는 것이다. 임원진들이 보안에 회의적이거나 보안을 귀찮아하면 그 조직은 보안을 하찮은 것으로 여기고 보안 담당자들의 조언들을 잔소리로만 취급하게 된다. 그렇기에 그들의 마음을 돌려놓는 게 상당히 중요하다.

[이미지 = gettyimagesbank]


그래서 많은 CISO들이 각종 사건 사고 사례들을 들고 나타나 협박을 가하는 방법을 택한다. 하지만 그 방법의 효과는 아주 없다고 말하기는 힘들지만 대단하지도 않다. 그래서 요즘은 ‘정적 강화'라는 방법론이 대두되고 있다. 이를 비교하면 다음과 같다.
1) 공포 조장 : 보안 실천 사항을 실천하도록 유발하는 데에 목적이 있음
2) 정적 강화 : 보안 실천 사항을 한 번 실천했다면, 그 행동 패턴이 유지되게 하는 데에 목적이 있음

공포 조장만 계속해서 했을 때 교육 효과가 떨어지는 건, 그것이 ‘최초 발동’에 초점이 맞춰져 있기 때문이다. 계속 ‘시작'만 부추기니 지겹고 따분하다. 한 번 실천한 것을 쭉 유지시키는 것에 대한 고민이 우리에게는 아직 부족하다. 이제 대부분 사람들이 보안 사고 무서운 줄 알고, 보안 중요한 걸 인정하고 있으니, 좋은 습관을 오랫동안 가져가도록 하는 게 더 중요해 보인다.

사실 우리는 공포 조장이라는 방법을 ‘습관 유지’를 강화하는 데에도 사용하고 있다. 보안 실천 사항을 지키지 않으면, 회사에 막대한 피해를 끼칠만한 실수를 하면, 보안 교육에 참가하지 않으면, 각종 불이익을 받게 한다. 좋은 말로 하면 잘 지키지 않으니 어쩔 수 없이 택한 방법이기도 하다. 이해가 안 가는 건 아니지만, 너무 그 방법 하나에만 의존해 온 것도 사실이다. 협박과 으름장으로만 뭔가를 유도할 때 사람은 금방 지치고 짜증이 난다. 그러므로 유지력 면에서도 크게 좋은 효과를 가져가지 못한다. 배운 것을 몸으로 해보고, 그 효과를 누려서 긍정적인 피드백을 받을 때 사람은 더 좋은 행동을 오래 유지한다.

이 원리를 보안에 접목했을 때 우리는 더 큰 효과를 기대할 수 있다. 보안 실천 사항을 지키지 않았을 때 벌칙을 주는 대신, 보안 실천 사항을 지켰을 때 상을 주는 것이 훨씬 효과적이라는 뜻이다. 실수를 했을 때에도 즉각적으로 벌을 주기보다 건설적인(긍정적인 것이 아니라) 피드백을 주어 발전하도록 해야 한다. 그들의 실천 한 번이 조직의 안전에 크게 기여한다는 것 역시 계속해서 알려주는 게 중요하다. 이 사소한 행동에 무슨 의미가 있을까, 라고 의구심을 품기 시작하면 실천으로 이어지기가 힘들다.

보안 인지 제고 훈련, 인력을 어떻게 강화시키는가
사이버 범죄자들이 가장 많이 사용하는 전략 중 하나는 소셜엔지니어링이다. 사회 공학 공격이라고도 불린다. 모든 침해 사건의 74%가 인간의 실수나 해이, 역량 부족 등과 관련이 있는데, 소셜엔지니어링 공격이 바로 이러한 인적 허술함을 유발하는 전략이라고 할 수 있다. 비슷한 것으로 피싱 공격이 있는데, 이 피싱 공격 역시 침해 사고에 있어 꽤 큰 비중을 차지한다. 무엇을 의미하는가? 사람만 잘 훈련시켜도 대부분의 보안 사고를 예방할 수 있다는 뜻이다.

가끔 보안 소식들은 너무나 거대하다. 사이버 공격자들은 상상하기도 힘든 전략과 고도의 기술력을 동원해 거대한 요새와 같은 기업들을 뚫어낸다. 보안은커녕 컴퓨터도 잘 다루지 못하는 일반인들 입장에서 이런 해커들과 맞상대한다는 건 생각만해도 움츠려드는 일일 수밖에 없다. 그러니 보안 실천 사항 하나하나가 하찮게 보이는 것이다. 이 생각을 전환시키는 게 보안 인지 제고 훈련의 목적이다. 실제로 통계가 말해주듯, 소셜엔지니어링이나 피싱에만 속지 않아도 실제로 그 거대해 보이는 공격자들은 대부분 힘을 쓰지 못하니까 말이다.

자신의 작은 실천이 조직 전체를 지키는 데 커다란 역할을 한다는 걸 받아들이기 시작하면 임직원들은 보안 실천 사항들에 좀 더 열린 마음을 갖게 된다. 그 어마어마한 사람들을 상대하는 방법이, 알고 보니 별로 어렵지 않은 기본 사항을 지키는 것이었다는 걸 알게 되어도 일반인들의 태도는 달라진다. 이런 사람들이 늘어나면 그 조직에는 보안 문화가 뿌리를 내리기 시작한다. 여기까지 도달하면 CISO의 할 일은 한결 편해진다.

정적 강화는 벌 주는 것보다 효과가 좋다
여기까지 읽었을 때 혹자는 그 케케묵은 '긍정론의 효과’와 같은 자기계발서를 떠올릴 수도 있다. 하지만 필자가 말하고자 하는 건 모든 걸 긍정하고 용서해주자는 게 아니다. 그런 식의 ‘오냐, 오냐’ 교육의 부정적인 효과는 우리 모두가 익히 잘 알고 있지 않은가. 오히려 실수를 하거나 잘못을 저질렀을 때 정확한 책임을 물게 하는 게 중요하다. 다만 여태까지 대부분 보안 담당자들은 ‘잘못 하나하나도 찾아내 벌을 주고 말 것이다’라는 뉘앙스를 너무나 강력하게 풍겨왔다는 걸 지적하고 싶다. 우리가 임직원들의 실수를 발견했을 때 줘야 하는 건 상대가 자라날 수 있도록 하는 '계기’다. ‘혼날 건 혼나야 하는데, 어디서부터 일이 잘못됐는지 같이 찾아보고 다음에는 그런 일이 없도록 해보자’는 톤과 자세로 이야기를 지속시켜야 한다. 그런 면에서 긍정적이고 건설적인 피드백이 중요하다는 것이다.

보안을 담당하는 사람들이 보안 때문에 각종 스트레스와 압박감에 시달리는 것만큼 일반 임직원들도 자신들의 할 일과 임무 때문에 스트레스와 압박감에 시달린다. 거기에다가 보안과 관련된 행동 수칙들이 ‘벌의 전제조건’으로서 주어진다면 그 스트레스는 가중될 수밖에 없다. 세상 그 누구도 스트레스의 원인을 껴안고 뒹굴지 않는다. 버리면 버렸지. 그렇기 때문에 보안은 스트레스로서가 아니라 발전의 계기 혹은 성장판으로서 포지셔닝을 해야 한다. 보안 교육 때문에 개인 시간을 지나치게 희생하지 않도록 해야 하고, 작은 실천 한 번이 큰 공격을 막는다는 것도 자꾸만 주지시켜야 하고, 실수나 사고에도 건설적인 방향으로 조직을 이끌어야 한다.

요즘은 어느 분야든 사람 구하기가 힘든 때다. 인구 감소 추이를 봤을 때 이 현상은 더 심해질 전망이다. 기업들은 지금 있는 인력 하나하나가 너무나 귀하다. 그러니 압박과 스트레스를 주면 줄수록 좋지 않은 효과를 가져간다. 이런 맥락에서라도 보안이 다른 방식의 접근법을 연구해봐야 할 것이다. 사표의 원인에 보안이 적혀봐야 서로 다칠 뿐이다. 지금은 그 어느 때보다 윈윈이 필요한 때고, 같이 성장해야 할 때다.

기억하자. 보안은 punisher가 아니라 enabler다.

글 : 숀 맥알몬트(Shaun McAlmont), CEO, Ninjio
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)