보안 인식 교육 실패의 일곱 가지 이유

충분히 효과를 볼 수 있는 방법이 있음에도 불구하고, 대부분 보안 인식 교육 프로그램에는 수많은 문제점이 있다. 다음의 일곱 가지 실수만 줄여도 매우 효율적인 프로그램 진행이 가능하다.

보안 인식 분야에는 이분법적 사고가 존재한다. 우리와 이야기를 나눈 대부분 CSO들은 자신의 우선 순위로 회사의 보안 문화 개선을 꼽았다. 즉, 사용자의 행동을 바꿔야 한다는 데 동의한 것이다. 마찬가지로, 하루가 멀다 하고 각종 기사와 연구 결과에서는 개인의 실수가 해커의 제1 공격 영역임을 지적한다.

일부 연구에서는 전체 해킹 공격의 90% 가까이가 개인의 부주의 때문이라고도 지적하기도 했다. 레이어 8의 보안이나 이를 대상으로 한 공격에 대한 전문용어도 생겨났다.

그러나 한편으로는 보안 인식의 가치를 쉽게 절하하는 일도 자주 볼 수 있다. 보안 인식 실패 사례들로 인한 결과로 볼 수 있을 것이다. 그러나 보안과 관련된 다른 많은 문제와 마찬가지로 보안 인식 역시 리스크의 완벽한 예방이 아니라 감소에 의의가 있음을 이해해야 할 것이다.

성공적인 보안 인식 교육 프로그램의 요소에 대해 프로그램의 실패 요소가 무엇인지 사전에 미리 고려해 보는 것도 중요하다. 이에 대한 이해가 선행된다면 프로그램 도입은 보다 수월하게 이뤄질 수 있을 것이다.

여기에서는 실패를 피하기 위해 어떤 행동들을 주의해야 하는 지에 대해 거론할 것이다. 교육 프로그램 실패는 큰 손실로 이어질 수 있기 때문이다.

보안 인식에 대한 이해 부족
보안 인식이 무엇인가에 대한 이해 부족은 보안 인식 프로그램 실패의 가장 대표적이고 근본적인 원인이다. 보안 인식 교육이라는 개념은 아직 보안 시장에서 제대로 정착되지 못하고 있는 것이 현실이다.

보안 인식 프로그램은 보안 훈련과는 다른 개념이다. '훈련'이 단기적인 관점에서 지식의 핵심을 전달하고 그것을 시험하는 과정이라면, '보안 인식' 교육 비디오 청취 등의 활동은 이 훈련의 범주에 포함되는 하나의 사례라 할 수 있다.

보안 인식 프로그램의 기본 목표는 사용자들의 태도를 변화시키는데 있다. 이 과정 속에는 단기적 이해 수준에 대한 평가가 포함되지 않는다. 보안 인식 프로그램이 '테스트'하는 내용은 사용자가 어떻게 실제 상황에서 행동하는 지의 여부다.

지식의 전달만으로는 사용자의 행동 양식을 변화시킬 수 없다. 오히려 반대로 사용자들의 사고와 행동 양식에 맞춰 정보의 제공이 이뤄져야 한다는 설명이 보다 타당할 것이다.

지식이 행동 양식에 미치는 영향은 주관적이고 임의적이다. 또한 정보의 제공 방식에 있어서도, 그것의 빈도나 형식 등에 따라 효과는 다르게 나타난다.

간단히 요약하자면, 좀 더 나은 보안 문화 정착'이라는 단순하고 순진한 목표 의식만으로는 직원들의 적극적인 참여를 이끌어 낼 수 있는 프로그램을 개발하고 실행하기란 거의 불가능한 것이다.

형식적인 것에만 치중하는 태도
CSO라면 누구나 보안 프로그램의 기초는 규정 준수(compliance)라고 얘기할 것이다. 보안 준수 기준은 보안 그 자체를 보증해 주는 것이 아니라 '최소한의' 보안 대책을 세워준다.

솔직히 대부분 규정 준수 기준으로는 충분한 보안을 보장할 수 없고 특히 보안 인식 교육에 있어서는 더욱 그렇다. 보안 인식의 규정 준수 기준은 어느 조직을 막론하고 애매하기 짝이 없다. '보안 인식 프로그램을 갖추고 있어야 한다'는 정도의 폭넓은 기준만 제시할 뿐이다. 프로그램의 내용이나 구조에 대해서는 전혀 언급하지 않으며, 준수 여부를 결정하는 것도 대체로 감사관의 몫이다.

문제는 감사관들은 보안 인식 프로그램에 대해 잘 모르며 일년에 한번, 10분 가량 되는 보안 인식 교육 비디오를 본 뒤, 맨 끝에 짧은 퀴즈가 있고 직원들이 그 퀴즈만 통과했다 싶으면 승인해 준다는 것이다.

아무리 좋게 말해도, 이런 교육 프로그램들은 단기적인 '땜빵'식 해결책밖에 될 수 없으며, 이런 비디오를 시청함으로써 실제로 사람들이 보안에 있어 적절한 행동을 취하게 된다는 그 어떤 증거도 없다.

직접 관계자에게 들은 이야기에 따르면, 대부분의 직원들은 교육 시간을 이수하기 위해 직원 한 명에게 교육을 받게 한 다음, 퀴즈에 대한 답을 써서 다른 사람들에게 보여주는 방식으로 '슬라이드 읽는 데 드는 시간을 절약'한다. 실제로 이런 일은 빈번하게 일어난다.

간단히 말해, 보안 인식 프로그램의 결과가 좋다고 해서 실제로 교육 효과가 있는지 확신할 수는 없다는 얘기다.

'보안 인식 교육'의 특이성을 이해하지 못하는 것
많은 이들이 흔히 보안 인식 교육 프로그램의 성패는 교육자에 달려있다고 말하곤 한다. 하지만 교육자의 역할보다 중요한 것은 교육자의 지식과 능력, 자질을 알아볼 수 있는 CSO의 역량이다.

보안 인식의 목표는 태도 변화에 있기 때문에, 그것을 교육할 인물을 선발할 때에는 커뮤니케이션 기술이나 마케팅 역량과 같은, 이른바 '소프트 스킬(soft skill)'을 갖춘 이를 모색하는 것이 좋을 것이다.

하지만 오늘날 많은 CSO나 CISO들은 인식 프로그램 교육자를 뽑는 과정에서 앞서 설명한 소프트 스킬이 아닌, 보안 기술과 관련한 역량에 보다 집중하는 모습을 보이고 있다.

소프트 스킬을 단순한 자질로 여기고 따라서 기술적 지식만 있으면 누구나 보안 인식 프로그램을 교육할 수 있다고 판단하는 오해에서 비롯된 결과다.

다시금 강조하지만 좋은 보안 인식 전문가가 되기 위해서는 커뮤니케이션 능력과 개념 이해력을 갖춰야 하며 기술과 인식 툴에 관한 지식 역시 풍부해야 한다.

보안 인식은 단순히 설문 문항 몇 개를 만들어 배포한다고 완성되는 것이 아니다. 누군가의 행동을 변화시킨다는 것은, 다방면의 복합적인 노력을 필요로 하는 과정임을 기억하자.

기술적 경험과 역량이 없는 이에게 방화벽 인프라스트럭처 관리를 맡기는 기업은 없듯이, 기업 보안 인식 프로그램을 관리할 이를 선발함에 있어서는 커뮤니케이션 경험과 역량에 주목해야 한다는 것이다.

흥미를 유발할 수 있는 적합한 교육 자료의 부족
앞서 언급했듯, 대부분 보안 인식 교육은 컴퓨터로 일년에 한 차례 가량 이뤄진다. 컴퓨터에 의존하는 CBT(Computer Base Test) 방식은 교육의 질 측면에서 차이가 크다.

포스터나 뉴스레터를 통해 교육을 하기도 한다. 정해진 기준에만 맞춰서 교육하면 된다는 생각으로 교육에 임하다 보면, 보안 교육에서 '비용'만이 가장 중요한 고려 요소가 되기도 하며 비용이 적게 들어가면 일단 좋은 프로그램이라고 생각하게 되기도 한다. 덧붙여, 교육 자료가 그 기업에 적합하지 않을 수도 있다.

비용은 차치하고, 교육 자료가 기업 문화에 적절한 것인지 확인할 필요가 있다. 때로는 교육 자료를 받는 사람이 특정 프레젠테이션 스타일에 대한 선입견을 가지고 있을 수도 있으며, 소수의 특정 직원들에게만 흥미로운 자료일 수도 있기 때문이다. 예를 들어, 인터넷 기업에 적합한 보안 인식 교육 프로그램은 투자 은행 직원들 입장에서 보면 그다지 좋은 교육 자료가 아닐 수도 있다.

무엇보다도, 직원 간 세대 차를 고려해 다양한 버전의 보안 인식 교육 자료를 활용하는 것이 중요하다. 한 연구 결과에 따르면 젊은 연령대의 직원들은 블로그와 트위터를 이용한 교육에 더 반응을 보인 반면 연령대가 높아질수록 뉴스레터나 포스터 같은 전통적 교육 방식에 더 익숙하다.

교육 성과에 대한 평가를 하지 않는 것
교육에 대한 적절한 평가가 없으면 교육 프로그램이 제대로 그 기능을 수행하고 있는지 알 방법이 없다. 또한 교육에 돈을 낭비하고 있는 것인지, 제대로 가치있게 쓰고 있는 것인지도 알 수 없고 말이다.

실제로 교육이 보안 관련 사고 위험을 줄여주는 지 알기 위해선 평가가 반드시 필요하다.
정기적으로 평가함으로써, 프로그램의 효율성을 조절할 수 있다. 어떤 방식이 통하고 어떤 것이 통하지 않는지 찾아내 이를 바탕으로 앞으로의 교육 프로그램을 계획할 수도 있다. 이런 데이터가 없는 상태에서 교육을 하는 것은 그 어떤 성과도 내지 못할뿐더러 오히려 손실을 가져오는 결과가 될 수도 있다.

적절한 교육 평가를 통해 어떤 교육 요소가 가장 목표 달성에 효과적인지 알아볼 수도 있다. 이런 평가는 교육 전에 한번, 교육 중간에 한번, 그리고 교육 후에도 한번씩 이뤄져야 한다.

그렇지 않으면 보안 인식 교육은 그저 시간과 노력, 돈의 낭비가 될 뿐이다. 예를 들어, 실제로 뉴스레터를 읽어보는 직원이 없는 상황에서 뉴스레터를 계속 발행하는 것과 마찬가지다.

불합리한 기대치
보안 인식 관련 문제가 발생할 때마다, 사람들은 보안 인식 전체의 가치에 대해 개탄하곤 한다. 보안 인식 그 자체로 모든 인력 관련 사고를 예방할 수 있다면 좋겠지만, 그건 현실적이지 않다.

그 어떤 보안책도 모든 사고를 일거에 예방할 수는 없다. 사고는 언제나 일어날 수 있다.

하지만 보안 인식 교육 평가를 통해 교육 프로그램의 효율성을 높이고 프로그램에서 가장 중요한 측면이 무엇인지 알아낼 수는 있다. 교육 프로그램의 재무적 효율성을 판단하는 데도 평가는 도움이 된다.

보안 인식 교육에서 한 가지 문제에 대해서만 다루는 것
일년에 한번 컴퓨터로 시행하는 검사에만 의존하는 것과 비슷하게, 많은 기업들에서 인식 교육 프로그램에 '피싱' 상황 시뮬레이션이나 소셜 엔지니어링 공격 방법을 포함시키고 있다.

훈련 프로그램으로 이런 시뮬레이션 자체는 문제가 없지만, 한 가지 보안 인식 문제만을 다룬다는 점에 대해서는 재고해봐야 한다. 사용자 행동(user behavior)과 관련해 산업 분야에 따라 17~24개의 보안 인식 관련 주제가 있다. 그 가운데 단 한 가지의 공격에 대해서만 집중적으로 교육을 실시한다면 다른 종류의 공격에는 무력하게 당할 수 밖에 없다.

사실, 시뮬레이션 교육을 행하는 이유는 평가가 쉽기 때문이다. 하지만 그렇다고 해서 시뮬레이션 교육으로만 프로그램을 구성해서는 안 된다.

방해 요소부터 제거하자
대부분 보안 인식 교육 프로그램들은 시작도 하기 전에 취소되곤 하지만, 얼마든지 이를 개선할 방법은 있다. 이전에 언급한 바람직한 습관들을 익히는 것도 좋지만, 우선 성공을 방해하는 요소들을 제거하는 게 먼저다.

기초를 잘 닦음으로써 참된 투자 수익을 얻고 해킹 공격에 노출된 취약한 부분들을 줄여나갈 수 있을 것이다.

*출처 : 한국IDG