보안 성공의 레시피는 생각보다 간단하다. 기술과 교육의 균형을 맞추는 것이다. 한쪽으로 치우치지 않아 양쪽의 맛이 조화롭게 섞일 때, 보안은 당연한 특성이 된다.

[보안뉴스 문정후 기자] 최종 사용자와 보안은 대체적으로 좋지 않은 궁합을 가지고 있다. 그리고 그런 데에는 다 이유가 있다. 일단 최종 사용자들은 통계학적으로 보안의 가장 약한 고리일 확률이 높다. 보안 사건 및 사고의 82%가 최종 사용자들과 관련이 있다고 버라이즌(Verizon)은 작년 데이터 침해 사고 보고서를 통해 발표하기도 했었다. 실제로 데이터 침해 사고의 원인 중 1위는 도난 당한 크리덴셜 혹은 약하게 설정된 크리덴셜이기도 하다.


인간은 원래 감정적이고 오류가 많은 존재다. 이런 인간이 사업을 하고, IT 구조나 애플리케이션을 만들고, 그것을 통해 서로 교류까지 하니 사고가 안 터진다는 게 오히려 이상하다. 그런 인간 개인에게 사고를 예방하라고 주문하는 건, 생명에 한계가 있는 생물에게 죽지 말라고 말하는 것과 똑같이 어리석은 짓이다. 인간과 사고는 결코 뗄 수 없는 관계에 있다. 다만 인간들이 모여 조직을 이뤘다면, 그 조직의 차원에서 사고를 줄여나가는 건 할 수 있다. 개인은 안 되는데 시스템이 되는 경우는 무수히 많다.

그렇다면 조직에서 되게 하려면 뭘 어떻게 해야 하는가? 여태까지는 기술 분야의 전문가들이 인간 고유의 취약한 특성을 보완하기 위해 각종 도구를 사거나 서비스를 이용했다. 보안 분야가 지금까지도 하고 있는 게 바로 이것이다. 직원들이 취약하니 더 강력하고 더 최신식 보안 솔루션을 도입해 왔었다. 하지만 결과는 어땠나? 기업들은 여전히 뚫리고 당한다. 기술로 보완할 수 있는 부분이 분명히 있지만 기술만으로 인간의 결점을 해결할 수는 없다. 기술을 도입하는 노력만큼 사람을 바꾸기 위한 노력도 있어야 한다. 사람을 바꾸는 건 교육이다.

당연하지만 기술만으로 사람의 결점을 해결할 수 없듯이, 교육만으로도 모든 문제를 해결할 수는 없다. 하지만 이 두 가지를 복합적으로 사용한다면 엄청난 효과를 낼 수 있다. 뿐만 아니라 지속적인 성공 사례를 만들 수 있기도 하다. 둘의 시너지를 자아내기 위해 할 수 있는 일은 다음과 같다.

정보를 다루는 부분에 있어서의 차이
현대 사회에서 생활하는 모든 사람들은 하루도 빠짐없이 ‘테크놀로지’를 사용한다. 전화기, 온라인 뱅킹, 편리한 지불 기술, 음식 배달 앱, 여행 예약, 학교 수업 참가 및 과제 수행, 신용카드 결제 등 최소 한 번은 기술을 활용할 수밖에 없다. 그러므로 우리는 최소 한 번 이상은 사이버 보안 위험에 노출된다고 할 수 있다. 그것도 매일, 하루도 빠짐없이.

이렇게 각종 기술들과 조우한다는 건 정보를 처리한다는 뜻이 된다. 하지만 일반 소비자가 ‘잘’ 다룰 수 있는 정보들이 있고 생경한 정보들이 있다. 어떤 환경에서 어떤 업무를 처리하느냐에 따라 개인별 편차가 있을 수밖에 없다. 대부분은 마트에서 장을 보거나 주유소에서 신용카드를 쓰거나 패스트푸드를 살 때 별다른 어려움 없이 카드 정보를 사용할 것이다. 이 상황에서 갑자기 개인정보 제출을 요구 받는다면 이상하다는 생각이 자연스럽게 들 것이다. 그리고 그 이상함에 반응하는 것도 가능하다.

하지만 집이나 차를 살 때는 어떨까? 아주 예외적인 일부만 제외하고 매일 집이나 차를 구매하는 사람은 없다. 그러므로 이러한 거래를 진행할 때 사용되는 정보는 대부분 낯설게 느껴진다. 실제 차나 집을 구매하는 과정에서는 상당한 양의 개인정보가 요구되고 또 전달되기도 한다. 낯선 거래 행위라 개인정보가 다량으로 요구되어도 소비자들 대부분 그러려니 하고 넘어간다.

회사라는 커다란 조직 내에서도 이런 ‘정보의 격차’가 존재한다. 임원진과 일반 직원이 매일 다루고, 그러므로 익숙해 하는 정보가 서로 다르다. 그러므로 중요하다고 느끼는 정보도 다르고, 안전하게 지켜야 한다는 방어 감각이 발동되는 지점도 다르다. 그런 상태에서 ‘정보 보안이 중요하다’고 말해봐야 서로 머릿속에 떠올리는 그림 역시 다를 수밖에 없다. 어떤 정보를 특히 보호해야 하는지, 회사 차원에서 각 정보의 중요도가 어떻게 되는지도 언급해야 한다.

악성 행위자들은 이런 상황을 잘 인지하고 있다. 그리고 자주 악용하고 성공한다. 직원들이 낯설어 하는 정보, 그러므로 민감성을 잘 느끼지 못하고 있을 만한 정보를 직원에게 요구하는 피싱 이메일을 보내는 게 좋은 사례다.

기술과 교육의 조화
이제 정보 보안에 있어 자동화 기술은 없어서는 안 될 것이 되었다. 하지만 자동화만으로 모든 보안 문제가 해결되지 않는다는 것을 사람들이 자주 잊어버린다. 아무리 자동화가 뛰어나도, 그 자동화 기술을 떠받치고 있는 기반이 흔들리면 자동화 역시 무용지물 기술이 된다. 이 기반이라는 것은 사용자들의 기본적인 보안 인식과 평소 업무 프로세스를 말한다. 기본적인 보안 솔루션들도 포함된다.

결국 첨단 보안 기술이라고 하더라도 사용자를 대상으로 한 교육과 반드시 묶여서 제공되어야 한다. ‘이 만큼 비싼 솔루션을 회사에서 제공하니까 더는 보안 사고 일으키지 마시오’라고 하는 게 아니라 ‘이 만큼 비싼 솔루션을 회사에서 제공하니까 보안 교육에 참여하시오’가 되어야 한다는 것이다. 보안에 대한 기본적인 지식이나 인식이 없는 상태에서는 아무리 화려한 기술이라도 효력을 발휘하기 힘들다. 교육의 대상은 임원들까지도 포함한다.

교육이라고 해서 어렵게 생각할 필요는 없다. 회사에서 중요하게 여기는 정보가 무엇인지를 정확하게 알려주고, 그것이 왜 중요한지, 그리고 어떻게 지키려 하는지를 구체적으로 알려주면 된다. 누구나 보안 개론부터 시작해 대학 과정에 준하는 교육 코스를 이수할 필요는 없다. 회사라는 맥락에서 꼭 전달해야 할 메시지를 추려내 교육하는 것이 중요하다.

강력한 보안 상태를 유지하는 기업은 실제 수익이나 시장 경쟁이라는 측면에서도 가시적인 성과를 거두게 된다. 한 사람 한 사람 보안을 잘 지켰기 때문에 수익이 증대하기도 한다는 것인데, 회사에서 이 점을 강조해 직원들에게 인센티브나 보너스를 지급하는 것도 교육의 효과를 높이고, 그러므로 회사 보안을 강화하는 좋은 방법 중 하나다. 보안 실천 사항을 잘 지켜야 할 이유를 만들어주는 것이나 다름 없다.

글 : 요한나 바움(Johanna Baum), CEO, S3
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>