보안의 핵심은 기술과 과학의 발전이 아니라 사람과 문화 

사용자 보안교육 반대하는 3가지 이유, 교육 효과 높이는 6가지 팁   

[보안뉴스= 코리 나크라이너 보안전문 컬럼니스트] 아무리 기술이 발전해도 인간의 실수를 막을 수는 없다. 실수 없는 인간이란 존재할 수가 없다. 그러니 보안기기나 소프트웨어를 업그레이드하는 것만큼 중요한 건 보안교육이다. 교육을 통해 보안문화를 형성해 가는 것이 중요하다.

철통같은 방어를 위해서는 최종사용자를 교육하는 것이 정말로 중요하다는 필자의 믿음은 예나 지금이나 변함이 없다. 기술의 측면을 간과하는 것이 아니다. 다만 기술은 항상 더 뛰어난 기술로 능가하는 것이 가능하다. 그러므로 모든 것을 막을 수는 없다. 또한 기술이 아무리 뛰어나도 인간을 고칠 수는 없다. 인간을 고치는 건 교육과 문화뿐이다.

그런데 이 의견에 동의하지 않는 사람이 의외로 많다. 동의하지 않을 뿐만 아니라 사용자 교육이나 훈련은 소용이 없다고까지 말한다. 필자로서는 이해할 수가 없다. 그들이 반대하는 이유를 살펴보자.

첫 번째 이유 : “아무리 고도로 훈련이 되어 있다한들 침입은 한 순간, 한 번의 실수로도 얼마든지 일어날 수 있다.” 가장 어이없는 이유다. 같은 이유를 들어 ‘기술’이 더 중요하다고 하는 사람들의 주장을 반박할 수 있다. 완전무결해서 절대 뚫리지 않는 기술 따위도 없다. 물론 훈련과 교육이 실수를 하나도 하지 않는 완벽한 인간을 만들어내는 건 아니다. 교육이 중요한 건 실수의 횟수 자체를 줄일 수 있기 때문이다. 그리고 최종사용자의 실수가 줄어들면 보안담당부서에서 근무하는 사람들의 부담감 역시 줄어든다.

두 번째 이유 : “사실 대부분 사람들은 보안에 관심이 없고 잘 모른다. 긍정적인 교육효과를 얻을 확률이 낮다.” 이 역시 어이가 없는 의견이다. 교육의 목적이 무엇인가? 관심을 불러일으키고 잘 알도록 가르쳐주는 거 아닌가? 물론 시간이 어느 정도 드는 건 인정한다. 그것도 패치 설치하는 것보다 훨씬 더 많이. 그렇지만 교육을 통해 사람이 바뀌면 문화가 바뀌고, 문화가 바뀌는 건 컴퓨터 시스템 업그레이드보다 통합적이고 포괄적인 변화다.

세 번째 이유 : “사용자들은 아무리 배워도 모른다. 사용자가 무식해서가 아니라 보안 분야가 그만큼 어려운 전문 분야이기 때문이다. 누구나 축구를 잘 할 수 없듯, 누구나 보안을 잘 알 수 없다.” 이건 IT 전문가들이 흔히 하는 착각이며 심각한 일반화의 오류에 갇혀 있는 논점이다. 컴퓨터를 활용하는 사용자들은 꾸준히 늘고 있고, 그만큼 컴퓨터 환경에 익숙한 사람들도 늘고 있다. 사용자의 상향평준화는 분명한 현상이다.

IT 분야에 어느 정도 종사해본 사람이라면 PEBCAK(Problems exists etween chair and keyboard : ‘문제는 키보드와 의자 사이에 있다’는 의미로 문제의 근원이 결국은 사람이라는 걸 뜻한다)이나 류저(luser : 패배자를 뜻하는 loser와 사용자를 뜻하는 user의 합성어)라는 말을 들어봤을 것이다. “바보는 아무리 패치해도 바보”라는 말도 있다. 사용자를 비하하는 이런 류의 농담을 주고받으면서 우리도 모르게 최종 사용자를 평가절하해온 건 아닌지 되돌아봐야 한다. 사실과는 너무 거리가 먼 이야기이기 때문이다.

그렇다고 IT 종사자들이 ‘자기들끼리만 잘난’, ‘폐쇄적인’ 사람으로 살아왔다는 건 아니다. 우리는 충분히 지식과 정보를 공유하며 살아간다. 다만 우리와 최종사용자들을 따로 분리해서 생각하는 것에 너무 길들여져 왔고 그렇기 때문에 스스로의 세계에 갇혀 잔소리만 늘어나는 ‘꼰대’처럼 굴었다는 것이다.

다행인 건 아직 충분히 바뀔 수 있다는 것이다. 다음 여섯 가지 간단한 팁들만 지키면 보안교육의 효과도 높이고 업무도 더 즐거워질 수 있다.

TIP 1 : 조직이나 회사뿐 아니라 교육을 받는 사용자들에게도 직접적인 이득임을 강조한다. 보통은 “회사의 기밀을 보호하는 훌륭한 일원이 되려면 다음 규칙만 지키면 됩니다. 간단하죠?”하는 식으로 보안교육을 한다. 이걸 살짝 꼬아서 “지금 배우는 것들을 습관화시키면 집에 있는 컴퓨터도 안전해진다”는 식으로 개인 단계의 동기부여를 해주면 효과적이다. 다른 사람의 것을 보호하는 것보다 내 것을 보호하는 것에 초점을 맞춘다면 집중도가 확 늘어나기 마련이다.

TIP 2 : 목표와 메시지를 단순화시키라. 교육을 하는 이유는 보안전문가를 양성하기 위함이 아니라 꼭 잊지 말아야 할 것들을 가르쳐서 보안을 최대한 강화하는 것이다. 즉 버퍼 오버플로우 취약점에 대해 가르친다면 이미 커리큘럼을 짜는 단계에서 실패라는 의미다. 피싱 메일을 어떻게 구분하고 어떻게 해결해야 하는지가 더 알맞다. 해커들이 실제 어떤 식으로 접근하는지를 알려주는 편이 해킹의 원리를 가르치는 것보다 훨씬 낫다. 

TIP 3 : 줄임말이나 전문용어를 최대한 줄여라. 즉 보안전문가들끼리 대화하듯 하면 안 된다는 것이다. 혹 널리 알려진 용어라고 해도 다시 한번 짚고 넘어가는 게 좋다.

TIP 4 : 충분한 예시와 반증 사례 및 비유가 필수다. 어떤 개념에 대해 설명한 후에는 꼭 쉬운 예를 들어서 배우는 사람들의 이해를 도와야 한다. 필자의 경우는 실제 해킹을 시행하거나 실제 있었던 공격을 그대로 구현하려고 노력한다. 물론 처음부터 끝까지 완전하게 해킹을 할 수는 없지만 실제 피싱 메일을 보여주는 것 정도는 가능하다.

TIP 5 : 학습시간을 재미있게 만들어라. 이는 상호소통으로 가능하다. 또 반 전체를 팀으로 나누어 한쪽은 공격, 한쪽은 방어를 수행하게 해서 이긴 팀에게 상품을 주는 것도 한 방법이다. ‘보안’이라는 단어는 이미 그 단어 자체로 상당히 부담스럽고 지겨운 느낌을 주는데, 이런 재미있는 교실안 활동을 병행하면 무거운 공기를 훨씬 가볍게 만들 수 있을 것이다.

TIP 6 : 문화 형성에는 긴 시간이 소요된다. 그러니 조급해하지 말라. 누구나 시간을 조금 들여서 간편하게 뭔가를 고치고 바꾸려고 하는데, 이는 위험한 희망이다. 그러므로 한 번의 명강의로 모든 학생들을 보안인식이 투철한 사용자로 바꾸려는 시도는 아예 하지 말자. 전혀 현실적이지 않다. 아무리 피싱에 대해 가르쳐도 분명 누군가는 그 피싱에 당할 것이다. 또 조직 내에 새로운 직원이 들어올 때마다 같은 교육을 반복하기도 해야 한다.

최종사용자를 교육한다는 건 분명 굉장한 노력과 시간을 요하는 일이다. 그러나 그만큼 효과 또한 분명하다. 그렇다고 일단 교육만 하면 만사 오케이인 것도 아니다. 교육하는 방법과 내용에 충분히 정성을 쏟을 때 최종사용자의 평균 보안의식을 확실하게 높일 수 있을 것이다. 그리고 최종사용자의 평균 보안의식이 높아지면 높아질수록 당신의 업무가 쉬워진다. 진짜다.

ⓒDARKReading

[글_ 코리 나크라이너(Corey Nachreiner) 보안전문 컬럼니스트]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>