명강연보다는 자잘한 소그룹 모임이 더 도움 돼

이론과 훈련, 말하기와 듣기의 균형 잡기가 중요

[보안뉴스 문가용] 모든 보안담당자의 악몽은 스마트폰 한 대 혹은 USB 한 개, 어떤 직원이 무심코 열어버린 이메일 한 통에서 시작한다. 수일, 혹은 수개월까지 쌓아온 보안 시스템은 이런 사소한 것 하나로 무너지기 십상이다. 다른 부서 직원들이 보안은 결국 모두의 일이라는 것만 이해해줘도 될 텐데, 보안에 대한 담당자의 잔소리를 한 귀로 흘리지만 않으면 좋을 텐데...

그러나 좀 더 냉정하게 돌아보자. 누가 얼마큼의 노력을 했건 아무튼 간에 이런 일이 계속 반복된다면, 어쩌면, 그건 직원들의 잘못이 아닌 지도 모르겠다. 오히려 잘못은 당신 편에 있을 수 있다는 생각을 해봤는지? 당신이 열심히 하고 있다는 그 교육 프로그램이 사실 전혀 그들 머리에 입력이 되지 않고 있을 수도 있다.

지난 ISEC 2014에서 한 패널은 보안업계의 용어가 너무 어렵고 기술적이라 대중에게 설득력이 없을뿐더러 다가가지도 못하고 있다고 한 바 있다. 뉴욕에서 열렸던 ‘사이버 시큐리티 서밋’에서도 이런 이야기가 나온 것을 보면 이는 영어나 한국이나 마찬가지인 듯도 하다. 사이버 시큐리티 서밋에서 나왔던 여러 해결 방침을 간략하게 정리해본다.

1. 바깥으로 눈을 돌리라

아무리 카리스마가 넘치는 IT 보안 전문인이라도 자신의 의도를 모든 사람들에게 심어줄 수는 없다. CUNA 뮤추얼(CUNA Mutual)의 수석보안담당자인 나히드 블리커(Naheed Bleecker)는 소수의 타 부서 직원을 공략하기를 권장한다. 말을 잘 알아들을 만하면서 영향력이 어느 정도 있는 사람들을 골라 교육시켜, 그들이 다시 다른 사람들을 교육시키도록 하라는 것이다. 또한 보안 관련 이슈가 있을 때마다 이들을 채널로 활용하면 결과가 훨씬 좋았다고 자신의 경험을 술회했다. 홍보팀과 좋은 관계를 유지하는 것도 중요하다.

2. 맞춤형 메시지라는 게 존재한다

아마 당신은 멋지고 완벽한 강연 자료를 구비했을 것이다. 강약 조절까지 가미된 프레젠테이션 자료에 더해 위트 넘치는 코멘트까지 꽉 짜인, TED 빰 치는 멋진 강의가 당신 입에서 실제로 술술 나올지도 모른다. 그러나 이 방법이 잘 안 통했다면 차라리 큰 명강의 하나 보다 소그룹으로 나누어 여러 차례에 걸쳐 진행하는 과외 식 교육이 더 효과적일 수 있다. 사실 생소한 걸 배워야 하는 입장에선 강사가 가까우면 가까울수록 좋지 않겠는가. “모든 사람을 단 번에 이해시키겠다는 건 불가능의 영역입니다.”

3. 가장 큰 리스크에 집중하라

과도한 규칙 설정은 금물이다. 모든 위험 가능성을 다 다루려고 할 때 주로 이런 실수를 범하기 마련이다. 일단 사용자들이 제일 어려워하거나 귀찮아하는 규칙이나 정책이 무엇인지 알아보는 것이 좋다고 트립와이어(Tripwire)의 CTO인 드웨인 멜란콘(Dwayne Melancon)은 설명한다. 즉, 가르쳐준다며 내가 할 말만 할 게 아니라 사용자의 목소리에도 귀를 기울여야 한다는 것이다. 어쩌면 사용자의 의견 속에서 보다 실제적인 해결책이 나올지도 모른다.

4. 민방위 훈련이 필요할 수도 있다

사업을 직접 해봤다거나 스포츠 팀의 코치를 일임해봤다거나 누군가에게 기술을 가르쳐본 사람이라면 이 의견에 동의할 것이다. “실제 상황에 처음 닥쳐서 냉정하게 대처해갈 사람은 거의 없습니다. 그런 상황을 평소에 연습해봐야 그나마 그 가능성이 올라갑니다. 위기 상황이 실제 어떤지, 그리고 어떻게 해결해야 하는지 연습하게 해주는 것도 교육하는 입장이 가져가야 하는 책임입니다.”

5. 당신은 큰 오빠가 아니다

그런데 훈련이며 소그룹 진행이며, 교육에 너무 열을 올리면 자신도 모르게 권위적으로 굴거나 귀찮은 잔소리쟁이가 될 수도 있다. 웜뱃 테크놀로지스(Wombat Technologies)의 마케팅 부서장인 에이미 베이커(Amy Baker)는 “교육 및 훈련 계획을 세웠다면 최소한 미리 사람들에게 알려주는 배려 정도는 해줘야 합니다”라고 충고한다. 또한 당신에게 감시를 받고 있다고 생각하는 순간 직원들은 엇나가기 시작할 것이라며 “자유롭게 보안에 대한 교육을 받을 수 있게 환경을 조성해주는 게 중요”하다고 강조했다.

6. 경쟁을 유발하라

작고 가벼운 경쟁을 유발하면 사람들이 보다 더 적극적으로 학습에 임하게 된다. “아무도 꼴찌를 하고 싶지 않거든요. 그 분야가 무엇이든 간에요.” 멜란콘의 명쾌한 논리다.

7. 늘 새로운 재미를 추구하라

보안의식 재고 교육이라 하면 무엇보다 반복학습이 최고일 수밖에 없다. 하지만 그렇다고 해서 너무 똑같이 반복하면 사람들의 집중력을 떨어트린다. “지겨우면 졸립니다. 졸리면 효과가 급격히 떨어지고요.” 시큐리티 멘토(Security Mentor)의 CSO인 댄 로어만(Dan Lohrmann)의 설명이다. 그렇다면 어떻게 해야 재미있는 반복이 가능해질까? 가장 쉬운 방법으로는 예시를 다양하게 변화시키는 게 있다. 사건사고가 특히 사람들의 관심을 많이 받는 편인데, 요즘 세상에 사건사고 예시가 떨어질 일은 없다. 게다가 사건사고에 대한 정보를 모으다보면 스스로에게 큰 공부가 된다.

8. 돈은 아무런 상관이 없다

돈을 많이 부으면 안전도가 올라갈 것이라는 인식이 팽배한데, 이는 전혀 사실과 무관하다. 교육에 쓸 돈을 다른 보안 시스템 마련에 투자한다고 해서 사무실의 보안성이 올라가지 않는다는 것이다. 그러므로 이 점을 강조해 교육 투자비를 꼭 확보하라. 그것 역시 보안 담당자가 신경 써야 할 부분이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>