재미있는 보상안, 자연스러운 참여 유도에 대한 고민
일반인들의 진입장벽 낮추려면 친절하고 부드럽게

[보안뉴스 문가용] 컴퓨터와 관련된 보안 전문가들은 가끔 느낄 것이다. 어쩐지 내가 하는 일이라곤 고작 책임자를 찾아내 벌을 주는 것뿐인 것 같고, 뭔가 앞을 향해 달려가고 있는 IT 업계에서 나만 혼자 브레이크를 걸고 태클을 걸어 흐름에 방해가 되는 것 같으며 다들 보안을 두고 재미없는 분야라고 입을 모아 말하는 것 같다고 말이다.


컴퓨터와 인터넷을 누구나 사용하듯, 보안도 누구나의 기본소양이 되어야 하는데, 아직도 사람들의 인식 속에서 보안은 귀찮고 지겹고 쪼잔한 소일거리일 뿐이다. 이를 어떻게 해야 변화시킬 수 있을까? 아니면 적어도 사람들이 보안 실천사항들을 지킬 수 있도록 당근을 주려면 어떻게 해야 할까? 다섯 가지 방법을 고민해보았다.

재미있는 상을 마련한다
개인 컴퓨터에 깔린 백신을 주기적으로 돌려보는 게 필수이던 시절, 내가 알고 있던 한 기업에서는 무작위로 직원 컴퓨터를 하나 골라 실험용 파일을 매주 심었다. 물론 직원들은 이 사실을 몰랐다. 한 주 만에 백신을 돌려 해당 파일을 찾아내면 그 직원에게 경품추첨권을 주었다. 물론 이는 오래전 이야기라 이를 그대로 적용하는 게 현재에는 무리일 수도 있다. 요는, ‘이걸 하면 이걸 주겠다’는 직설적인 방법 외에 재미있게 사용자들을 참여시킬 수 있는 현명한 보상 계획을 고민해보라는 것이다. 매일처럼 잔소리를 하는 대신 게임처럼 재미있게 참여시킬 수 있다면 잔소리를 해야만 했던 사람이나 들어야 했던 사람이나 모두 윈윈 아닐까.

될 때까지 훈련을 시킨다
많은 업체들이 가짜 피싱 이메일을 보낸다든가 하는 방법으로 직원들의 보안 의식을 훈련한다. 또한 가짜 피싱 이메일 실험에 걸려드는 직원이 업체 당 평균 1/3에 육박하는 것으로 알고 있다. 그리고 그들 중 몇몇은 이것이 실험인 줄 알고 분노의 메일을 경영진에 보내기도 한다. 그러나 이따금 실시하는 화재 대피 훈련이나 지진 대비 훈련에 대해서는 아무도 불평을 하지 않는다. 왜냐하면 그런 훈련을 하는 목적이 자신의 안전과 직결되어 있음을 잘 이해하고 있기 때문이다. 그러나 이런 훈련이 처음부터 잘 받아들여진 건 아니다. 훈련의 목적에 대해 충분한 설명을 반복해서 하고, 또 훈련을 전 국가적으로 확대시켜 나가다보니 자연스럽게 받아들이게 된 것이다. 사이버 보안 훈련 역시 시간을 들여 반복해야 할 문제 중 하나다.

물론 방화나 피싱 메일 모두 현실과 훈련에는 차이가 있다. 즉, 훈련은 모의상황으로 실제보다 훨씬 단순할 수밖에 없다. 다만 현실을 충실히 반영하지도 못하는 훈련이라도 반복함으로써 최소한의 필요한 행동을 익힐 수 있게 된다. 또한 훈련을 반복해서 했다는 기억은 실제 상황에 처했을 때 자신감과 침착함을 준다. 훈련이 꼭 실제 상황을 방불케 할 필요는 없다.

일반 직원들을 보안에 참여시킨다
우리는 그저 ‘해킹’이라고 에둘러 표현하지만 기술적인 측면에서 보자면 해킹은 무수히 많은 종류로 나뉠 수 있다. 그렇기에 ‘우리 회사가 해킹당했어’라는 사실보다 ‘이런 저런 해킹 기술에 뚫렸어’를 파악하는 게 훗날을 대처를 위해 더 도움이 된다. 그러려면 ‘피해’에 관해서 되도록 많은 정보를 긁어모아야 한다.

내가 아는 한 보안 기업은 피해 고객들에게 피싱, 스팸, 사기, 멀웨어 등으로 의심이 되는 모든 자료를 보내라고 요청한다. 물론 모든 수사 관련 기관이 증거자료를 깡그리 모으긴 하는데, 이 업체가 다른 점은 관련자들이 직접 증거자료가 될 수 있는 정보를 제출하도록 권장한다는 것이다. 이렇게 작은 참여라도 함으로써 사람들이 보안에 더 관심을 갖게 되고, 이는 나중에 스스로 방어력을 갖추는 데 보탬이 된다는 게 그 업체의 설명이다. 이렇게 알게 모르게 일반인들을 참여시키는 것도 현명한 방법이다.

실패 사례들을 찾아 나선다
그런데 사실 아무리 꼼꼼하게 점검하고 보호한다고 해도 100% 완벽하게 자산을 보호할 수는 없다. 게다가 사람을 관리한다는 건 더욱 힘들어서 훈련을 시키고 상품권을 쥐어줘도 모든 현대 IT 기술을 사용하는 습관을 다 파악하거나 통제하는 건 불가능하다. ‘이렇게 사용해야 안전하다’, ‘저렇게 써야 안전하다’는 가르침은 뇌리에 잘 박히지 않기 때문이다. 차라리 ‘이렇게 하면 이렇게 불법적으로 정보에 접근할 수 있게 된다’든지 ‘이걸 켜놓고 쉬프트 엔터를 같이 누르면 로그인 안 해도 된다’와 같은 보안 취약점이나 구멍들을 가르치면 어떨까? 내 경험상 이렇게 보안망을 뚫는 법을 가르치면 기억에 훨씬 더 오래남고 수업 분위기도 좋다. 보통 사람들은 이런 정보에 엄청난 흥미를 보인다. 이런 교육법이 위험하다고 생각할 수도 있겠지만 이를 악용하려고 마음먹고 귀를 기울이는 사람은 적어도 일반인들 중에는 없다.

가끔은 부셔도 괜찮다
IT 업계에 있다보면 느끼겠지만, 일반 사용자들은 뭔가를 부수는 것에 있어서 하나 같이 엄청난 재능을 가지고 있다. 게다가 부수는 방법도 가지가지, 얼마나 창조적인지 모른다. 이걸로 스트레스 받는 이들도 있지만, 보안 업계에서 오랫동안 일해 온 나로서는 오히려 생각지도 못한 취약점을 발견하는 계기로 보인다. 직원들이 보안 점검을 하거나 보안에 대해서 물어보러 올 때, 보안 담당자로서 ‘응, 그럴 수 있어. 부술 수도 있지. 괜찮아’라는 태도로 응한다면 보안의 진입장벽이 차츰 낮아지는 걸 느낄 수 있을 것이다.
글 : 리사 마이어스(Lysa Myers)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>