• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사용자 인도하지 못하는 정보보안 교육, 아직 멀었다 2016.12.11

기본적인 보안 실천 사항, 전문 경영인들도 잘 몰라
개인적인 위협 더 가깝게 느끼는 것이 일반인들의 현실

[보안뉴스 문가용 기자] 2016년 역시 강력한 사이버 보안 사고의 해였다. 그렇기 때문에 보안 사고에 대한 기업들과 기관들의 경각심이 높아지기도 했다. 하지만 그 경각심이란 게 머리에만 남아있다는 게 문제다. 여전히 많은 업체들이 웹 브라우저 보안 같은 기본조차 제대로 지키지 않고 있다는 것이 오센틱8(Authentic8)이라는 보안 전문업체가 실시한 설문을 통해 드러났다.


오센틱8은 미국에서 활동하고 있는 250명의 경영 전문가들을 대상으로 보안과 관련된 여러 가지 사안들을 조사했다. 특히 경영인들이 가지고 있는 우려, 개인적인 인터넷 사용 습관, 기업 차원의 인터넷 브라우징 정책들을 집중적으로 물었다고 한다. 그 결과 오센틱8의 CEO인 스캇 페트리(Scott Petry)는 “아직도 구체적으로 뭘 어떻게 해야 하는지 모르는 경영인들이 많”은 현상을 발견했다고 한다.

“요즘 모든 나라, 모든 산업, 모든 업체, 모든 부서에서 모든 사람이 사용하는 앱을 딱 하나만 꼽으라면 어떤 게 있을까요? 웹 브라우저죠. 게다가 요즘 많이 사용하는 앱들 대부분 인터넷에 연결되는 것들이고요. 일반인이나 공격 대상의 정보를 훔쳐내려면 어떤 부분을 먼저 공격해야 할까요? 로그인 정보나 행동 패턴, 성향과 같은 정보를 탈취하려면요? 당연히 웹 브라우저부터 시작하는 게 확률 상 현명하지 않을까요?”

업체들의 보안 전략들은 아직도 크게 변하지 않았다. 브라우저 사용 관련 정책들에 대해 물었을 때 26%는 “그런 정책이 없다”고 답했으며, 36.5%는 타당한 이유만 있다면 개인적인 웹 활동을 허용해준다고 했고, 21%는 SNS와 같은 개인적인 웹 브라우징을 웬만하면 차단하는 정책을 도입하고 있다고 답했다. 개인적인 웹 활동을 엄격하게 금지시키고 있다는 업체는 6%에 그쳤다.

하지만 이에 대해 스캇 페트리는 “무려 10%나 ‘난 모르겠다’고 답했다는 게 더 무섭다”고 말한다. “경영 전문가라는 사람들의 10%가 보안 사고가 날까봐 무서워만 하지 뭘 해야 할지 모르고 있다는 건, 사용자 교육에 아직도 큰 구멍이 존재하고 있다는 겁니다. 이게 되게 무서운 겁니다. 왜냐하면 올해 보안 교육이 소용없다는 말이 꽤나 시끄럽게 나왔기 때문이죠. 보안 업계가 할 바를 다 하지 않고 책임을 사용자들에게 미뤘다는 것이니까요.”

한편 온라인 상에 존재하는 위협들 중 가장 무서운 게 무엇이냐는 질문에 응답자들은 순서대로 아이덴티티 도난(80%), 신용카드 데이터 도난(79%), 바이러스 및 멀웨어(75%), 피싱 및 암호 도난(66.5%)을 꼽았다. 페트리는 “보안 전문가가 아닌 일반인을 상대로 한 질문에 항상 이런 답들이 나온다”고 설명한다. 즉, 개인적으로 입을 수 있는 피해에 대해서 더 걱정하는 게 현재 일반인들의 심리상태라는 것이다. “경영을 전문으로 하는 사람들조차 아직은 개인적인 위험들을 더 가깝게 느끼고 있습니다.”

게다가 랜섬웨어가 순위에 꼽히지 않은 것도 매우 놀라운 사실이라고 페트리는 설명한다. “랜섬웨어는 개인의 영역에서 일어났을 때보다 조직 단위로 일어났을 때 그 피해가 어마어마하게 커집니다. 회사에 한 번 들어오면 그 회사 네트워크에 있는 모든 사람들의 데이터가 위험해지는 거죠. 게다가 이 랜섬웨어라는 게 되게 어렵거나 기술적인 지식을 요하는 것도 아니에요. 랜섬웨어를 꼽지 않았다는 것이 아직 경영인들이 조직차원의 생각을 하지 못한다는 것의 강력한 증거입니다.”

랜섬웨어에 감염되는 경로는 변종마다 세세하게 다르긴 하지만 큰 선에선 비슷하다. “사용자가 링크를 클릭하면 브라우저 앱이 실행돼서 랜섬웨어 코드가 다운로드 되고 시스템에서 실행되는 과정 자체는 똑같습니다. 아직 이걸 벗어나는 랜섬웨어는 없어요. 그렇지만 아직도 사람들은 악성 링크를 클릭하고, 업체들은 브라우저가 아무 파일이나 다운로드 받도록 방치하고 있습니다.”

또 암호 사용 습관과 계정 및 데이터를 보호하는 데 있어서의 안일한 태도 역시 아직 고쳐지지 않았다고 스캇은 말한다. “응답자의 60%가 그다지 중요하지 않은 웹 사이트들에서 회원가입 할 때 똑같은 암호를 사용한다고 답했습니다. 중요하든 안 하든 암호를 항상 똑같게 설정한다는 응답자가 18%였고요, 같은 암호를 두 번 이상 사용하지 않는다는 응답자는 24% 뿐이었습니다.”

스캇은 “아직도 정보보안의 구체적인 실천 사항들을 일반인들이 모르고 있다는 건 교육 문제”라고 딱 잘라 말한다. “실천하지 않는 건 뭘 해야 할지 가르쳐주지 않았기 때문”이라고 그는 주장한다. “교육이라는 게 단순히 강의만 하는 게 아닙니다. 조직 내 분위기와 문화도 교육 도구이고, 선임자의 태도도 영향력이 강한 교재입니다. ‘난 내가 할 말을 다 했어’라는 태도로 뭔가 가르쳐놓고, 사람들이 따라하지 않는다고 교육이 효과 없다고 말하는 건 무책임한 것이고 프로답지 않은 겁니다. 아직도 보안에 대해서 더 가르치고 이끌어내야 할 부분이 많습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>