• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 교육, 정책 수립과 함께 가야 한다 2017.01.20

교육만으로는 부족... 정책과 함께 강제성 부여해야
어겼을 때 아무런 대가 없으면 아무도 지키지 않아

[보안뉴스 문가용 기자] 사이버 세상이 하수상하니 ‘보안이 최고 덕목’이라는 기업들이 점점 늘어나고 있다. 각종 정보 유출 사고가 앞다투어 발생하니 당연한 일이기도 하다. 그런데, 정말 기업들이 정보보안을 중요하게 생각하고 있다면 왜 정보보안을 제대로 가르치고 훈련시키는 곳이 눈에 거의 띄지 않는 걸까?

보안 교육에 있어서 대다수 기업들이 실패하는 지점은 ‘정보보안의 극히 일부만 가르친다’는 것이다. 이는 매우 치명적인 결함이다. 기업의 크기나 산업 종류를 막론하고 신입사원 오리엔테이션에조차 정보보안에 대한 언급을 하지 않는 곳이 아직도 지나치게 많다. 하더라도 신입사원들에게만 계약서에 명시된 내용을 입사 첫 날 읊어주는 것이 전부인 수준에 그친다. 이것보다 더 잘하고 있다고 말할 수 있는 기업들은 몇 되지 않는다.

물론 이런 최소한의 교육을 통해서도 직원들은 대강 감을 잡을 순 있다. 뭘 조심해야 할지, 뭘 하면 안 되는지 등을 말이다. 하지만 오늘날 위협들의 종류나 강도는 수시로 바뀌며, 그렇기에 지난 달에는 그렇게나 중요했던 정보가 오늘은 별 거 아닌 것으로 전락한다. 입사 때 한 번 들었던 보안 지침 사항만으로 충분한 교육이 될 리가 없다. 정보보안 교육은 규칙적으로 이루어져야 하며, 그 특성상 교육 효과가 오래 지속되지도 않는다.

그렇다고 회사가 만사 제쳐두고 정보보안 교육만 시킬 수도 없는 노릇이다. 가장 알맞은 건 한 달에 한 번 정도 교육을 실시하는 것이다. 이때 새로운 위협에 대해서 알려주는 것도 필수지만, 계속 말 해도 잘 안 지켜지는 것들, 혹은 쉬이 잊히는 것들 역시 반복해서 짚어주는 것이 중요하다. 그러나 해보면 알겠지만, 이 한 달에 한 번 교육이라는 것도 만만치 않다. 실제로 신년에 한 달에 한 번 교육하기로 계획을 세우고 몇 달 안 가 포기하는 곳들이 대부분이다.

교육과 좋은 궁합을 이루는 건 정책 수립이다. “가르쳐 주었으니, 지켜야 한다”는 게 “회사 규칙이나 무조건 지켜라”보다 훨씬 설득력이 강하기도 하다. 그러므로 교육을 실시한 후에는 그 교육 내용이 반영되는 정책을 만들어 적용시켜야 한다. 하지만 이런 식으로 정책 업데이트를 제대로 하는 곳도 드물거니와, 임직원부터도 강력한 보안 정책을 잘 안 지키는 경우가 태반이다.

허술한 교육 때문에 벌어지는 일
모의 침투 테스트를 자주 진행하는 편인데, 여태까지 피싱 메일 등의 수법을 통한 침투 중 가장 오래 걸렸을 때가 20분 정도였다. 보통 피싱 이메일을 보내고 나서 10분 정도면 그 회사 시스템에 들어가 있다. 이는 원격 공격만을 말한 것이다. 회사 사무실에서 직접 침투 테스트를 실시할 때, 회사에 대한 조사를 제대로 했다면 1시간 내에 침투뿐 아니라 모든 작업을 마치는 게 보통이다. 내가 나쁜 놈이었으면 그 기업들에 무슨 일이 벌어졌을까?

한 번은 규모가 아주 큰 석유 및 가스 회사에서 이런 모의 해킹을 진행한 적이 있었다. 기업의 네트워크에 침투해 완전히 장악하는 데까지 한 시간도 걸리지 않았다. 그렇게까지 해킹이 진행되는데, 그 누구도, 그 어떤 메커니즘도 날 억제하려고 하지 않았다. 그 회사는 보안 교육도 꽤나 규칙적으로 진행하고 있던 곳이다. 문제는 그 교육의 방법에 있었다. 보안 관련 교육을 진행했지만, 가르친 내용을 실천하지 않았을 때 아무런 조치를 취하지 않으니 교육 효과가 하나도 없었던 것이다. 내가 해킹을 한 시간 안에 마치고, 그 기업 임원 및 경영진들은 CIO와 심각한 면담을 실시한 것으로 알고 있다.

또 한 번은 대규모 도소매 기업에서 모의 해킹을 진행했었다. 한창 사내 정보보안 교육이 진행되고 있을 때, 난 직원들을 대상으로 소셜 엔지니어링 공격을 시도했다. 교육 효과가 사라지기는커녕 최고조에 달했을 때 공격을 시도한 것이다. 심지어 내가 회사에 처음 들어갔을 때 문을 열어준 직원은 지금 보안 교육 중이라고 말을 해주기까지 했다. (그러면서 낯선 사람인 나를 아무렇지도 않게 사무 공간을 들어오게 한 것도 이상하다.)

그날도 공격은 매우 빠른 시간 안에 성공했다. 아무런 저항도 없었다. 이런 예가 한두 개가 아니다. 교육을 실시하고 있다는 사실이 중요한 게 아니다. 교육이 정말 직원들의 일상을 바꾸지 않으면 아무런 소용이 없다. 그리고 그 일상을 바꾸려면 어느 정도 강제적인 조치와 병행되어야 한다. 어겼을 때 아무런 벌칙이 없는 조항은 절대로 지켜지지 않는다.

글 : 톰 데소(Tom Desot)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>