• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 인식 교육, 왜 실패하는가? 2018.07.20

보안 교육, 일반인에게 과도한 기대감 걸고 있어
겉돌면 실패할 수밖에 없어...프로세스의 변화까지 있어야

[보안뉴스 문가용 기자] 대부분의 보안 인식 제고 프로그램들은 효과가 없다. 이는 통계적으로도 사실이다. 의도야 좋다. 사람들을 교육해 좀 더 안전하고 올바른 판단을 하게 돕는 것. 그럼으로써 그들이 속한 환경 자체를 청정하게 만드는 것. 즉, 사람들이 스스로 옳은 행동을 하도록 만드는 것이 교육의 목표인데, 이는 잘 해봐야 ‘기본기’만 심어줄 뿐이다.

[이미지 = iclickart]


그리고 다들 그렇게 말한다. 기본만 잘해도 충분하다고. 그런데 한 번 생각해보자. 최소한의 필수 교육만 억지로 받아 가까스로 기본기만 갖춘 일반인들이, 고도의 훈련을 받고 자발적으로 IT 기술을 공부하고 실제 현장에서 시행착오를 겪어가며 실전 감각을 쌓아가는 소시오패스들의 집요한 공격을 막을 수 있다? 이게 논리적으로 맞는 말인가?

게다가, 예를 들어 회사에 새로운 경리 직원이 들어왔다고 하자. 회사는 그 사람에게 ‘자, 이제 나쁜 놈들이 너를 노리기 시작할 거니까, 조심하도록 해’라고 가르쳐주는가? 아니다. 회사가 오랜 기간 형성해온 회계 업무의 여러 프로세스들을 익히게 한다. 이걸 익히면서 ‘돈을 다루는 직업이니 조심해야 한다’는 생각은 사라진다. 직원으로서는 그저 그 주어진 프로세스만 잘 따라가면 된다. 그런 환경에서 보안을 더 생각할 여지는 없다.

우리가 말하는 인식 제고 훈련은 정상적이고 평범한 업무 프로세스에 따라 움직이는 사람들을 대상으로 한다는 걸 고려하지 않고 있다. 누구나 상식처럼 아는, 한 귀로 듣고 다른 귀로 빠져나갈 수밖에 없는 통상적인 내용을 반복한다. 신기한 해킹 기술이나 사례 몇 가지로 잠깐 관심을 끌어봤자 그뿐이다. 유머러스한 강사도 아주 약간만 더 기억될 뿐, 효과 없기는 매한가지다. 왜? 기업과 직책, 각 사람의 상황에 맞는 내용이 아니니 와닿지가 않는 것이다.

예를 들어 흔하디흔한 피싱 공격을 생각해보라. 해커들이 인사부 직원에게 접근해 직원들의 정보를 빼돌리려고 한다고 했을 때 취할 수 있는 여러 가지 행동들을 가르쳐주는데, 인사부만을 위한 내용이 교육 과정 중에 들어가 있으면 얼마나 좋을까? 그러나 현실은 대부분 그렇지 않다. 인사부, 재정부, 기획부 등 부서 이름만 바뀌었지 강의 내용은 베낀 것처럼 그대로다. 게다가 ‘범인들이 속이려고 애를 쓸 텐데, 여러분은 속지 마세요’가 결론이다. 누가 속고 싶어서 속나. 다시 말하지만 속이려는 자는 고도의 훈련을 받은 집요함의 끝판 왕들이고, 여기는 가까스로 기본기만 해도 칭찬받는 사람들이다. 아예 상대가 되지 않는다는 걸 간과하고 있다.

즉, 우리가 하고 있는 보안 교육 프로그램 대부분의 문제는, 보안의 현재 문제와 정확히 일치한다. 겉돈다는 것이다. 현대 정보보안의 화두는 ‘비즈니스 프로세스에 적극 개입해야 한다’는 것이다. 설계부터, 아니, 심지어 기획부터 보안을 염두에 둔 ‘security by design’을 추구하는 것이 요즘의 추세이다. 깊숙하게 보안이 박히지 않고, 완성된 것 위에 추가로 얹어내는 고명과 같은 보안은 이제 통하지 않는다. 그러므로 교육도 그렇게 해야 한다.

예를 들어 피싱 공격에 대해 일반 직원들을 대상으로 교육한다고 했을 때, ‘결국 속지 말아야 할 것은 바로 당신’이라고 결론을 내려서는 안 된다. 인사부의 정상적이고 합법적인 업무 절차에 보안을 녹여내고, 그걸 가르쳐줘야 한다. 즉, 개인식별정보를 누군가에게 전송할 때의 공식적인 절차를 만들면 될 일이다. 개인정보를 전송할 때의 결제 라인을 공식적으로 지정해주면 적어도 말단 직원이 누군가에게 속아서 개인정보를 넘길 일은 없어진다. 매번 이메일을 열고 ‘잠깐, 이거 수상한 거 아냐?’라고 생각하게 하고, 그것에 정보의 안전을 맡겨서는 안 된다는 것이다.

결국 보안 인식 교육이 실패하는 이유는, 우리의 일상적인 업무 절차와 프로세스가 안전하지 않기 때문이다. 그러므로 교육만의 문제가 아니다. 제대로 된 회사라면, 개인의 꼼꼼함과 역량에 중요한 자산을 믿고 맡기지 않는다. 사람보다 단단한 건 시스템이다. 사용자를 믿지 말라는 게 아니라, 그들의 실수까지도 커버할 수 있는 보안이 되어야 한다는 것이다.

이상적인 보안 교육 프로그램이란, 업무의 절차까지도 안전하게 만들어주는 것이어야 한다. 적어도 지금의 때엔 그렇다. 피싱 사례들 들고 와서, 이렇게 속았고 저렇게 속였다는 시나리오만 주구장창 읊어봐야 그들은 또 다시 속기 쉬운 환경으로 돌아가, 속을 수 있다는 사실을 잊고 일하기 시작한다. 마찬가지로 “USB 잃어버리기 쉬우니 조심하라”고 가르쳐주는 것도 별 효과가 없다. USB를 사용하는 것에 대한 특별한 절차와 규정을 만드는 게 훨씬 낫다.

현대의 삶은 너무나 바쁘다. 내 일 챙기기에도 정신이 없다. 그런데 보안은 남의 일인 것처럼 접근한다. 될 리가 없다. 보안을 자기 일로 만들어주는 것, 그것이 보안 교육의 목표여야 한다.

글 : 이라 윙클러(Ira Winkler), Secure Mentem
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>