직원들의 보안 인식을 높이기 위해 수백 만 달러의 교육비를 투자한 기업이 적지 않다. 그러나 보안과 위험 관리 문제를 조사 및 분석하는 비영리 단체인 ISF(Information Security Forum)에 따르면, 투자 결과는 신통치 않았다. 투자액 만큼의 효과만 기록해도 준수한 편이었다.
ISF의 스티브 더빈 글로벌 부사장은 "임직원의 보안 인식, 행동이 원하는 수준에 도달했다고 말할 수 있는 기업과 단체는 대단히 드물다 현재 보안 인식 재고를 위해 펼치고 있는 노력이 별무소용이라면 어떤 일을 해야만 할까?"라고 반문했다.
그에 따르면 긍정적인 보안 행동을 비즈니스 프로세스에 주입시키는 것이 답이다. 여기에 도움이 되는 10가지 원칙을 정리했다.
결국 위험에 바탕을 둔 방법으로 귀결된다. 데이터와 사람을 대상으로 위험 평가를 실시할 필요가 있다. 보안 침해 사고가 발생했을 때 가장 큰 피해를 초래할 데이터는 무엇일까? CEO에서 신입직원에 이르기까지 위험에 연루될 수 있는 사람은 누구일까? 위험에 바탕을 둔 튼튼한 기준선과 평가 기준을 출발점으로 삼으면, 비즈니스 요건에 부합하고 위험을 해결하는 보안 솔루션을 구현할 수 있다. 더빈은 "사람들의 프로파일에 맞춰 여러 다양한 위험 솔루션을 확인할 수 있을 것이다. 가장 중요한 부분을 찾아, 기업 전체에 솔루션을 도입하기 전에 이를 반영해야 한다"고 말했다.
대안이 되는 프로세스를 계속해서 찾는다 긍정적인 행동을 도입하는 것은 '진행형' 프로세스여야 한다. 과거에 효과가 있는 방법을 찾았다고 해서, 이 방법이 미래에도 최상의 방법이 된다는 보장은 없다. ISF는 행동 변화를 강요하기보다는 복잡한 시스템과 방해가 되는 프로세스에 문제를 제기해야 한다고 조언했다. 가능한 사용자 친화적이면서 간단한 프로세스와 새로운 시스템을 구현하도록 노력해야 한다. 더빈은 "열린 마음을 가지고 추진을 해야 한다. 프로세스 자체가 문제일 수 있다. 아주 복잡한 시스템이나 방해가 되는 프로세스를 보유하고 있을 수도 있다. 이런 문제들이 있어서는 안 된다. '특정 프로세스에 사람들이 쉽게 순응을 하는 보안을 구현하려면 어떻게 해야 할까?'라고 질문을 스스로에게 제기하라"라고 말했다.
긍정적인 정보 보안 행동을 체득시킨다 조직의 복원력 강화를 유도하는 행동을 높이 평가하고 장려하려 노력한다. 해야 할 행동을 알리는 것만으로는 불충분하다. 그 행동이 중요한 이유를 이해하도록 도울 필요가 있다. 또 책임 의식을 갖도록 만들어야 한다. 이를 통해 직원들이 중요한 순간을 인식해, 올바른 결정을 내리도록 할 수 있다. 이를 위해서 특정 부서를 대상으로 하는 메시지나 표적 역할을 규정하면 도움이 된다.
정보 보안과 관련된 결정을 내릴 수 있는 능력을 준다 '마음과 정신에 대한 싸움'이라는 태도로 보안 솔루션에 접근할 필요가 있다. 직원들의 모바일 기기에는 값진 데이터가 들어있다. 긍정적인 보안 태세를 성공적으로 구축하기 위해서는 직원들을 더 신뢰할 필요가 있으며, 이와 동시에 이들이 비즈니스를 보호하도록 동기를 부여하고, 필요한 경우 의사결정을 내릴 수 있도록 권한을 부여해야 한다. 더빈은 "정신과 마음을 얻어야만 태도와 행동을 바꿀 수 있다. 성숙한 대화를 할 필요가 있다. 물론 전사적으로 이를 수행할 수 없을 수 있다. 그러나 가능한 조직의 많은 부분에서 신뢰 확대와 권한 부여, 동기 부여를 시도해야 한다"라고 강조했다.
보안 행동을 바꾸는 기간은 현실적으로 정한다 인정하자. 긍정적인 정보 보안 행동을 단 기간에 주입하기란 불가능하다. 이를 성공적으로 마친 기업과 단체의 상당수는 현재의 보안 태세를 확립하기까지 몇 년을 투자해야만 했다. 변화가 지속되는 효과를 얻기까지 3~5년이 소요될 수 있다. 단 기간에 이를 달성할 방법은 없다는 사실을 수용해야 한다.더빈은 "몇 년이다. 긴 여정이라고 할 수 있다. 이 여정 동안 변화가 발생할 것이다"라고 설명했다.
'멈춰 생각하는' 태도 확산을 목표로 한다 직원들에게 올바른 결정을 내리고, 전문가와 상의를 해야 할 시기를 판단하도록 능력을 주는 데 목적이 있어야 한다. 직원들이 중요한 순간에 잠시 멈춰 생각을 하도록 만들 수 있다면, 인적 요소를 안전하게 만들 수 있다. 매번 직원 교육을 성공시킬 수는 없다. 현대의 비즈니스 환경에서는 불가능한 일이다. 그러나 보안과 관련해 중요한 순간을 인식하도록 만들 수는 있다. 더빈은 "개개인이 위험을 평가할 수 있는 능력을 갖추도록 만들어야 한다. 내가 해야 할 행동을 하고 있는 것일까? 보안 측면에서 올바른 행동을 하고 있는 것일까? 직원들이 이런 생각을 하는 단계에 도달해야 한다. 제제는 더 이상 효과가 없기 때문이다"라고 말했다.
보안 커뮤니케이션은 '전달(tell)'이 아닌 '설득(sell)'이어야 한다 과거의 일률적 보안 인식 재고 프로그램은 모든 사람들을 제대로 참여시키지 못하는 문제점을 갖고 있었다. 즉 세분화된 청중의 위험 프로파일에 맞춰진 설득력 있는 솔루션을 만들 필요가 있다. 실패 지점에서의 교육이 종종 유효하다. 예를 들어, 안티피싱 프로그램을 점검하기 위해 피싱 시뮬레이션을 시작했는데 누군가 피싱 링크를 클릭했다면, 이때 피싱과 피싱 회피 방법에 대한 정보를 제공한다.
정보 보안 '후원자'를 찾아 협력한다 다른 변화 관리 시도와 마찬가지로, 후원자들을 찾아 돕도록 만들 필요가 있다. 이들이 확신을 가지고 역할을 할 수 있도록 교육을 하고, 준비시켜야 한다. 현업 부문 리더들이 좋은 후원자가 될 수 있다. 그러나 더빈은 이를 확대할 수도 있다고 말했다. 그는 정보 보안 팀원들을 비즈니스 부서로 분산시켰던 한 은행을 예로 들어 설명했다. 더빈은 "현업 부문과 더 많은 대화가 이뤄졌다는 장점이 있었다. 이들은 정보 보안 관점에서 사용자가 지속적인 업무를 어떻게 처리하는지 확인했다. 이를 통해 직접적으로 관련이 있는 정보 보안에 대한 정보를 제공할 수 있었다"라고 말했다.
정보 보안에 함께 책임지도록 만든다 마지막으로 사람들이 자신의 정보 보안 행동에 책임을 지도록 만들 필요가 있다. 좋은 행동은 보상하고, 수용할 수 없는 행동은 건설적으로 해결을 해야 한다는 의미이다. 더빈은 "일관성이 중요하다. '무지'를 없애려 노력해야 한다. 어떤 행동이 좋은 정보 보안 행동인지 전달을 하는 것이 중요하다. 실수가 아닌 고의로 규칙을 위반하면 결과가 뒤따라야 하며, HR 정책에 반영되면 좋다. 물론 누군가 정직한 실수를 저질렀다면 감안해야 할 것이다. 무엇보다도 조직 전체적으로 이를 이해하는 긍정적인 환경을 조성해야 한다"라고 말했다.
