“업무용과 개인용 이메일 구분하는 사람 찾기 힘들어”
[보안뉴스 주소형] 보안에 대한 기본적인 개념조차 없는 직원들이 넘쳐나고 있다. 이로 인해 보안전문가들의 업무가 계속 가중되고 있지만 크게 개선되지 않는 요인은 보안의식을 일일이 설명하거나 사용자를 모니터링 하는 일이 결코 만만찮은 일이기 때문이다. 미국컴퓨팅기술산업협회인 CompTIA가 이에 대한 보고서를 발표했다.
▲ “보안솔루션들 모두 설치했으니 제 PC는 안전해요!”
사실 내부자 위협이나 직원들의 무지한 보안의식은 더 이상 새로운 이슈가 아니다. 하지만 이렇게 주기적인 상황 파악과 통계로 인한 구체적인 수치 제시는 기업들에게 또 다른 압박으로 작용할 수 있다.
CompTIA는 해당 보고서 작성을 위해 한 가지 실험을 진행했다. 사람들이 붐비는 공간에 브랜드명이 새겨져 있지 않은 200개의 USB를 배치하고 사람들의 행동패턴을 관찰했다. USB는 꽂는 순간, 연구팀으로 연락을 달라는 팝업이 뜨게 되어 있었다. 그 결과, USB를 발견한 17%가 이를 주워서 PC에 꽂고 내용을 살펴본 뒤, 연구팀에 연락을 해왔다. 하지만 USB를 주워서 연구팀에 연락해오지 않은 사람들은 훨씬 많았다. 따라서 사람들은 낯선 USB에 대한 특별히 거부반응을 보이지 않는다는 것이다.
또 한 가지 흥미로운 점은 연령대별로 이를 대하는 자세가 달랐다는 것. 조사 대상자 1,200명 가운데 소위 Y세대로 불리는 집단의 무려 40%가 임의의 USB를 주운 반면 그 윗세대인 베이비붐(baby boomer) 세대의 경우 9%만이 USB를 집어 상대적으로 보안성이 높은 것으로 나타났다.
보고서에 따르면 자발적으로 이중인증을 사용하고 있는 응답자는 절반도 채 되지 않았다. 같은 맥락에서 현재 적어도 10개 이상의 계정을 갖고 있는 응답자 49% 가운데 각기 다른 아이디와 비밀번호를 갖고 있다고 답한 비중은 34%로 집계됐다. 또한 업무용과 개인용에 대한 구분도 명확하지 않은 것으로 드러났다. 응답자 가운데 36%는 업무용 이메일을 개인계정으로 사용하고 있으며, 개인 계정에 업무 비밀번호를 사용하고 있는 비중은 38%로 나타났기 때문이다.
해킹이나 바이러스와 같은 보안사고에 대해서도 안이한 행동을 보이고 있었다. 기밀문서를 관리하는 기기와 계정 변경을 실질적으로 실행에 옮긴다고 한 이는 33%에 불과했다.
이번 보고서를 작성한 미국컴퓨팅기술산업협회는 ‘사이버보안’이라는 이슈가 점점 세상에 부각되고 있지만, 직원들의 실천력이 현저히 낮은 수준이라고 지적했다.
“현실과 이상의 괴리가 있다는 결론이다. 대부분의 직원들은 안티바리어스 소프트웨어와 방화벽 등과 같은 보안 솔루션을 설치하면 자신들이 사용하는 기기가 안전할 것이라는 대단한 착각을 하고 있다. 심지어 공격이 들어온다 하더라도 다양한 기술로 인해 보호받을 것으로 생각하고 있었다.”
한편 현재 거의 절반 가까이가 이러한 보안의식 고취를 위한 가장 기본적인 사이버보안 교육조차 전혀 하지 않고 있다고 답했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>