인식, 추상적인 표현이라 교육 효과 높지 않을 수도 있다
집중과 선택으로 짧고 간결한 교육...장기적인 목표 두어야
[보안뉴스 문가용 기자] 언젠가 보안 교육에 대한 주제로 컨퍼런스가 열렸을 때, 동영상 클립을 다 같이 본 적이 있다. 그 영상에는 한 일반직원의 인터뷰가 들어있었다. 개인적으로 이 부분에서 굉장히 인상 깊었던 건 정보보안에 관한 내용을 다루고 있는 영상임에도 인터뷰 대상자 뒤 컴퓨터 모니터에 붙어있던 포스트잇에 사용자 이름과 암호가 선명하게 보였다는 것이다. 마치 영상 관람하는 모든 사람이 볼 수 있게끔 의도한 것처럼 말이다.
.jpg)
그 인터뷰이는 물론 영상을 만든 PD나 인터뷰를 진행한 사람, 혹은 당시의 카메라맨을 폄훼하고자 이 해프닝을 언급하는 건 아니다. 그저 보안이라는 게 얼마나 쉽게 간과되는지를 표현하고 싶었다. 보안에 대한 인식제고를 많이들 주장하는데, 과연 보안인식이란 무엇인가? 개인적으로는 사람의 행동이라고 생각한다. 보안에 대한 인식제고를 외치는 것보다 보안에 위배되는 행동을 짚고 수정하는 게 더 좋은 효과를 내리라고 생각한다. 그래서 몇 가지 보안 교육에 대한 팁을 준비했다.
1. 한 가지에 집중해야 한다
보안인식이라는 게 사람의 행동이라는 데에 동의한다 해도, 바꾼다는 관점에서 쉽지 않기는 마찬가지다. 행동을 쉽게 바꾸는 사람이 어디 있는가. 하지만 교육이라고 해서 행동을 바꾸는 게 반드시 그 목표가 되라는 법은 없다. 바꾸기를 포기하면 된다. 그걸 포기하지 않으니 교육을 하는 사람이나 받는 사람 모두가 ‘너무 어렵다’고만 느끼는 것이다.
여기서 ‘너무 어렵다’란 여러 가지 의미를 가지고 있다. 보통은 너무 길다, 너무 많다, 너무 자주 한다, 너무 지겹다 중 하나나 둘, 혹은 전부에 해당한다. 교육을 준비하는 주최측은 이걸 알아야 한다. 너무 길고 많이 지겹게 자주 하면 어떤 일이 벌어지는가? 교육 내용을 하나도 기억하지 않는다. 그냥 그 자리에서 빠져나가는 게 보통이다.
위에서 ‘바꾸는 것을 포기하라’고 했지만, 사실 그 말은 ‘지금 당장’ 바꾸는 것을 포기하라는 것이다. 분명 변화를 주는 것이 모든 교육의 궁극적인 목표라는 건 부정할 수 없다. 다만 한 번의 교육으로 모든 것을 바꿀 수 있다는 환상을 버리라는 것이다. 교육은 장기 사업이다. 한 번에 짧고 간결하고 재미있게 가야 한다. 한 번 교육할 때 한 가지 메시지만 전달하면 된다. 너무 어렵게 만들지 말라. 그렇잖아도 할 일 많은 게 우리네 일반 직원들이다. 우리에겐 늘 ‘다음 시간’이 있다.
2. 진짜 중요한 건 딱 세 가지다
교육을 준비하는 사람은 해당 조직의 일반직원들에게 가장 필요한 것을 세 가지로 정리해 그것에만 집중해야 한다. 특히 정보보안에 있어 사람들이 흔히 저지르는 실수들 중 세 가지를 뽑는 게 좋다. 가장 많이들 저지르는 실수가 ‘인간적인 실수 모두를 없애’는 걸 목표로 삼는 것이다. 인간이 인간적인 실수를 전혀 저지르지 않는다면, 그게 인간인가. 실수를 하라고 권장하라는 건 아니지만, 실수 중에도 우선순위가 있다. 그 중 꼭대기 세 개만 교육 목표로 삼으라는 것이다.
보안 교육 강사로 적잖은 세월을 보낸 필자는 가장 주요한 세 가지 ‘인간적인 실수로 인한 보안 사고’를 다음과 같이 꼽고 있다. 조직마다 우선순위가 높은 실수 유형이 달라질 텐데, 그래도 참고가 될 수도 있을 것 같아 적어 본다.
(1) 피싱 : 피싱 공격을 보안인식 및 행동이라는 관점으로 접근하려면 1) 어떤 힌트를 찾아 피싱 메일임을 파악하고 2) 파악한 후에 어떤 식으로 행동해야 하는지를 알려주는 것에 그친다. 실제로 많은 업체들이 보안 교육을 할 때 피싱에 관한 것부터 시작한다. 그리고 많은 교육 프로그램이 실패로 돌아간다.
그 이유는 메일을 열 때 이러이러한 힌트를 발견하면 피싱 메일이다, 라고 말해주기 때문이다. 보통 그런 힌트를 매일을 열 때마다 눈여겨 찾는 사람은 없다. 즉 평소에 메일함을 관리하는 습관과 행동양식부터 교육을 시작해야 하는 것이다. 보안은 생각보다 ‘특수한 상황’에 관한 것이 아니라 우리의 일상적인 행동에 뿌리 내리고 있다.
(2) 암호 : 암호와 관련된 교육의 핵심 역시 ‘평소 관리 방법’이다. 평소에 암호를 누군가와 공유하는지, 암호를 회원가입 할 때마다 다른 것으로 사용하는지, 문장을 사용하는지, 특수 문자를 사용하는지 등 암호를 둘러 싼 평소 행위를 점검하는 것부터 시작해야 한다. 가장 간단한 해결책은 이런 평소 행동들을 하나하나 수정하려 드는 게 아니다. 그냥 2중 인증 시스템을 도입하면 된다.
(3) 불가항력적인 실수 : 의외로 많은 보안사고가 악의적인 외부 세력이 아니라 내부자의 실수나 간과로 인해 발생한다. 핸드폰을 택시에 두고 내린다든지, 문서 내 민감한 정보가 기록되어 있는 것도 모르고 자유롭게 공유한다든지, 이메일 주소를 잘못 적어 넣는다든지 등 사례는 끝도 없다. 이 부분은 사실 교육을 커버가 다 되지 않는다. 아니면 보안 교육을 전문으로 한다는 나도 아직 발견을 못했거나. 이 부분은 더 연구해봐야 하는데, 보안 커뮤니티 전체의 힘이 필요하다. 어쩌면 이 기고글을 쓰는 가장 중요한 이유일 수도 있다.
글 : 랜스 스피츠너(Lance Spitzner)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
집중과 선택으로 짧고 간결한 교육...장기적인 목표 두어야
[보안뉴스 문가용 기자] 언젠가 보안 교육에 대한 주제로 컨퍼런스가 열렸을 때, 동영상 클립을 다 같이 본 적이 있다. 그 영상에는 한 일반직원의 인터뷰가 들어있었다. 개인적으로 이 부분에서 굉장히 인상 깊었던 건 정보보안에 관한 내용을 다루고 있는 영상임에도 인터뷰 대상자 뒤 컴퓨터 모니터에 붙어있던 포스트잇에 사용자 이름과 암호가 선명하게 보였다는 것이다. 마치 영상 관람하는 모든 사람이 볼 수 있게끔 의도한 것처럼 말이다.
그 인터뷰이는 물론 영상을 만든 PD나 인터뷰를 진행한 사람, 혹은 당시의 카메라맨을 폄훼하고자 이 해프닝을 언급하는 건 아니다. 그저 보안이라는 게 얼마나 쉽게 간과되는지를 표현하고 싶었다. 보안에 대한 인식제고를 많이들 주장하는데, 과연 보안인식이란 무엇인가? 개인적으로는 사람의 행동이라고 생각한다. 보안에 대한 인식제고를 외치는 것보다 보안에 위배되는 행동을 짚고 수정하는 게 더 좋은 효과를 내리라고 생각한다. 그래서 몇 가지 보안 교육에 대한 팁을 준비했다.
1. 한 가지에 집중해야 한다
보안인식이라는 게 사람의 행동이라는 데에 동의한다 해도, 바꾼다는 관점에서 쉽지 않기는 마찬가지다. 행동을 쉽게 바꾸는 사람이 어디 있는가. 하지만 교육이라고 해서 행동을 바꾸는 게 반드시 그 목표가 되라는 법은 없다. 바꾸기를 포기하면 된다. 그걸 포기하지 않으니 교육을 하는 사람이나 받는 사람 모두가 ‘너무 어렵다’고만 느끼는 것이다.
여기서 ‘너무 어렵다’란 여러 가지 의미를 가지고 있다. 보통은 너무 길다, 너무 많다, 너무 자주 한다, 너무 지겹다 중 하나나 둘, 혹은 전부에 해당한다. 교육을 준비하는 주최측은 이걸 알아야 한다. 너무 길고 많이 지겹게 자주 하면 어떤 일이 벌어지는가? 교육 내용을 하나도 기억하지 않는다. 그냥 그 자리에서 빠져나가는 게 보통이다.
위에서 ‘바꾸는 것을 포기하라’고 했지만, 사실 그 말은 ‘지금 당장’ 바꾸는 것을 포기하라는 것이다. 분명 변화를 주는 것이 모든 교육의 궁극적인 목표라는 건 부정할 수 없다. 다만 한 번의 교육으로 모든 것을 바꿀 수 있다는 환상을 버리라는 것이다. 교육은 장기 사업이다. 한 번에 짧고 간결하고 재미있게 가야 한다. 한 번 교육할 때 한 가지 메시지만 전달하면 된다. 너무 어렵게 만들지 말라. 그렇잖아도 할 일 많은 게 우리네 일반 직원들이다. 우리에겐 늘 ‘다음 시간’이 있다.
2. 진짜 중요한 건 딱 세 가지다
교육을 준비하는 사람은 해당 조직의 일반직원들에게 가장 필요한 것을 세 가지로 정리해 그것에만 집중해야 한다. 특히 정보보안에 있어 사람들이 흔히 저지르는 실수들 중 세 가지를 뽑는 게 좋다. 가장 많이들 저지르는 실수가 ‘인간적인 실수 모두를 없애’는 걸 목표로 삼는 것이다. 인간이 인간적인 실수를 전혀 저지르지 않는다면, 그게 인간인가. 실수를 하라고 권장하라는 건 아니지만, 실수 중에도 우선순위가 있다. 그 중 꼭대기 세 개만 교육 목표로 삼으라는 것이다.
보안 교육 강사로 적잖은 세월을 보낸 필자는 가장 주요한 세 가지 ‘인간적인 실수로 인한 보안 사고’를 다음과 같이 꼽고 있다. 조직마다 우선순위가 높은 실수 유형이 달라질 텐데, 그래도 참고가 될 수도 있을 것 같아 적어 본다.
(1) 피싱 : 피싱 공격을 보안인식 및 행동이라는 관점으로 접근하려면 1) 어떤 힌트를 찾아 피싱 메일임을 파악하고 2) 파악한 후에 어떤 식으로 행동해야 하는지를 알려주는 것에 그친다. 실제로 많은 업체들이 보안 교육을 할 때 피싱에 관한 것부터 시작한다. 그리고 많은 교육 프로그램이 실패로 돌아간다.
그 이유는 메일을 열 때 이러이러한 힌트를 발견하면 피싱 메일이다, 라고 말해주기 때문이다. 보통 그런 힌트를 매일을 열 때마다 눈여겨 찾는 사람은 없다. 즉 평소에 메일함을 관리하는 습관과 행동양식부터 교육을 시작해야 하는 것이다. 보안은 생각보다 ‘특수한 상황’에 관한 것이 아니라 우리의 일상적인 행동에 뿌리 내리고 있다.
(2) 암호 : 암호와 관련된 교육의 핵심 역시 ‘평소 관리 방법’이다. 평소에 암호를 누군가와 공유하는지, 암호를 회원가입 할 때마다 다른 것으로 사용하는지, 문장을 사용하는지, 특수 문자를 사용하는지 등 암호를 둘러 싼 평소 행위를 점검하는 것부터 시작해야 한다. 가장 간단한 해결책은 이런 평소 행동들을 하나하나 수정하려 드는 게 아니다. 그냥 2중 인증 시스템을 도입하면 된다.
(3) 불가항력적인 실수 : 의외로 많은 보안사고가 악의적인 외부 세력이 아니라 내부자의 실수나 간과로 인해 발생한다. 핸드폰을 택시에 두고 내린다든지, 문서 내 민감한 정보가 기록되어 있는 것도 모르고 자유롭게 공유한다든지, 이메일 주소를 잘못 적어 넣는다든지 등 사례는 끝도 없다. 이 부분은 사실 교육을 커버가 다 되지 않는다. 아니면 보안 교육을 전문으로 한다는 나도 아직 발견을 못했거나. 이 부분은 더 연구해봐야 하는데, 보안 커뮤니티 전체의 힘이 필요하다. 어쩌면 이 기고글을 쓰는 가장 중요한 이유일 수도 있다.
글 : 랜스 스피츠너(Lance Spitzner)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
