게이미피케이션, 보안 교육 분야로 슬금슬금 넘어오다

2019-12-02 20:57
  • 카카오톡
  • url
약간의 단 맛 추가로 피교육자들의 참여도 높일 수 있어
나이에 상관없이 나타나는 효과…한 번에 길게 끌면 교육 효과 반감돼


[보안뉴스 문가용 기자] 1964년 세계는 설탕 한 스푼이 약의 복용을 얼마나 쉽게 만드는지 알아냈다. 그러면서 이런 ‘게이미피케이션’의 장점들이 지금까지도 끊임없이 연구되고, 또 강조되어 오고 있다. 사이버 보안 업계도 임직원의 교육 문제에 이 개념을 적용하고 있는 분위기다.


[이미지 = iclickart]

게이미피케이션(gamification)이라는 단어를 저명한 메리엄-웹스터 사전에서 찾아보면, “게임이나 게임과 같은 요소를 임무나 할 일 등에 추가함으로써 참여를 북돋는 과정”이라고 나와 있다. 교육을 통해 보안 취약점이나 다름없는 이들을 보안 자산으로 뒤바꿔놓아야 하는 담당자라면 게이미피케이션처럼 고마운 전략도 없을 것이다.

휴렛 패커드 엔터프라이즈(HPE)의 사이버 보안 인지 훈련 책임자인 로렐 체스키(Laurel Chesky)는 “게이미피케이션을 활용했을 때 참가자들의 적극성과 참여도가 높아진다는 연구 결과는 꽤나 많다”며 “HPE 역시 사이버 보안 관련 교육 프로그램을 만들 때 게이미피케이션 요소를 적극 활용하고 있으며, 실제 결과도 좋은 편”이라고 설명한다.

“HPE의 모든 직원들은 필수로 기본 사이버 보안 훈련을 받아야 합니다. 그 후에도 원하는 사람들에게 더 심도 깊은 보안 교육을 제공합니다. 만약 저희의 훈련 프로그램이 아무리 유익하다 하더라도 재미가 없다면, ‘원하는 사람들’이 있을까요? 각 부서의 상사들을 압박하면 쉽게 재훈련자들을 모집할 수 있겠지만, 그렇게 해서 무슨 소용이 있겠습니까? 저희는 직원들이 스스로 저희를 찾아오도록 하고 있어요. 그게 저희의 목표고, 그런 목표를 가진 우리로서는 게이미피케이션이 절대적이죠.”

재미 요소, 어떻게 지속시켜야 하는가?
그런데 교육을 재미있게 만든다는 게 말처럼 쉬운 건 아니다. 보안 업체 루시 시큐리티(Lucy Security)의 CEO인 콜린 바스터블(Colin Bastable)은 “게이미피케이션의 효과는 뛰어나지만, 구현해내는 건 대단히 어렵다”고 말한다. “중요한 건 반복해서는 안 된다는 겁니다. 세상 모든 것이 다 그렇지만 아무리 재미있는 것이라도 반복되면 지겨워집니다. 교육 프로그램의 양념을 자꾸만 바꿔서 다른 맛을 내야 합니다.”

체스키도 여기에 동의한다. “HPE 내에서도 제일 먼저는 DIY 유형의 게이미피케이션으로 시작했습니다. 즉, 저희가 직접 제작한 웹 기반 미니 게임을 활용했다는 겁니다. 아주 간단한 게임이었어요. 스무고개를 하듯이 여러 가지 퀴즈를 내면, 사용자가 맞추면서 상금을 늘려가는 구조였죠. 물론 못 맞추면 누적 상금이 전부 날아가는 요소도 첨가해 재미를 더했고요. 간단한 게임이었고, 따라서 내부에서 충분히 제작할 수 있었습니다.”

HPE의 사이버 보안 훈련 책임자인 조안 오코너(Joanne O’Connor)는 “피시인가 아닌가(Phish or No Phish)”라는 게임을 교육용으로 만들었다. 그리고 이를 협업 플랫폼에 올려두었다. “직원들이 협업을 위해 접속하는 플랫폼에 이미지를 올려놓고, 이것이 피싱 메일인가 아닌가를 묻는 게임이었습니다. 맞춘 사람에게는 게임 포인트를 주고, 이 포인트는 사내에서 여러 가지 상품과 교환할 수 있도록 했습니다.”

바스터블도 “이런 류의 게이미피케이션이 사이버 보안 훈련용으로는 가장 적당하지 않을까”라는 의견이다. “비전문가들을 대상으로 하는 사이버 보안 훈련이라면, 짧은 퀴즈 형식으로 지식을 심어주는 게 낫다고 생각합니다. 길고 긴 장문의 글을 사용하는 건 이 분야에서 만큼은 효과가 적다고 봐요. 피교육자가 빠르게 접속해서, 새로운 뭔가를 하나라도 머리에 담아가도록 하는 게 중요하죠.”

HPE가 사내에서 사용하는 교육용 게임들은 최대 20분 안에 끝나도록 설계되어 있다. 오코너는 “임직원들이 접속할 때 딱 한 가지만 정확하게 이해할 수 있도록 하는 게 우리의 목표입니다. 한 번에 모든 걸 다 가르쳐줄 수도 없고, 배울 수도 없습니다.”

재미의 과학
마이클 세일레라(Michael Sailera), 얀 울리히 헨셉(Jan Ulrich Henseb), 사라 카타리나 마이라(Sarah Katharina Mayra), 헤인즈 만들라(Heinz Mandla)와 같은 학자들은 게이미피케이션이 학습과 훈련에 효과적일 수밖에 없는 것을 과학적으로 증명하려고 애써왔다. 그리고 ‘자기결정 이론’에서 그 이유를 찾아냈다고 발표했다. 자기결정 이론이란 사람이 스스로 뭔가를 결정하는 데에 있어 필요한 세 가지 요소가 있다는 것으로, 이 세 가지는 1) 능력, 2) 자율성, 3) 사회적 연관성이다. 즉 게이미피케이션에서 이 세 가지 요소를 고려하는 게 핵심이라는 것이다.

또한 바스터블은 “게이미피케이션이 젊은 사람들에게만 효과가 있는 전략이라고 많이 오해하고 있다”고 지적하기도 했다. “하지만 현장에서의 경험은 달랐습니다. 젊은 사람에게도 효과가 있고 나이가 드신 분들에게도 같은 효과가 있었습니다. 물론 선호되는 게임의 유형이 조금씩 차이가 나긴 하지만, 게이미피케이션 자체가 나이 많은 사람들에게는 효과가 없다는 건 잘못된 선입견입니다.”

체스키는 “게이미피케이션이 모든 분야에서 주목받기 시작했다”고 말한다. “그렇다는 건 임직원들도 사이버 보안 교육에 있어서 어느 정도의 재미 요소를 기대하고 있다는 뜻도 됩니다. 즉, 재미가 없으면 ‘재미없어’로 끝나는 게 아니라 실망감까지 느낀다는 것이죠. ‘보안이라는 산업 자체가 뒤쳐졌구나’라고 생각해버리게 됩니다. 보안 훈련에서 게이미피케이션 요소는 필수입니다.”

3줄 요약
1. 게이미피케이션, 단 맛을 살짝 가미하는 효과 높은 양념.
2. 나이가 적든 많든, 게이미피케이션의 효과 자체는 동일하게 나타남.
3. 재미있는 보안 교육의 핵심 : 한 번에 하나씩, 다양한 방식으로.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright Mediadot Corp. All Rights Reserved.

MENU

PC버전

닫기