평상시 보안 훈련을 하는 조직들이 늘어나고 있다. 하지만 아직 보안 훈련이라는 개념이 정확히 정착하지 않아서인지 실수들이 눈에 띈다. 가장 흔한 실수들을 알아두고, 이것만 피하려 해도 더 큰 효과를 누릴 수 있다.
[보안뉴스 문정후 기자] 보안 사고가 터졌다고 가정하고 실시하는 보안 훈련들이 있다. 가상의 상황을 설정하고, 그에 맞게 조직 구성원들이 각자의 역할을 담당하는 것을 연습한다. 하지만 대부분 ‘논의’를 위주로 하며, 실제 환경에 멀웨어를 심는 등 기술적인 부분에서까지 시뮬레이션을 하는 사례는 그리 많지 않다. 사실 토론만 하는 게 거의 전부인 게 거의 모든 조직들에서 실시하는 보안 훈련의 모습이다. 큰 연습이 되지 않는다고 봐도 무방하다.
[이미지 = gettyimagesbank]
토론을 기반으로 한 훈련의 장점은 ‘쉽다’는 것이다. 파워포인트 자료를 보면서 다들 각자의 생각을 이야기 하고, 주어진 역할을 메모하면 된다. 단점은 교육이나 훈련의 효과가 그리 크지 않다는 것이다. 시간을 쏟는 것에 비해 얻어가는 것이 그리 많지 않다. 즉 효율적이기 힘들다는 것이다. 아예 쓸모 없는 유형의 훈련 방식은 아니지만 주의해야 할 것이 많다. 그 중 6가지를 요약하자면 다음과 같다.
흔히 저지르는 6가지 실수
1) 강의 형태로 진행한다 : 보안의 기술적인 부분에 있어 전문가 한두 사람 초빙해 강연하는 식으로 대부분의 보안 훈련 코스는 진행된다. 대상은 보통 스무 명이 넘어간다. 그러다 보니 보안 ‘훈련’이 아니라 ‘강좌’가 된다. 자주 하지 않으니 한 번에 길게 하는 경우도 상당히 많다. 강의가 아주 재미있지 않은 이상 기술적인 내용을 가지고 수시간 씩 일방적으로 이야기하는 걸 들으며 집중력을 유지하기란 쉽지 않다. 그러므로 훈련의 효율이 떨어진다.
한쪽에서 일방적으로 이야기하는 방식이 아니라 서로가 특정 주제를 가지고 토론을 하는 것이 효과라는 측면에서는 훨씬 낫다. 토론을 통해 사건 대응에 대한 몇 가지 아이디어를 도출하고, 그 아이디어 중 가장 나은 것을 논의를 통해 결정하는 방식이라면(물론 전문가의 중재가 있어야 한다) 강의 형식보다 사람들의 뇌리에 강하게 박힌다.
2) 훈련 참가자를 고려하지 않는다 : 보안 교육과 훈련이라는 것이 기계적으로 진행되다 보면 훈련 받는 사람들도 매번 똑같이 구성하기 일쑤다. 오늘은 A팀, 내일은 B팀, 모레는 C팀... 이런 식으로 별 생각없이 차례를 만들어 돌리는 식이다. 그러니 같은 사람들끼리 주기적으로 같은 훈련을 받게 되는데, 당연히 활력이 생길 수가 없다. 여러 팀에서 서로 다른 유형의 사람들을 섞어 훈련조로 구성하는 게 낫다. 그러다 보면 서로 다른 시각이 공유되기도 해 예상치 못한 효과마저 얻을 수 있게 된다.
예를 들어 랜섬웨어 사건과 관련된 시나리오를 두고 서로 다른 팀이 훈련한다고 했을 때, 인사팀으로만 훈련 참가자를 구성하면 인사팀의 시각으로만 대응 방법을 논할 수밖에 없게 된다. IT 팀과 마케팅 팀, 심지어 임원진에서도 일부 자리를 같이 한다면 어떻게 될까? IT 팀이 바라보는 랜섬웨어가 무엇인지, 마케팅 팀에서는 어떤 대응이 가장 적절한지, 임원진으로서 해야 할 일이 무엇인지 등이 자연스럽게 공유된다. 그러면서 각 훈련 참가자의 시야도 넓어진다.
3) 훈련 내용이 매번 그리 달라지지 않는다 : 요 몇 년 동안 사이버 보안 업계를 뒤흔들고 있는 건 단연 랜섬웨어다. 그러다 보니 거의 모든 조직들이 랜섬웨어에 집중하여 보안 훈련을 실시한다. 그나마 다른 주제가 있다면 피싱 공격 정도다. 물론 랜섬웨어가 매번 변하고, 공격의 전술도 바뀌다보니 매번 똑같은 내용이 다뤄지는 건 아니다. 하지만 훈련에 참가하는 비전문가 입장에서는 지난 달도 랜섬웨어, 이번 달도 랜섬웨어, 다음 달도 랜섬웨어인 상황일 뿐이다. 흥미가 유발되지 않으며, 따라서 머릿속에 입력되는 내용이 계속해서 희박해진다.
4) 매번 세상의 종말이 올 것만 같은 시나리오를 훈련 주제로 삼는다 : 사이버 공격이 발생하고, 보안 사고가 일어나는 건 기업 입장에서 매우 큰 일로 느껴지는 게 당연하다. 어떻게 해서든 피하고 싶은 것도 당연하다. 그러니 훈련의 내용을 매우 엄중하게 가져간다. 회사가 망하고 문을 닫게 되는 시나리오들을 들고 나와 훈련 참가자(즉 직원들)를 바짝 긴장하게 만든다. 하지만 이렇게 ‘협박조’로 훈련 코스를 구성할 경우 현실적이지 않게 느껴질 수 있고, 따라서 강의 내용이 한 귀로 들어갔다 바로 다른 귀로 나오게 된다. 가상의 시나리오를 짤 때는 현실을 바탕으로 해야 한다. 아무도 소설을 실제 있는 일로 받아들이지 않는다.
5) 훈련장과 현실이 너무나 동떨어져 있다 : 훈련 코스마다 강조하고 싶은 포인트가 하나씩 있을 것이다. 훈련을 마무리 하면서 참가자들이 꼭 배웠으면 하는 것들이 있는데, 이것이 그 훈련장 안에서만 목소리 크게 외쳐지지, 훈련 장 밖에서는 메아리로 끝나는 경우가 많다. 훈련을 통해 배운 보안의 실천 항목들은 현실에 접목되지 않으면 아무런 소용이 없다. 게다가 금방 잊힌다. 훈련을 기획하고 진행하는 사람이라면 반드시 훈련이 끝난 후의 일까지도 계산 속에 넣어야 한다.
훈련 시간에 배우고 익힌 것들은 현실에서 보다 구체화 되고, 굳건해지며, 따라서 각자의 마음 속에 뿌리를 내리기 시작한다. 현실을 고려하지 않은 교육과 훈련 코스는 강연을 하는 자나 받는 자 모두에게 ‘시간 때우기’ 이상의 의미를 갖지 못한다.
6) 훈련을 통해 너무 많은 것을 이루려 한다 : 보안 훈련을 실시하는 수많은 기업들의 임원들이나 중간 관리자들이 자주 저지르는 실수는, 훈련 한 번으로 많은 문제를 해결하려 한다는 것이다. 업무를 봐야 할 사람들이 자리를 비우고 훈련을 받는 것이니 관리자 입장에서 보상심리가 발동될 수밖에 없는 건 충분히 이해할 수 있다. 하지만 교육과 훈련 몇 번 받은 것으로 참가자가 갑자기 보안 전문가가 되는 것도 아니고, 팀에 있던 모든 보안 문제들이 해결되는 것도 아니다. 그런 기대를 갖는 것 자체가 팀원들에게는 적잖은 부담이 되고, 이는 학습 효과를 저해한다.
보안과 관련된 좋은 습관은 서서히 쌓이는 것이며, 보안 인식 역시 서서히 바뀌는 것이다. 마치 운동과 같아서 꾸준히 주기적으로 했을 때 수개월 후부터 가시적인 효과를 볼 수 있는 것이지, 하루아침에 큰 향상을 기대하기는 어렵다. 훈련을 지원하는 임직원과 관리자들이 늘 마음 속으로 기억해야 할 것이 바로 이것이다.
글 : 라이언 르네 로사도(Ryan René Rosado), 보안 솔루션 아키텍트, Trace3
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 보안 사고가 터졌다고 가정하고 실시하는 보안 훈련들이 있다. 가상의 상황을 설정하고, 그에 맞게 조직 구성원들이 각자의 역할을 담당하는 것을 연습한다. 하지만 대부분 ‘논의’를 위주로 하며, 실제 환경에 멀웨어를 심는 등 기술적인 부분에서까지 시뮬레이션을 하는 사례는 그리 많지 않다. 사실 토론만 하는 게 거의 전부인 게 거의 모든 조직들에서 실시하는 보안 훈련의 모습이다. 큰 연습이 되지 않는다고 봐도 무방하다.
[이미지 = gettyimagesbank]
토론을 기반으로 한 훈련의 장점은 ‘쉽다’는 것이다. 파워포인트 자료를 보면서 다들 각자의 생각을 이야기 하고, 주어진 역할을 메모하면 된다. 단점은 교육이나 훈련의 효과가 그리 크지 않다는 것이다. 시간을 쏟는 것에 비해 얻어가는 것이 그리 많지 않다. 즉 효율적이기 힘들다는 것이다. 아예 쓸모 없는 유형의 훈련 방식은 아니지만 주의해야 할 것이 많다. 그 중 6가지를 요약하자면 다음과 같다.
흔히 저지르는 6가지 실수
1) 강의 형태로 진행한다 : 보안의 기술적인 부분에 있어 전문가 한두 사람 초빙해 강연하는 식으로 대부분의 보안 훈련 코스는 진행된다. 대상은 보통 스무 명이 넘어간다. 그러다 보니 보안 ‘훈련’이 아니라 ‘강좌’가 된다. 자주 하지 않으니 한 번에 길게 하는 경우도 상당히 많다. 강의가 아주 재미있지 않은 이상 기술적인 내용을 가지고 수시간 씩 일방적으로 이야기하는 걸 들으며 집중력을 유지하기란 쉽지 않다. 그러므로 훈련의 효율이 떨어진다.
한쪽에서 일방적으로 이야기하는 방식이 아니라 서로가 특정 주제를 가지고 토론을 하는 것이 효과라는 측면에서는 훨씬 낫다. 토론을 통해 사건 대응에 대한 몇 가지 아이디어를 도출하고, 그 아이디어 중 가장 나은 것을 논의를 통해 결정하는 방식이라면(물론 전문가의 중재가 있어야 한다) 강의 형식보다 사람들의 뇌리에 강하게 박힌다.
2) 훈련 참가자를 고려하지 않는다 : 보안 교육과 훈련이라는 것이 기계적으로 진행되다 보면 훈련 받는 사람들도 매번 똑같이 구성하기 일쑤다. 오늘은 A팀, 내일은 B팀, 모레는 C팀... 이런 식으로 별 생각없이 차례를 만들어 돌리는 식이다. 그러니 같은 사람들끼리 주기적으로 같은 훈련을 받게 되는데, 당연히 활력이 생길 수가 없다. 여러 팀에서 서로 다른 유형의 사람들을 섞어 훈련조로 구성하는 게 낫다. 그러다 보면 서로 다른 시각이 공유되기도 해 예상치 못한 효과마저 얻을 수 있게 된다.
예를 들어 랜섬웨어 사건과 관련된 시나리오를 두고 서로 다른 팀이 훈련한다고 했을 때, 인사팀으로만 훈련 참가자를 구성하면 인사팀의 시각으로만 대응 방법을 논할 수밖에 없게 된다. IT 팀과 마케팅 팀, 심지어 임원진에서도 일부 자리를 같이 한다면 어떻게 될까? IT 팀이 바라보는 랜섬웨어가 무엇인지, 마케팅 팀에서는 어떤 대응이 가장 적절한지, 임원진으로서 해야 할 일이 무엇인지 등이 자연스럽게 공유된다. 그러면서 각 훈련 참가자의 시야도 넓어진다.
3) 훈련 내용이 매번 그리 달라지지 않는다 : 요 몇 년 동안 사이버 보안 업계를 뒤흔들고 있는 건 단연 랜섬웨어다. 그러다 보니 거의 모든 조직들이 랜섬웨어에 집중하여 보안 훈련을 실시한다. 그나마 다른 주제가 있다면 피싱 공격 정도다. 물론 랜섬웨어가 매번 변하고, 공격의 전술도 바뀌다보니 매번 똑같은 내용이 다뤄지는 건 아니다. 하지만 훈련에 참가하는 비전문가 입장에서는 지난 달도 랜섬웨어, 이번 달도 랜섬웨어, 다음 달도 랜섬웨어인 상황일 뿐이다. 흥미가 유발되지 않으며, 따라서 머릿속에 입력되는 내용이 계속해서 희박해진다.
4) 매번 세상의 종말이 올 것만 같은 시나리오를 훈련 주제로 삼는다 : 사이버 공격이 발생하고, 보안 사고가 일어나는 건 기업 입장에서 매우 큰 일로 느껴지는 게 당연하다. 어떻게 해서든 피하고 싶은 것도 당연하다. 그러니 훈련의 내용을 매우 엄중하게 가져간다. 회사가 망하고 문을 닫게 되는 시나리오들을 들고 나와 훈련 참가자(즉 직원들)를 바짝 긴장하게 만든다. 하지만 이렇게 ‘협박조’로 훈련 코스를 구성할 경우 현실적이지 않게 느껴질 수 있고, 따라서 강의 내용이 한 귀로 들어갔다 바로 다른 귀로 나오게 된다. 가상의 시나리오를 짤 때는 현실을 바탕으로 해야 한다. 아무도 소설을 실제 있는 일로 받아들이지 않는다.
5) 훈련장과 현실이 너무나 동떨어져 있다 : 훈련 코스마다 강조하고 싶은 포인트가 하나씩 있을 것이다. 훈련을 마무리 하면서 참가자들이 꼭 배웠으면 하는 것들이 있는데, 이것이 그 훈련장 안에서만 목소리 크게 외쳐지지, 훈련 장 밖에서는 메아리로 끝나는 경우가 많다. 훈련을 통해 배운 보안의 실천 항목들은 현실에 접목되지 않으면 아무런 소용이 없다. 게다가 금방 잊힌다. 훈련을 기획하고 진행하는 사람이라면 반드시 훈련이 끝난 후의 일까지도 계산 속에 넣어야 한다.
훈련 시간에 배우고 익힌 것들은 현실에서 보다 구체화 되고, 굳건해지며, 따라서 각자의 마음 속에 뿌리를 내리기 시작한다. 현실을 고려하지 않은 교육과 훈련 코스는 강연을 하는 자나 받는 자 모두에게 ‘시간 때우기’ 이상의 의미를 갖지 못한다.
6) 훈련을 통해 너무 많은 것을 이루려 한다 : 보안 훈련을 실시하는 수많은 기업들의 임원들이나 중간 관리자들이 자주 저지르는 실수는, 훈련 한 번으로 많은 문제를 해결하려 한다는 것이다. 업무를 봐야 할 사람들이 자리를 비우고 훈련을 받는 것이니 관리자 입장에서 보상심리가 발동될 수밖에 없는 건 충분히 이해할 수 있다. 하지만 교육과 훈련 몇 번 받은 것으로 참가자가 갑자기 보안 전문가가 되는 것도 아니고, 팀에 있던 모든 보안 문제들이 해결되는 것도 아니다. 그런 기대를 갖는 것 자체가 팀원들에게는 적잖은 부담이 되고, 이는 학습 효과를 저해한다.
보안과 관련된 좋은 습관은 서서히 쌓이는 것이며, 보안 인식 역시 서서히 바뀌는 것이다. 마치 운동과 같아서 꾸준히 주기적으로 했을 때 수개월 후부터 가시적인 효과를 볼 수 있는 것이지, 하루아침에 큰 향상을 기대하기는 어렵다. 훈련을 지원하는 임직원과 관리자들이 늘 마음 속으로 기억해야 할 것이 바로 이것이다.
글 : 라이언 르네 로사도(Ryan René Rosado), 보안 솔루션 아키텍트, Trace3
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
