.gif)
1년에 1번 이상의 정기교육, 얼마나 제대로 지켜지고 있나?
임직원들의 흥미를 유발하는 보안교육만이 보안인식 제고 가능해
[보안뉴스 민세아] 전설적인 해커 케빈 미트닉(Kevin Mitnick)은 일찍이 이런 말을 한 적이 있다. “나의 성공은 해킹당한 기업의 내부 보안 관계자들이 수년간 시행되어 왔던 보안방침과 절차를 스스로 위배한 덕분입니다.”
과거부터 공공기관 및 민간기업에서 임직원을 대상으로 한 보안교육의 중요성은 수도 없이 강조되어 왔다. 보안에 있어 최대의 취약점은 사람이라는 말이 있듯, 기업의 정보를 안전하게 보호하기 위해서는 임직원에 대한 보안인식 제고가 가장 중요하기 때문이다.
그러나 보안교육을 아무리 실시해도 보안사고가 발생하는 것을 100% 막을 수는 없는 노릇이다. 정부서울청사 침입 사건만 봐도 그렇다. 정부서울청사 내에 보안 매뉴얼이 구비되어 있었지만 도어록 비밀번호를 문 옆에 적어놓는 등 매뉴얼이 제대로 지켜지지 않는 모습이 여실히 드러났다. 이에 따라 보안인식 제고를 위해 보안교육이 정기적으로 진행되고 있는지, 또 교육 내용이 제대로 실천되고 있는지 확인할 필요가 있다.
업계 관계자에 따르면 보안교육이 제대로 진행되고 있는지 살펴볼 때 가장 중요하게 여기는 몇 가지가 있는데, 그 가운데 첫 번째는 보안교육이 1회 이상 정기적으로 진행되고 있는지 여부다. 일례로 정보통신망법에서도 연 1회 이상 정기적으로 보안교육을 수행해야 한다고 명문화했을 정도다.
본지에서 보안당당자 2,298명을 대상으로 실시한 설문조사에 따르면, 사내 보안교육을 분기에 1번꼴로 진행한다는 답변이 26%로 가장 많았다. 그 다음으로는 반기에 1번꼴로 진행한다는 답변이 22%를 차지했고, 수시로 자주 진행한다는 답변이 19%를 차지했다.
.jpg)
이에 대해 한 정보보호 전문심사원은 “심사 시 90% 이상의 기업이 연 1회 이상이라는 보안 교육 주기를 잘 지키고 있고, 평균적으로 연 2회 이상 실시하고 있었다. 하지만 이것이 심사 때문에 일시적으로 지켜지고 있는 것인지, 평소에도 잘 지켜지고 있는 것인지는 제대로 살펴볼 필요가 있다”고 전했다.
두 번째는 실시된 보안교육에 따라 임직원들이 행동하고 있는지, 즉 규정되어 있는 보안수칙을 제대로 지키고 있는지 그 효과성을 점검해야 하는 부분이다. 특히, 개인정보보호와 관련해서는 개인정보 위·수탁사 등 개인정보를 취급하는 사업자들이 교육대상에서 누락됐을 경우 결함사항이 생길 수 있기 때문에 교육 대상도 철저히 관리해야 한다는 지적이다. 교육을 진행하는 강사의 자격 적합성도 판단할 필요가 있으며, 전체 임직원 중 교육을 이수한 인원의 수가 일정 비율 이상인지도 살펴봐야 한다는 것.
일반적으로 보안교육은 내·외부 강사를 초청해 임직원을 한 자리에 모아놓고 강의처럼 진행되는 경우가 대부분이다. 그러나 이러한 교육 가운데는 유명무실한 교육으로 전락하는 경우도 상당수다. 예를 들면 민방위 훈련처럼 아침조례 시간에 임직원을 한 자리에 모아놓고 사인만 받거나 전혀 보안과 관계없는 내부 직원에게 주입하듯이 보안교육을 진행하는 경우도 있다.
한 정보보호 전문심사원은 “보안교육이 너무 딱딱한 컴플라이언스 측면에만 치우치다 보니 시간 때우기 용에 그쳐 임직원들에게 보안교육이 쓸모없다는 인식이나 되려 반감을 심어줄 수 있다”고 말했다. 이로 인해 시간때우기 식, 보여주기 식의 보안교육보다는 임직원들의 성향이나 특성을 맞춤형 교육이 필요하다는 주장도 제기된다. 그럼 교육대상에게 재밌으면서도 꼭 필요한 교육이라는 인식을 심어주려면 어떻게 해야 할까?
보안교육에 있어 우수한 기업사례로 SK를 꼽을 수 있다. SK는 기업 내부적으로 ‘정보보호 교육의 날’을 지정해 교육을 진행하면서 정보보호와 관련된 표어, 포스터 등을 제출하는 경진대회를 열어 우수자들을 시상하고 있다.
게임 전문 업체인 컴투스에서도 매주 둘째 주 금요일을 ‘컴투스의 정보보호의 날’로 지정해 자체적으로 운영하고 있다. 주요 보안수칙 등을 담은 포스터를 사내 곳곳에 부착해 정보보호 인식을 제고하는데 힘쓰고 있다.
롯데카드의 경우도 롯데카드 모집인 1,200~13,00여명을 비롯한 콜센터 상담사 등 총 6,000여명을 대상으로 보안교육을 진행하고 있다. 롯데카드 내부 직원들 대상으로는 PC를 켰을 때 보안퀴즈 팝업창을 띄우도록 했다. 해당 보안퀴즈는 현재 프로그램 개발업체에서도 활용하고 있는 것으로 알려졌다.
이외에도 정보보호 인식제고를 위한 애니메이션·동영상 등을 제작해 임직원에게 배포하는 경우를 예로 들 수 있다.
이렇듯 몇몇 기업에서는 임직원의 흥미를 유발하는 방식으로 보안교육을 진행하면서 교육대상자들에게 긍정적인 반응을 얻고 있다. 이러한 보안교육은 정보보호라는 개념에 좀 더 친근하게 다가갈 수 있기 때문에 보안에 대한 긍정적인 인식을 심어주고 머릿속에 오랫동안 기억될 수 있다.
이에 대해 한 정보보호 전문심사원은 “보안교육에 대한 접근방식을 차별화하지 않으면 임직원들의 마인드는 변화하지 않는다. 보안의 가장 취약한 부분은 사람이라는 말이 있고, 사람의 인식 변화 없이는 혁신이 일어날 수 없기 때문이다. 보안교육에 안일한 기업은 보안사고에 노출되고 피해를 입을 수밖에 없다. 결국 가장 최고의 솔루션은 보안교육”이라고 말했다.
[민세아 기자(boan5@boannews.com)]
임직원들의 흥미를 유발하는 보안교육만이 보안인식 제고 가능해
[보안뉴스 민세아] 전설적인 해커 케빈 미트닉(Kevin Mitnick)은 일찍이 이런 말을 한 적이 있다. “나의 성공은 해킹당한 기업의 내부 보안 관계자들이 수년간 시행되어 왔던 보안방침과 절차를 스스로 위배한 덕분입니다.”
과거부터 공공기관 및 민간기업에서 임직원을 대상으로 한 보안교육의 중요성은 수도 없이 강조되어 왔다. 보안에 있어 최대의 취약점은 사람이라는 말이 있듯, 기업의 정보를 안전하게 보호하기 위해서는 임직원에 대한 보안인식 제고가 가장 중요하기 때문이다.
그러나 보안교육을 아무리 실시해도 보안사고가 발생하는 것을 100% 막을 수는 없는 노릇이다. 정부서울청사 침입 사건만 봐도 그렇다. 정부서울청사 내에 보안 매뉴얼이 구비되어 있었지만 도어록 비밀번호를 문 옆에 적어놓는 등 매뉴얼이 제대로 지켜지지 않는 모습이 여실히 드러났다. 이에 따라 보안인식 제고를 위해 보안교육이 정기적으로 진행되고 있는지, 또 교육 내용이 제대로 실천되고 있는지 확인할 필요가 있다.
업계 관계자에 따르면 보안교육이 제대로 진행되고 있는지 살펴볼 때 가장 중요하게 여기는 몇 가지가 있는데, 그 가운데 첫 번째는 보안교육이 1회 이상 정기적으로 진행되고 있는지 여부다. 일례로 정보통신망법에서도 연 1회 이상 정기적으로 보안교육을 수행해야 한다고 명문화했을 정도다.
본지에서 보안당당자 2,298명을 대상으로 실시한 설문조사에 따르면, 사내 보안교육을 분기에 1번꼴로 진행한다는 답변이 26%로 가장 많았다. 그 다음으로는 반기에 1번꼴로 진행한다는 답변이 22%를 차지했고, 수시로 자주 진행한다는 답변이 19%를 차지했다.
이에 대해 한 정보보호 전문심사원은 “심사 시 90% 이상의 기업이 연 1회 이상이라는 보안 교육 주기를 잘 지키고 있고, 평균적으로 연 2회 이상 실시하고 있었다. 하지만 이것이 심사 때문에 일시적으로 지켜지고 있는 것인지, 평소에도 잘 지켜지고 있는 것인지는 제대로 살펴볼 필요가 있다”고 전했다.
두 번째는 실시된 보안교육에 따라 임직원들이 행동하고 있는지, 즉 규정되어 있는 보안수칙을 제대로 지키고 있는지 그 효과성을 점검해야 하는 부분이다. 특히, 개인정보보호와 관련해서는 개인정보 위·수탁사 등 개인정보를 취급하는 사업자들이 교육대상에서 누락됐을 경우 결함사항이 생길 수 있기 때문에 교육 대상도 철저히 관리해야 한다는 지적이다. 교육을 진행하는 강사의 자격 적합성도 판단할 필요가 있으며, 전체 임직원 중 교육을 이수한 인원의 수가 일정 비율 이상인지도 살펴봐야 한다는 것.
일반적으로 보안교육은 내·외부 강사를 초청해 임직원을 한 자리에 모아놓고 강의처럼 진행되는 경우가 대부분이다. 그러나 이러한 교육 가운데는 유명무실한 교육으로 전락하는 경우도 상당수다. 예를 들면 민방위 훈련처럼 아침조례 시간에 임직원을 한 자리에 모아놓고 사인만 받거나 전혀 보안과 관계없는 내부 직원에게 주입하듯이 보안교육을 진행하는 경우도 있다.
한 정보보호 전문심사원은 “보안교육이 너무 딱딱한 컴플라이언스 측면에만 치우치다 보니 시간 때우기 용에 그쳐 임직원들에게 보안교육이 쓸모없다는 인식이나 되려 반감을 심어줄 수 있다”고 말했다. 이로 인해 시간때우기 식, 보여주기 식의 보안교육보다는 임직원들의 성향이나 특성을 맞춤형 교육이 필요하다는 주장도 제기된다. 그럼 교육대상에게 재밌으면서도 꼭 필요한 교육이라는 인식을 심어주려면 어떻게 해야 할까?
보안교육에 있어 우수한 기업사례로 SK를 꼽을 수 있다. SK는 기업 내부적으로 ‘정보보호 교육의 날’을 지정해 교육을 진행하면서 정보보호와 관련된 표어, 포스터 등을 제출하는 경진대회를 열어 우수자들을 시상하고 있다.
게임 전문 업체인 컴투스에서도 매주 둘째 주 금요일을 ‘컴투스의 정보보호의 날’로 지정해 자체적으로 운영하고 있다. 주요 보안수칙 등을 담은 포스터를 사내 곳곳에 부착해 정보보호 인식을 제고하는데 힘쓰고 있다.
롯데카드의 경우도 롯데카드 모집인 1,200~13,00여명을 비롯한 콜센터 상담사 등 총 6,000여명을 대상으로 보안교육을 진행하고 있다. 롯데카드 내부 직원들 대상으로는 PC를 켰을 때 보안퀴즈 팝업창을 띄우도록 했다. 해당 보안퀴즈는 현재 프로그램 개발업체에서도 활용하고 있는 것으로 알려졌다.
이외에도 정보보호 인식제고를 위한 애니메이션·동영상 등을 제작해 임직원에게 배포하는 경우를 예로 들 수 있다.
이렇듯 몇몇 기업에서는 임직원의 흥미를 유발하는 방식으로 보안교육을 진행하면서 교육대상자들에게 긍정적인 반응을 얻고 있다. 이러한 보안교육은 정보보호라는 개념에 좀 더 친근하게 다가갈 수 있기 때문에 보안에 대한 긍정적인 인식을 심어주고 머릿속에 오랫동안 기억될 수 있다.
이에 대해 한 정보보호 전문심사원은 “보안교육에 대한 접근방식을 차별화하지 않으면 임직원들의 마인드는 변화하지 않는다. 보안의 가장 취약한 부분은 사람이라는 말이 있고, 사람의 인식 변화 없이는 혁신이 일어날 수 없기 때문이다. 보안교육에 안일한 기업은 보안사고에 노출되고 피해를 입을 수밖에 없다. 결국 가장 최고의 솔루션은 보안교육”이라고 말했다.
[민세아 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
