인식제고 프로그램, 투자 효과 높이려면 업무 프로세스부터 검토
기업의 보안 전략 중 일부로서 접근해야...기술+거버넌스+교육
[보안뉴스 문가용 기자] 2013년 나는 보안 인식제고 프로그램의 중요성을 큰 소리로 외치는 열혈 지지자 중 한 명이었다. 당시 보안 업계는 인식제고 프로그램을 보안 전략의 일부로 보는 것에 의아해하던 편이었다. 그리고 난 2018년에도 여전히 보안 인식제고 프로그램이 보안의 중요한 전략이라고 주장하고 있다.
[이미지 = iclickart]
왜 보안 인식제고 프로그램은 홀대 받았을까? 투자 대비 성과가 불투명했기 때문이다. 만약 이러한 프로그램에 1만 달러를 쓴다고 가정해보자. 그러면 이 돈을 투자한 회사 입장에서는 적어도 수십만, 많게는 수백만 달러의 손해를 일으킬 공격이 일어나서는 안 된다고 생각한다. 이윤을 계산하던 버릇이 인식제고 프로그램에도 적용된 것이다. 하지만 1만 달러로 10만 달러어치의 성과를 거두려고 한다면, 그게 더 도둑놈 심보 아닌가.
또한 인식제고 프로그램 자체가 굉장히 불량하게 준비되는 경우가 많다는 것도 문제였다. 사람들을 설득할 만큼 훌륭한, 양질의 프로그램을 찾기가 힘들었다. 하지만 방화벽이 가끔 뚫린다고 해서, 방화벽이 보안에 아무런 도움이 되지 않는다고 말할 수 없지 않은가? 오히려 방화벽 사고는 방화벽을 더 안전하고 탄탄하게 써야 한다는 경고가 된다.
많은 조직들이 인식제고 프로그램을 효과적으로 운영하는 방법을 잘 모르고 있다. 교육의 효과란 갑자기 가짜 피싱 공격을 실시해서 사람들을 놀라게 한 뒤, ‘진짜 공격이었으면 큰일이었겠다’고 말해주거나, 전문용어가 뒤섞인 1시간짜리 교육 영상을 보는 것으로 추구할 수 없다. 그것도 강제로 말이다. 물론 이런 요소들을 사용할 수는 있지만, 그것만이 전부는 아니라는 것이다. 인식을 높이려는 교육이라면 지속적이고 반복적으로 행해져야 한다. 반복된 교육 속에 인식이 자리 잡고, 그 인식을 바탕으로 행동에 변화가 생긴다.
하지만 진짜 문제는 인식제고 프로그램의 질이 낮다는 것이 아니다. 사용자들이 끊임없이 위험한 행동을 할 수밖에 없는 환경에 노출되어 있다는 것이다. 결국 진정으로 교육 프로그램의 효과를 거두려면 보안 담당자들이 업무 프로세스부터 관찰해야 한다. 그리고 위험한 행동을 개인적 차원에서 해석하는 것이 아니라, 업무적 차원에서 바라봐야 한다. 자기 일을 충실하게 하는 것만으로 위험한 길을 걷지 않도록 해야 한다는 것이다.
여기에는 두 가지 방법이 있다. 위험한 옵션들을 아예 삭제시키고 동시에 업무 프로세스를 지정하는 등, 거버넌스 측면에서 접근하는 것이 하나고, 다소 위험한 행동을 하더라도 위험한 일이 발생하지 않게 하거나 결과의 악화를 최대한 줄일 수 있도록 기술적인 조치를 취하는 것이 둘이다.
거버넌스의 중요성은 아무리 강조해도 지나치지 않다. 하지만 현실 속에서 많은 사람들이 ‘거버넌스 = 서류 작업’이라고만 생각한다. 거버넌스란 기업이 사업 활동을 해나가는 데 있어 취할 수 있는 행동과 그렇지 않은 행동을 명확하게 규정하는 것을 말한다. 물론 개개인이 거버넌스를 글자 그대로 다 좇을 수 없을 수도 있지만, 그렇다고 규정을 마련하지 않는 것은 무책임한 일이며, 따라서 사건이 터졌을 때 규정을 마련하지 않은 책임을 회사가 먼저 져야 한다.
이상적으로야 비밀번호를 반드시 강력하게, 주기적으로 바꾸도록 강제하거나, 비밀번호 대신 다른 인증 방법을 도입하는 등 기술력으로 사용자의 모든 행동을 보호하는 게 좋겠지만, 이는 말처럼 쉬운 게 아니다. 이상만 추구하다가는 현실에서 아무 것도 이루지 못한다. 게다가 좋은 기술도 현재의 환경과 아키텍처에 도입되는 과정에서 빈틈을 만들기도 한다.
결국 인식제고 프로그램은 단순 교육만이 아니라 업무 프로세스의 정의로까지 이어질 수밖에 없다. 교육이 현실을 반영하지 못하면, 그건 죽은 교육이다. 하지만 인식제고 프로그램이 효과를 발휘하기 시작하면 거버넌스와 기술로 해결하지 못하는 그 치명적인 빈틈을 메울 수 있게 된다.
글 : 이라 윈클러(Ira Winkler), Secure Mentem
3줄 요약
1. 보안 인식제고 프로그램도 조직 보안 강화 전략의 일부.
2. 일반 사용자의 가장 큰 문제는 보안을 모르는 게 아니라, 업무 프로세스 상 위험에 노출되어 있다는 것.
3. 그러므로 인식제고 프로그램의 효과를 높이려면 업무 프로세스에도 변화를 줘야 함.
[국제부 문가용 기자(globoan@boannews.com)]
기업의 보안 전략 중 일부로서 접근해야...기술+거버넌스+교육
[보안뉴스 문가용 기자] 2013년 나는 보안 인식제고 프로그램의 중요성을 큰 소리로 외치는 열혈 지지자 중 한 명이었다. 당시 보안 업계는 인식제고 프로그램을 보안 전략의 일부로 보는 것에 의아해하던 편이었다. 그리고 난 2018년에도 여전히 보안 인식제고 프로그램이 보안의 중요한 전략이라고 주장하고 있다.
[이미지 = iclickart]
왜 보안 인식제고 프로그램은 홀대 받았을까? 투자 대비 성과가 불투명했기 때문이다. 만약 이러한 프로그램에 1만 달러를 쓴다고 가정해보자. 그러면 이 돈을 투자한 회사 입장에서는 적어도 수십만, 많게는 수백만 달러의 손해를 일으킬 공격이 일어나서는 안 된다고 생각한다. 이윤을 계산하던 버릇이 인식제고 프로그램에도 적용된 것이다. 하지만 1만 달러로 10만 달러어치의 성과를 거두려고 한다면, 그게 더 도둑놈 심보 아닌가.
또한 인식제고 프로그램 자체가 굉장히 불량하게 준비되는 경우가 많다는 것도 문제였다. 사람들을 설득할 만큼 훌륭한, 양질의 프로그램을 찾기가 힘들었다. 하지만 방화벽이 가끔 뚫린다고 해서, 방화벽이 보안에 아무런 도움이 되지 않는다고 말할 수 없지 않은가? 오히려 방화벽 사고는 방화벽을 더 안전하고 탄탄하게 써야 한다는 경고가 된다.
많은 조직들이 인식제고 프로그램을 효과적으로 운영하는 방법을 잘 모르고 있다. 교육의 효과란 갑자기 가짜 피싱 공격을 실시해서 사람들을 놀라게 한 뒤, ‘진짜 공격이었으면 큰일이었겠다’고 말해주거나, 전문용어가 뒤섞인 1시간짜리 교육 영상을 보는 것으로 추구할 수 없다. 그것도 강제로 말이다. 물론 이런 요소들을 사용할 수는 있지만, 그것만이 전부는 아니라는 것이다. 인식을 높이려는 교육이라면 지속적이고 반복적으로 행해져야 한다. 반복된 교육 속에 인식이 자리 잡고, 그 인식을 바탕으로 행동에 변화가 생긴다.
하지만 진짜 문제는 인식제고 프로그램의 질이 낮다는 것이 아니다. 사용자들이 끊임없이 위험한 행동을 할 수밖에 없는 환경에 노출되어 있다는 것이다. 결국 진정으로 교육 프로그램의 효과를 거두려면 보안 담당자들이 업무 프로세스부터 관찰해야 한다. 그리고 위험한 행동을 개인적 차원에서 해석하는 것이 아니라, 업무적 차원에서 바라봐야 한다. 자기 일을 충실하게 하는 것만으로 위험한 길을 걷지 않도록 해야 한다는 것이다.
여기에는 두 가지 방법이 있다. 위험한 옵션들을 아예 삭제시키고 동시에 업무 프로세스를 지정하는 등, 거버넌스 측면에서 접근하는 것이 하나고, 다소 위험한 행동을 하더라도 위험한 일이 발생하지 않게 하거나 결과의 악화를 최대한 줄일 수 있도록 기술적인 조치를 취하는 것이 둘이다.
거버넌스의 중요성은 아무리 강조해도 지나치지 않다. 하지만 현실 속에서 많은 사람들이 ‘거버넌스 = 서류 작업’이라고만 생각한다. 거버넌스란 기업이 사업 활동을 해나가는 데 있어 취할 수 있는 행동과 그렇지 않은 행동을 명확하게 규정하는 것을 말한다. 물론 개개인이 거버넌스를 글자 그대로 다 좇을 수 없을 수도 있지만, 그렇다고 규정을 마련하지 않는 것은 무책임한 일이며, 따라서 사건이 터졌을 때 규정을 마련하지 않은 책임을 회사가 먼저 져야 한다.
이상적으로야 비밀번호를 반드시 강력하게, 주기적으로 바꾸도록 강제하거나, 비밀번호 대신 다른 인증 방법을 도입하는 등 기술력으로 사용자의 모든 행동을 보호하는 게 좋겠지만, 이는 말처럼 쉬운 게 아니다. 이상만 추구하다가는 현실에서 아무 것도 이루지 못한다. 게다가 좋은 기술도 현재의 환경과 아키텍처에 도입되는 과정에서 빈틈을 만들기도 한다.
결국 인식제고 프로그램은 단순 교육만이 아니라 업무 프로세스의 정의로까지 이어질 수밖에 없다. 교육이 현실을 반영하지 못하면, 그건 죽은 교육이다. 하지만 인식제고 프로그램이 효과를 발휘하기 시작하면 거버넌스와 기술로 해결하지 못하는 그 치명적인 빈틈을 메울 수 있게 된다.
글 : 이라 윈클러(Ira Winkler), Secure Mentem
3줄 요약
1. 보안 인식제고 프로그램도 조직 보안 강화 전략의 일부.
2. 일반 사용자의 가장 큰 문제는 보안을 모르는 게 아니라, 업무 프로세스 상 위험에 노출되어 있다는 것.
3. 그러므로 인식제고 프로그램의 효과를 높이려면 업무 프로세스에도 변화를 줘야 함.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
