보안이 없으면 디지털도 없다 [1부] - 무엇이 문제인가?
상태바
보안이 없으면 디지털도 없다 [1부] - 무엇이 문제인가?
  • 손영정 선임
  • 승인 2019.12.31 06:04
  • 조회수 3198
  • 댓글 0
이 콘텐츠를 공유합니다

 

정보보안 인식제고 프로그램의 중요성

회사를 다니고 있는 평범한 직장인 A씨는 평소에 동생과 이메일로 종종 연락을 주고 받는다. 오늘도 어느때와 다름없이 아침에 출근한 A씨는 회사 컴퓨터로 이메일을 확인한다. 마침 동생으로부터 ‘가족사진’ 이라는 제목으로 메일이 와있고, 아무런 의심없이 그 메일을 클릭해 가족사진을 다운로드 받는다. 가족사진을 열어보자 표면적으로는 가족사진이 화면을 채웠지만, 이와 동시에 A씨의 컴퓨터는 원격으로 조정되는 악성코드로 오염돼 내부 시스템 감염을 확산시키는 진원지가 되었다.

위의 이야기는 실제로 2016년 5월에 발생한 인터파크의 개인정보 유출 사고 원인을 각색한 일화이다. 이처럼 사람(혹은 대상)과 관련된 정보보안의 약점을 찾아내거나 하나의 분야를 정해 끊임없이 공격하는 형태를 지능형 지속 위협(APT, Advanced Persistent Threat)라 한다. 아래의 [그림 1]과 같이 교묘하게 위장하여 공격하기 때문에 구분해 내기가 쉽지 않다.
 

투이톡_개인정보_1.jpg
[그림 1] 통일부 보도자료 해명 자료로 위장한 이메일 화면 / 출처: 이스트시큐리티, https://blog.alyac.co.kr/2268

기업에서는 점점 더 지능화 되는 공격에 대비하기 위해 각종 정보 보안 장비나 절차에 대한 점검을 철저히 하고 있지만 이와 동시에 사람에 대한 지속적인 교육 등의 구체적인 방안으로 정보보안 역량을 제고할 필요가 있다. 공격자가 침투 단계 중 첫 번째로 노리는 것이 내부 시스템에 접근할 수 있는 임직원, 협력업체 직원 등 ‘사람’이기에 아무리 좋은 시스템과 보안 솔루션을 구축했다 하더라도 조직원의 보안 인식이 허술하면 언제라도 보안 사고가 발생할 수 있기 때문이다. 실제로 국가정보원의 조사 결과에 따르면, 정보 유출사고의 90%가 내부인에 의해 발생하고 있다 (아래 [그림 2] 참고).
 

투이톡_개인정보_2.jpg

[그림 2] 정보 유출사고의 90%가 내부인에 의해 발생 / 출처: 현대 MNSoft, 정보보호, 우리 업무의 기본, 2013
 
공격도, 방어도, 피해도 모두 사용자의 부주의한 행동에서부터 시작되는 만큼, 이번 글에서는 전사 정보보안 및 개인정보보호 인식 제고를 위한 방안에 대해 알아보고자 한다.

 

기존 정보보안 인식제고 프로그램의 한계

 

① 획일적인 교육 프로그램과 콘텐츠 구성

“정책이니 지켜야 한다”라는 방식의 접근으로는 조직 구성원의 동기와 태도를 개선할 수 없다. 대부분의 조직에는 획일적인 교육 프로그램과 임시방편으로 사용하는 콘텐츠로 효과적인 정보보안 인식 교육이 이루어지지 않고 있다.

이러한 방식은 아래의 [그림 3]과 같이 조직원들이 보안을 불편하고 어려운 것, 혹은 추가적인 시간과 노력을 기울이는 비용으로 인식하게 만든다. 심지어 업무 생산성을 방해하는 장벽으로 인식하고 있다.
 

투이톡_개인정보_3.jpg
[그림 3] 직장에서 정보보호 환경이 구축되지 않는 이유(중복응답), N=512 (명) / ITWORLD, 한국후지제록스, 직장인 정보 보안 인식 설문조사 결과 발표, 2017.07.12

따라서 주입식, 보여주기 식의 보안 교육 보다는 임직원들의 성향이나 특성을 고려한 맞춤형 교육이 필요하다. 이를 위해 인식제고 프로그램은 단순한 교육을 넘어 업무 프로세스의 정의와 함께 이루어져야 한다. 임직원들이 업무를 수행하는데 있어 밟는 절차와 행동을 분석한 뒤 업무 행태를 반영한 인식제고 프로그램으로 효과성과 효율성을 높여야 한다.

 
② 동기부여 결여

 

투이톡_개인정보_4.jpg
[그림 4] 보안에 관심 없는 이유 N=7,644 (명) / 출처: 이스트시큐리티, 2015 정보보호의 달 보안 인식 설문조사 결과를 전해드립니다. 2015

평소 정보보호에 낮은 관심을 보이는 이유는 위의 [그림 4]에서 알 수 있듯이 보안 관련 내용이 이해하기 어렵고, 보안을 귀찮고 불편한 존재로 인식하고 있으며, 내가 노력해도 상관없는 일이라고 생각하기 때문이다. 하지만 보안 문제가 사용자의 부주의에서 시작되는 만큼, 사람의 인식 변화 없이는 보안 혁신이 일어날 수 없다. 따라서 구성원들이 보안을 지켰을 때 오는 이득이 무엇인지 느끼게 하는 동기부여 요소들이 병행되어야 한다.

지금까지 많은 회사들이 보안 훈련이 우수한 부서에 대해 인센티브를 부여하는 것이 아니라, 성과가 낮은 부서에 패널티를 부과하는 형태로 진행되었기 때문에 보안 교육의 효과가 좋지 않았다.

보상, 게임화 등 흥미를 느낄 수 있는 동기부여 요소를 통해 보안 교육 접근 방식을 차별화하고, 정보보호라는 개념에 대한 긍정적인 인식을 심어주어야 한다.

 

③ 이벤트성으로 진행되는 보안 교육
 

투이톡_개인정보_5.jpg
[그림 5] 사내 보안 교육 실시 주기 N=2,298 (명) / 출처: 보안뉴스, 당신 회사의 보안교육, 시간때우기용은 아닌가요? 2016.04.19

정기적으로 실시하는 이벤트만으로 보안 문화가 형성이 되게 하는 것에는 분명히 한계가 있다. 그러나 대부분의 기업에서 보안 교육은 형식적으로, 매년 똑같은 내용으로 실시되는 경우를 많이 볼 수 있다.

위의 [그림 5]에서도 볼 수 있듯이, 보안 담당자 2,298명을 대상으로 실시한 설문 조사에서 사내 보안 교육을 수시로, 자주 실행하고 있는 기업은 19%에 불과하다.

올바른 보안 문화를 형성할 수 있는 정기적이고 지속적인 교육 프로그램이 필요하다. 

 

* ‘보안이 없으면 디지털도 없다 2부: 성공요인과 개선 사례’로 이어집니다. 


* 참고문헌
- 오명옥, 전망이론 기반의 정보보안 인식제고 프로그램 개선에 관한 연구, 중앙대학교 대학원, 2019
- 한국인터넷진흥원, 정보보호 관련 대국민 홍보 방안 연구, 2010.
- 한국인터넷진흥원, 정보보호관리체계(ISMS) 인증 모범사례집, 2010
- 한국침해사고대응팀협의회, CONCERT FORECAST 2018 기업정보보호 이슈 전망, 2018
- Mark Wilson, Joan Hash, Building an Information Technology Security Awareness and Training Program, Oct. 2003
- Burcu Bulgurc et al, Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. University of British Columbia, 2010
- ISACA, Creating a Culture of Security, 2011
- Secure Reading, Information Security Awareness Program – What is the Key to Make it a Success? 2019.08.24, https://tinyurl.com/t3b4gj4
- 데일리시큐, [특집] 기업 비즈니스에 도움을 주는 기업보안문화 형성방안, 2011.06.01, 길민권 기
자, https://www.dailysecu.com/news/articleView.html?idxno=12
- 보안뉴스, 보안 인식제고 프로그램, 효과를 높이려면, 2018.08.23, 문가용 기자https://www.boannews.com/media/view.asp?idx=72389
- 보안뉴스, 당신 회사의 보안교육, 시간때우기용은 아닌가요?, 2016.04.19, 민세아 기자, https://www.boannews.com/media/view.asp?idx=50323
- 보안뉴스, 인간중심 보안 구현 위한 전략과 실행방안, 2018 02 26, 김정덕 교수, https://www.boannews.com/media/view.asp?idx=66853&kind=36

 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.