보안이 없으면 디지털도 없다 [2부] - 성공요인과 개선 사례
상태바
보안이 없으면 디지털도 없다 [2부] - 성공요인과 개선 사례
  • 손영정 선임
  • 승인 2020.01.02 06:09
  • 조회수 3509
  • 댓글 0
이 콘텐츠를 공유합니다

 

정보보안 프로그램 인식 제고 성공 요인(Key Success Factors)

그렇다면 조직 구성원들의 전사 정보보안 인식을 성공적으로 개선하기 위한 방안은 무엇일까? 이를 도출하기 위해 2가지 논문을 살펴보았다.

우선, 전망이론 기반의 정보보안 인식 제고 프로그램 개선에 관한 연구(2019, 오명옥)에 따르면, 정보보안 인식 제고 프로그램이 가지고 있어야 할 특징을 다음 [표 1]과 같이 정의 내리고 있다.


투이톡_보안_1.jpg

[표 1] 정보보안 인식제고 프로그램 특징

또한 NIST SP 800-50 에서는 아래의 [표 2]과 같이 4단계로 구성된 생명주기를 통해 프로그램이 개발되고 유지되어야 한다고 제시했다.

 

투이톡_보안_2.jpg
[표 2] NIST 인식 및 훈련 프로그램 생명주기

두 논문을 통해 조직 구성원들이 보안에 대한 인식을 스스로 인지하고 행동할 수 있도록 정보보안 프로그램에 대한 인식 제고를 성공적으로 이끌기 위한 방안들을 다음의 [그림 1]과 같이 8가지로 도출할 수 있다.

투이톡_보안_3.jpg

[그림 1] 정보보안 프로그램 인식 제고 성공을 위한 KSFs / 출처: Secure Reading, Information Security Awareness Program – What is the Key to Make it a Success? 2019.08.24 참고하여 각색함

 

사례를 통해 본 정보보안 인식제고 프로그램

위의 8가지 기준으로 기업에서는 어떻게 정보보안 인식제고 프로그램을 운영하고 있는지 사례를 통해 살펴보자. 이 사례들은 이 글에서 제시하는 인식제고 성공 방안 8가지 중 하나에만 국한되는 것이 아니라 여러 요소들과 연결 될 수 있다.


① 참여 성과에 따른 보상과 인센티브를 지급하여 조직 구성원들의 동기를 부여한다

- SK는 기업 내부적으로 정보보호 교육의 날을 지정해 교육을 진행하면서 정보보호와 관련된 표어, 포스터 등을 제출하는 경진대회를 열어 우수자들을 시상하고 있다.

- 페이스북은 지난 7년동안(2018년 10월 기사 기준) Hacktober(Hacking October)를 운영해오면서 CTFs(Computer-base-competition)으로 가상의 사이버 공격에 방어하는 연습을 가상으로 체험해 보는 프로그램을 실시해왔다. 이 대회에서 이긴 팀은 상금을 받게 된다.

 

② 프로그램을 게임화 하여 재미를 느낄 수 있는 요소를 부여하고, 참여하기 쉽게 한다

- 롯데카드의 경우, 롯데카드 모집인 1200~1300여명을 비롯한 콜센터 상담사 등 총 6000명을 대상으로 보안 교육을 진행하고 있다. 롯데카드 내부 직원들 대상으로 PC를 켰을 때 보안 퀴즈 팝업창을 띄우도록 했다.

- 페이스북은 Trick or Treat 이라는 프로그램으로 일부러 피싱메일, 인증 요구 팝업창, 가짜 malware가 담긴 USB가 돌아다니도록 하고(Trick) 여기에 걸린 사람들을 트레이닝 시킨다. 반대로 이 트릭에 빠지지 않은 사람은 소정의 상품(Treat)을 나누어준다.


③ 시간과 장소의 제약 없이 자유롭게 보안에 대해 학습이 가능하도록 구성한다

- 마이크로소프트 직원은 사이버 보안 교육을 반드시 들어야 하는데, 이 때 자체적으로 만든 온라인 강의로 언제 어디서든 보안에 대한 학습이 가능하도록 만들었다. 또한 강의에 AI를 도입하여 학습 도중 부족한 부분을 돕고 있다.

- 마이크로소프트는 Security blog를 운영하여 보안 관련 소식을 블로그를 통해 들려준다.

- 구글은 업무 처리 중 보안 문제 관련 시 궁금한 점을 인터넷으로 검색할 수 있도록 Brower Security Handbook 이라는 사이트를 운영하고 있다.


④ 적절한 채널을 활용하여 정보보안 인식 제고를 위한 메시지를 전달한다

- 구글 직원들은 보안과 관련한 연구를 진행하고, 이를 콘텐츠로 만들어 발행한다. 대표적으로 Google White Paper가 있으며, 이를 Publication database에 보관 및 온라인에 게시한다.

- 구글은 사내 Tech Talks를 개최하여 보안 및 개인정보와 관련된 고민, 주제들을 자유롭게 토론할 수 있는 장을 마련했다.


⑤ 프로그램 진행 상황을 측정 가능한 지표로 가시화 하여 모니터링 한다

- 비씨카드는 국제/국내 보안 표준 프로세스를 신용카드 업무에 적용하여 문서 체계를 고도화했다. 특히 최신 보안 동향과 보안가이드를 연계한 평가지표를 개정하여 자사의 보안 현황을 가시화 해 관리하고 있다.

- 지표의 예로 그간 신고된 보안 관련 사고 발생 건수, 바이러스 발생건수, 금지 웹사이트 방문 시도 횟수 등이 있다.

 

⑥ 구성원 간의 협력과 소통을 통해 상호 학습이 가능하도록 한다

- 마이크로소프트는 Tech Community를 운영하여 보안 프로그램 교육 일정을 공유한다. 또한, 사람들이 게시판에 질문을 하면, 해당 질문에 답을 할 수 있는 직원이 답변을 달아주는 형태로 운영하고 있다. 특히 타인이 질문한 기록들도 훑어 볼 수 있어 상호 학습이 가능하며, 보안 관련하여 자신의 생각이나 새로운 방안을 제안할 수 있어 활발한 커뮤니티 운영이 이루어지고 있다.

- 페이스북은 Flag Competitions에서 팀을 구성할 때 다양한 부서 사람들로 구성하게 만들어 서로 협력하게 한다.

 

⑦ 각 구성원의 업무 특성을 고려한 맞춤형 교육을 운영 한다

- NHN은 보안 아카데미를 운영하여 보안에 대한 전문지식을 기본 공통 교육과 더불어 각 직무별, 기능별 특성에 따라 습득하게 하는 맞춤식 보안 프로그램을 운영하고 있다. 또한 ‘보안 기본 및 staff 보안실무’ 등과 같이 외부직원 보안교육까지 진행하고 있다.

 

⑧ 프로그램의 효과가 지속될 수 있도록 반복적으로 자주 실행되어야 한다

- 농협의 경우, 보안 사고 이후 IT 담당 직원 대상 교육의 횟수를 배로 늘렸다. APT 사고 발생 이전에는 상반기와 하반기에 각각 한 차례씩 외부 전문가를 초빙해 진행해오던 IT 담당자 보안 교육을 사고 이후부터 분기별로 실시하고 있다. 이와 함께 농협은 내부 온라인 교육 시스템을 활용해 전직원을 대상으로 하는 보안교육을 반기에 1회씩 진행하고 있다. 특별한 보안 이슈가 발생했을 때에는 지역 단위로 정기 교육 이외에 특별 교육을 실시하고 있다.

 

앞으로 나아가야할 길

보안 교육에 안일한 기업은 결국 보안 사고에 노출되고, 피해를 입을 수 밖에 없다. 결국 최고의 보안 솔루션은 보안교육을 통해 조직 구성원들이 보안 규정을 따를 수 있도록 만드는 것이고, 나아가 보안을 생활화하는 문화를 조직에 안착 시키는 것이다.

이를 위해선 보안 정책과 실행을 좌우할 수 있는 권한을 가진 C-level 들이 주도적으로 나서 조직원의 보안 인식을 제고하기 위한 방향과 실행방안을 제시해야 한다. 빠르게 진화되는 공격 패턴 속에서 외부 기관에서 진행하는 트레이닝이나 보안교육 담당자에게 자사의 보안 문제를 전적으로 맡길 순 없다.

따라서 정보보호와 관련된 모든 이해관계자(현업, IT 담당자, 보안 담당자 등)과 이슈 사항에 대해 논의할 수 있는 ‘보안강화 특별자문위원회’ 등을 조직 내에 구축해야 한다. 보안의 중심을 이끌고 갈 수 있는 전사 차원의 조직체계를 갖추는 것이 바람직하다.


 

* ‘보안이 없으면 디지털도 없다 [1부]: 무엇이 문제인가?'에서 이어진 글입니다.
 

- 끝 -


 

* 참고문헌
- 오명옥, 전망이론 기반의 정보보안 인식제고 프로그램 개선에 관한 연구, 중앙대학교 대학원, 2019
- 한국인터넷진흥원, 정보보호 관련 대국민 홍보 방안 연구, 2010.
- 한국인터넷진흥원, 정보보호관리체계(ISMS) 인증 모범사례집, 2010
- 한국침해사고대응팀협의회, CONCERT FORECAST 2018 기업정보보호 이슈 전망, 2018
- Mark Wilson, Joan Hash, Building an Information Technology Security Awareness and Training Program, Oct. 2003
- Burcu Bulgurc et al, Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. University of British Columbia, 2010
- ISACA, Creating a Culture of Security, 2011
- Secure Reading, Information Security Awareness Program – What is the Key to Make it a Success? 2019.08.24, https://tinyurl.com/t3b4gj4
- 데일리시큐, [특집] 기업 비즈니스에 도움을 주는 기업보안문화 형성방안, 2011.06.01, 길민권 기
자, https://www.dailysecu.com/news/articleView.html?idxno=12
- 보안뉴스, 보안 인식제고 프로그램, 효과를 높이려면, 2018.08.23, 문가용 기자https://www.boannews.com/media/view.asp?idx=72389
- 보안뉴스, 당신 회사의 보안교육, 시간때우기용은 아닌가요?, 2016.04.19, 민세아 기자, https://www.boannews.com/media/view.asp?idx=50323
- 보안뉴스, 인간중심 보안 구현 위한 전략과 실행방안, 2018 02 26, 김정덕 교수, https://www.boannews.com/media/view.asp?idx=66853&kind=36


 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.