한국어

EDPS

효과적인 보안 교육을 위한 10계명

조회 수 52 추천 수 0 2015.08.18 09:14:33

정보 보안 담당자들은 사용자가 보안에 대한 생각을 바꾸면 행동 또한 쉽게 바꿀 수 있다고 생각한다. 그러나 실제로는 이런 인식 제고가 변화로 이어지지 않는다는 교훈을 얻게 되곤 한다.

이런 결과를 초래하는 가장 근본적인 문제 가운데 하나는 교육 전문가가 아닌 보안 전문가들이 이런 인식 제고 프로그램을 기획해 추진하기 때문이다. 이런 교육훈련 프로그램은 긴 강의와 지루한 슬라이드 일색인 경우가 많다. 어떤 자료를 사용해 어떻게 가르쳐야 하는지 생각도, 연구도 하지 않기 때문이다. 결과적으로 원하는 결과를 얻지도 못하고, 발전도 없다.

이런 문제를 해결하기 위해서는 잠시 한 발 물러나 가장 효과적인 학습 방법에 대해 생각을 해 볼 필요가 있다.

학습법의 역사는 1950년대 초로 거슬러 올라간다. 이후 오랜 시간에 걸쳐 검증이 이뤄져 원칙으로 받아들여졌다. 따라서 정보 보안 교육에 적용한다면 즉각적이고 가시적이면서도 장기적인 결과를 이끌어낼 수 있다. 직원들을 교육시켜 기업의 전반적인 보안 수준을 높일 수 있는 것이다.

1. 교육 내용을 줄인다.
사람들은 쉽게 소화할 수 있다고 생각하는 작은 정보에 초점을 맞출 수 있을 때 학습 능률이 높아진다. 예를 들어, 15분 동안 55개나 되는 보안 관련 주제를 교육하면서, 사람들이 이런 교육 내용 전부를 기억하고 행동을 바꿀 것이라고 생각하는 것은 옳지 않다. 또 짧게 나눠 교육을 하는 것이 더 효과적이다.

2. 반복해서 교육한다.
사람들은 반복을 해야 학습을 한다. 피드백이나 실습 기회를 주지 않으면 학습 효율이 떨어지기 마련이다. 1회성이 아닌 지속적인 보안 교육훈련을 제공해야 한다.

3. 구체적인 사례를 들어 교육한다.
사람들은 그냥 내용보다는 실제 상황을 더 잘 기억한다. 따라서 보안 교육을 할 때는 가장 공격을 받을 만한 상황을 대상으로 교육을 하는 것이 중요하다.

4. 다양한 방법으로 메시지를 전달한다.
다양한 방법으로 여러 상황을 전달할 때 개념에 대한 학습 효과가 가장 높다. 여러 차례, 여러 단계에 걸쳐 보안 개념에 대한 교육 훈련을 실시해야 사용자들이 과거 학습 내용과 새로운 내용을 더 잘 연결시킨다.

5. 학생들을 참여시킨다.
적극적으로 학습 과정에 참여해야 더 많은 내용을 기억하는 법이다. 교육을 받는 사람들이 실제 피싱 공격을 파악해 이에 대한 보안 수단을 확보할 수 있다면, 극적으로 교육 훈련 효과를 높일 수 있다.

불행히도 위험 교육을 포함해 기존의 교육 모델은 이러한 현장 실습을 여전히 뒷전으로 취급하고 있다.


6. 즉각적인 피드백을 제공한다.
스포츠 경기에 참여해본 경험이 있다면 즉각적인 피드백이 얼마나 중요한지 잘 알고 있을 것이다. 문제가 있을 때 중단시켜 학습하면, 교육 효과가 크게 상승한다. 예를 들어, 기업의 모의 공격을 방어하지 못했을 때 해당 내용과 관련해 현장 학습을 한다면, 다시는 그런 공격에 속아 넘어가지 않을 확률이 높아진다.

7. '스토리텔링'을 교육한다.
특징을 설명해 내러티브를 개발하면, 해당 정보와 감정적 유대감을 형성해 계속해서 교육훈련에 참여시키는데 도움이 된다. 즉 사실과 데이터만 늘어놓기 보다는 스토리텔링 기법을 활용한다.

8. 스스로 생각을 하도록 만든다.
사람들은 스스로 일궈낸 성과를 평가하는 과정을 거쳐야, 더 큰 성과를 달성할 수 있다. 사람들이 제시한 정보를 조사하고, 이 정보가 타당한지 질문을 하고, 나름대로 결론을 낼 수 있도록 유도해야 보안 인식을 높이기 위한 교육훈련이 효과를 발휘한다.

9. 각자의 학습 속도에 맞춰 가르친다.
판에 박은 소리처럼 들릴지 모르겠다. 그러나 사람마다 학습 속도가 다른 법이다. 일방적으로 정형화된 보안 교육훈련 프로그램은 실패할 확률이 높다. 사용자가 각자의 학습 속도에 맞춰 발전해나가도록 여지를 남겨두고 있지 않기 때문이다.

10. 개념과 절차에 대해 교육한다.
개념은 큰 그림을 제시해줘, 특정 기법을 문제 해결에 적용할 수 있도록 해준다. 또 절차는 문제 해결에 필요한 특정 활동에 집중하도록 해준다.

이 두 가지 형태의 지식을 결합하면 사용자의 이해를 크게 높일 수 있다. 예를 들어, 사용자는 피싱 URL을 확인하기 위해 특정 URL의 IP 주소를 이해할 수 있는 절차적 학습이 필요할 수 있다. 그러나 이와 동시에 URL을 구성하는 모든 요소를 개념적으로 학습해야 한다. IP 주소와 도메인 네임의 차이를 이해하기 위해서다. 그렇지 않으면 www4.google.com을 피싱 URL로 착각할 수 있기 때문이다.

*Joe Ferrara는 웜뱃시큐리티테크놀로지의 사장이자 CEO다.


WindBoy

2015.08.18 09:15:38
*.53.140.20

“규제만 잘 지킨다고 보안 문제가 해결되는 것은 아니다”••


‘2012년 HIMSS 분석 보고서: 환자 데이터 보안(HIMSS Analytics Report: Security of Patient Data)’에 따르면, 지난 6년 동안 IT서비스 업체의 규제를 강화했으나 데이터 유출이 증가하는 것을 막지 못한 것으로 조사됐다.

규제 준수가 곧 보안은 아니라는 인식은 정보 보안 업계에서는 진부해진 얘기다.

그러나 HIMSS 애널리틱스(HIMSS Analytics)와 크롤 어드바이저리 솔루션(Kroll Advisory Solutions)의 최근 연구에 따르면, 규제 준수가 보안이 아니라는 인식으로는 문제를 해결할 수 없다는 주장이 제기됐다.

‘2012 HIMSS 분석 보고서: 환자 데이터 보안’ 에 따르면 규제가 점점 더 엄격해지고 IT업체들이 이를 준수하고 있지만 지난 6년 동안 정보 유출 사고의 증가를 둔화시키지 못한 것으로 나타났다.

그러나 이 조사에 참여한 응답자로는 CIO, 컴플라이언스 담당자, 의료정보 관리자 등이며 이들은 2009년 제정된 개인의료정보보호 관련 법(HITECH)같은 규제를 더 잘 준수하기 때문에 데이터 도난에 더 잘 대비할 수 있다는 확신하는 것으로 나타났다.

이 보고서는 크롤이 2년에 한번 미국내 의료 정보 업체들을 대상으로 진행하는 조사결과로 이번이 세 번째 발간하는 것이다.

크롤의 수석 부사장 브라이언 라피더스는 정부 규제를 잘 준수한다고 해서 실제로 개인 의료 정보(PHI)를 잘 보호하고 있다고 보기는 어렵다고 말했다. 이는 다른 보안 전문가들도 의견을 같이 했다. 그동안 규제를 위반했다고 보고된 건수를 보면, 2008년 13%에서 2010년 19%, 2011년 27%로 증가했기 때문이다.

PHI 위반으로 금전적인 피해도 확대되고 있다. 여기에는 데이터 손실을 처리하는 데 드는 비용뿐 아니라 이로 인한 소송에 드는 비용까지도 고려해야 한다. 실제로 캘리포니아에서는 의료 기관이 환자당 1,000 달러를 배상하라는 판례가 있다.

규제 준수만으로는 부족한 이유 중 하나는 보안 전문가들도 잘 알고 있는 것이었다. 정보 유출은 사람의 실수지 정책이나 시스템, 조직적인 결함이 아니기 때문이다.

캘리포니아에 있는 의료 소송 전문 로펌 필스버리 윈스롭 쇼 피트먼 LLP (Pillsbury Winthrop Shaw Pittman LLP)의 파트너 변호사인 사라 플래너건은 “개인 정보 보호 위반을 사례를 분석해 보면, 이 사고들이 조직이라기 보단 한 사림의 실수로 발생하는 것을 더 자주 봤다”라고 말했다.

대다수 기업들이 보안 정책을 직원들에게 강요해 이들이 노트북이나 외장 하드를 집에 가져가지 않고 스타벅스에서 커피 마실 때 회사 기밀 정보를 화면에 띄어놓지 않으며 기밀 정보를 화면에 띄운 채 퇴근하지 않더라도 정보 유출은 발생한다. 또 다른 유출 경로는 모바일 기기의 폭발적인 사용 증가가 정보 유출의 위험을 가중시킨다는 점이다. 모든 전문가들은 데이터에 더 쉽게 접근할수록 정보 유출의 위험이 상승한다는 데에 동의하고 있다.

플래너건은 100% 안전을 기대하면서 원격으로 정보에 접근하고 싶어할 때 사람들은 당연히 긴장하게 된다고 말했다. "사람들이 그러한 긴장을 고마워할 지는 모르겠다"라고 그녀는 전했다.

이 보고서는 데이터 보안에 대한 책임을 누가 져야 하는지에 대해서는 여전히 논란이 있다는 사실을 보여줬다. 응답자들은 데이터 보안 책임자로 CIO, CSO, CEO, 의료정보관리자, 최고 컴플라이언스 책임자 등을 지목했다.

누가 데이터 보안을 책임지건, 보안은 모든 임원들의 책임이다. 직원이 10명이건, 100명이건, 아니면 1,000명이건 간에 보안 정책을 준수하지 않을 경우 초래될 사태에 대해 이해하고 있어야 한다. 규제를 준수했다 해도 과실로 판단되는 행위가 있다면, 그것이 미미하지만 나쁜 결과를 초래할 가능성을 배제할 순 없을 것이다. "이 때문에 규제를 강화해야 한다"라고 플래너건은 덧붙였다.

List of Articles
번호 제목 글쓴이 날짜 조회 수
79 소규모 인디 개발팀이 지켜야 할 몇 가지 규칙 WindBoy 2018-08-14 36
78 어느 개발자의 - 개발 방법론 철학 수텐리 2018-07-27 22
77 이정문화백이 1965넨에 예측한 2000년대의 미래 만화 WindBoy 2017-09-27 277
76 칼럼] “What is real? How do you define 'real'?” WindBoy 2015-09-03 34
75 비트코인의 중추 '블록체인'··· 미래의 활용처 7곳 WindBoy 2015-09-03 349
» 효과적인 보안 교육을 위한 10계명 [1] WindBoy 2015-08-18 52
73 신입사원이 초래할 수 있는 보안 위험, 어떻게 줄일까? WindBoy 2015-08-18 44
72 능력 있는 개발자들의 7가지 습관 WindBoy 2015-08-17 39
71 구글의 새로운 모회사 ‘알파벳’의 알려진 것과 알려지지 않은 것 WindBoy 2015-08-14 30
70 강력한 비밀번호가 고유한 비밀번호보다 별 도움이 되지 않는다 ?!?! WindBoy 2015-08-13 32
69 페이스북 뉴스피드와 알림을 ‘깔끔’하게 만드는 3가지 팁 WindBoy 2015-08-10 31
68 인분교수 사건을 통해 본 권위의 허상 WindBoy 2015-08-10 40
67 키보드 앱 ‘사인리’, 수화 이모티콘 서비스 공개 WindBoy 2015-08-09 91
66 데이트 비용으로 본 한·일·호주 최저시급 WindBoy 2015-08-06 59
65 펌] 대한항공 부기장 "회장, 직원 이야기에 귀 기울여야" WindBoy 2015-08-06 35
64 환경도, 경쟁력도 놓친 한국 IT 기업 WindBoy 2015-08-05 28
63 엎질러진 프라이버시는 주워담을 수 없다··· 美 판례 2건 분석 WindBoy 2015-08-03 31
62 가상현실, 목전에 와 있는 것일까 WindBoy 2015-08-03 57
61 구글의 룬 프로젝트, 스리랑카 인터넷 공급 책임진다 WindBoy 2015-07-31 29
60 “아니, 윈도우10을 깔지 말라니요?” WindBoy 2015-07-31 29