새로운 소식

#### 보안 인식 교육? 최소한의 필수 교육만 억지로 받아 가까스로 기본기만 갖춘 일반인들이, 고도의 훈련을 받고 자발적으로 IT 기술을 공부하고 실제 현장에서 시행착오를 겪어가며 실전 감각을 쌓아가는 소시오패스들의 집요한 공격을 막을 수 있다? 이게 논리적으로 맞는 말인가? #### Security by design 우리가 하고 있는 보안 교육 프로그램 대부분의 문제는, 보안의 현재 문제와 정확히 일치한다. 겉돈다는 것이다. 현대 정보보안의 화두는 ‘비즈니스 프로세스에 적극 개입해야 한다’는 것이다. 설계부터, 아니, 심지어 기획부터 보안을 염두에 둔 ‘security by design’을 추구하는 것이 요즘의 추세이다. 깊숙하게 보안이 박히지 않고, 완성된 것 위에 추가로 얹어내는 고명과 같은 보안은 이제 통하지 않는다. 그러므로 교육도 그렇게 해야 한다. #### 비즈니스 프로세스 예를 들어 피싱 공격에 대해 일반 직원들을 대상으로 교육한다고 했을 때, ‘결국 속지 말아야 할 것은 바로 당신’이라고 결론을 내려서는 안 된다. 인사부의 정상적이고 합법적인 업무 절차에 보안을 녹여내고, 그걸 가르쳐줘야 한다. 즉, 개인식별정보를 누군가에게 전송할 때의 공식적인 절차를 만들면 될 일이다. 개인정보를 전송할 때의 결제 라인을 공식적으로 지정해주면 적어도 말단 직원이 누군가에게 속아서 개인정보를 넘길 일은 없어진다. 매번 이메일을 열고 ‘잠깐, 이거 수상한 거 아냐?’라고 생각하게 하고, 그것에 정보의 안전을 맡겨서는 안 된다는 것이다. #### 보안 인식 교육의 실패 원인 결국 보안 인식 교육이 실패하는 이유는, 우리의 일상적인 업무 절차와 프로세스가 안전하지 않기 때문이다. 그러므로 교육만의 문제가 아니다. 제대로 된 회사라면, 개인의 꼼꼼함과 역량에 중요한 자산을 믿고 맡기지 않는다. 사람보다 단단한 건 시스템이다. 사용자를 믿지 말라는 게 아니라, 그들의 실수까지도 커버할 수 있는 보안이 되어야 한다는 것이다. #### 프로세스, 프로세스, 프로세스 이상적인 보안 교육 프로그램이란, 업무의 절차까지도 안전하게 만들어주는 것이어야 한다. 적어도 지금의 때엔 그렇다. 피싱 사례들 들고 와서, 이렇게 속았고 저렇게 속였다는 시나리오만 주구장창 읊어봐야 그들은 또 다시 속기 쉬운 환경으로 돌아가, 속을 수 있다는 사실을 잊고 일하기 시작한다. 마찬가지로 “USB 잃어버리기 쉬우니 조심하라”고 가르쳐주는 것도 별 효과가 없다. USB를 사용하는 것에 대한 특별한 절차와 규정을 만드는 게 훨씬 낫다.