ICT뉴스
제목 하단 바

"보안을 마케팅하라" 사용자를 설득하는 8가지 방법
작성일자 2019.08.23 조회수 6622
첨부파일 없음

수치는 긍정적이지 않다. 최근 여러 보고서에 따르면, 대부분의 기업 직원은 사이버보안 모범 사례에 대해 아는 것이 별로 없다.

보안 교육 업체 미디어PRO(MediaPRO)가 2018년에 발표한 개인정보보호 및 보안 인식 현황 보고서에 따르면, 설문에 참여한 1,024명의 직원 가운데 75%는 사이버보안 인식이 부족한 것으로 나타났다.

마임캐스트(Mimecast)의 보고서 내용도 비슷하다. 클라우드 기반 이메일 관리 전문업체인 마임캐스트의 의뢰로 구글 컨슈머 리서치가 다양한 분야의 직장인 1,000명을 대상으로 실시한 설문 조사에서 응답자의 25%는 피싱, 랜섬웨어 공격과 같은 가장 일반적인 사이버보안 위협에 대해 모른다고 답했다.

게다가 마임캐스트 설문 응답자의 약 절반은 회사에 의무적으로 참여해야 하는 사이버보안 교육 프로그램이 없다고 답했으며 10%는 선택적 교육 프로그램이 있다고 답했다. 또 다른 10%는 온보딩 과정에서 받은 교육이 유일한 공식적인 사이버보안 교육이라고 말했다.

이런 통계를 감안하면 사이버보안 전문가들이 조직의 시스템과 데이터를 보호하기 위한 보안 계층에서 가장 약한 고리를 여전히 사람으로 보는 것도 이상한 일은 아니다.

물론 새삼스러운 사실은 아닐 수 있다. 그러나 오래 전부터 많은 보안 책임자들이 어려움을 느껴온 부분은 ‘어떻게 하면 더 많은 직원들이 보안을 의식하고 조직 보호에 더 적극적으로 참여하도록 이끌 수 있는가’이다.

전문가들은 CISO가 보안 메시지를 더 효과적으로 전파하고 직원들을 움직여 보안 사명에 동참하도록 하기 위한 전략이 있다고 말한다. 무서운 사이버 사고 이야기로 겁을 주는 전략이 아니라, 직원을 지원하고 업무를 수행하는 데 필요한 기능을 제공하고 역량을 부여하는 전략이다.

 PwC의 사이버보안 및 개인정보보호 사업부 수장인 조 노세라는 “중요한 것은 사람들의 지지를 얻고 이들에게 보안에 신경을 써야 할 이유를 주는 것”이라면서 “해서는 안 되는 것에 대해 말하는 CISO는 변화를 이끌고 지지를 얻기 어렵다. 또한 공포와 불확실성, 의심을 기반으로 하는 전략으로는 보안 프로그램에 대한 지지를 얻지 못한다. CISO는 보안이 비즈니스를 어떻게 돕는지에 대해 이야기해야 한다”고 말했다.
 
보안의 가치를 더 효과적으로 알리고 동참을 이끌기 위한 8가지 검증된 전략을 소개한다.


"짧게"

IT 서비스 및 솔루션 업체 UST 글로벌(UST Global)의 CISO인 토니 벨세라는 보안 규약에 대한 긴 강의는 일상 업무로 이미 바쁜 회사 직원들에게 부담이 된다고 판단, 정식 과정으로 구성된 교육 세션 대신 대상별로 짧게 나눈 학습 방법을 택했다. 

벨세라는 매월 사전 공지 없이 피싱 공격과 같은 사기 공격을 시뮬레이션으로 실행한다. 벨세라는 “시뮬레이션이지만 진짜처럼 정교하게 만든다”고 말했다. 

누군가 여기에 속으면 해당 직원에게 즉시 경보와 함께 보안 규약에 대한 간략한 현장 복습 과정이 제공된다(본인의 선택에 따라 나중에 볼 수도 있음). 이 짧고 재미있는 접근 방법은 직원들에게 보안 팀 때문에 너무 많은 업무 시간을 소비한다는 불만을 일으키지 않고도 전사적으로 중요한 교육을 진행할 수 있게 해준다.


개인적 관점에서 전달

직원들의 마음을 얻고자 하는 보안 책임자는 직원들에게 개인적으로 다가가서 보안 단계를 따르는 것이 직원 스스로의 업무와 사생활을 보호하는 데 어떻게 도움이 되는지를 보여줘야 한다. 노세라는 “경험을 개인화할수록 더 좋다. 직원에게 현실감 있게 전달하고 보안이 그 직원 또는 직원의 업무 수행 능력에 어떻게 영향을 미치는지 보여주면 직원은 개인적인 수준에서 보안의 의미와 보안에 신경을 써야 하는 이유를 이해하게 된다”고 말했다. 

예를 들어 직원에게 자녀를 온라인에서 안전하게 보호하는 방법, 사무실에서 고객 데이터를 안전하게 취급하는 방법을 교육할 수 있다. 벨세라는 “이렇게 하면 직원 관점에서 보안은 귀찮은 존재에서 도움이 되는 존재로 바뀌게 된다”고 말했다.


보안 대사 찾기

자동차용 시트 및 전기 시스템을 제조하는 리어 코퍼레이션(Lear Corp.)의 직원 수는 16만 1,000명 이상이다. 이 회사는 포스터, 비디오, 팟캐스트, 문서, 디지털 신호, 대화형 학습 등을 통해 보안 메시지를 전달하는데, 사내 커뮤니티에서 많이 사용되는 야머(Yammer)를 자주 활용한다.

그러나 CISO 얼 더비는 거기서 그치지 않았다. 더비의 보안 팀은 2017년 6월 보안 인식 대사(Security Awareness Ambassador) 프로그램을 만들어 이 프로그램을 사용해서 교육 자료를 배포하고 보안 인식 또는 모범사례를 잘 실천한 직원들에게 상으로 “챌린지 코인”을 제공하기 시작했다.

더비는 “당시에는 전 세계가 워너크라이(WannaCry) 랜섬웨어 바이러스를 차단하는 데 고심했다. 우리에게는 정보 보안의 개념을 모두가 항상 유의해야 할 개념으로 쇄신할 기회가 됐다. 목표는 사이버 위협과의 싸움은 회사가 아니라 모두가 참여하는 싸움이라는 메시지를 전달하는 것이었다. 무엇보다, 정보 보안이 기술 문제가 아니라 사람의 문제라는 점을 인식시키고 리어의 직원들과 이들에게 사이버 범죄자에 맞서 싸우는 데 필요한 툴을 제공하는 방법에 초점을 맞추고자 했다”고 말했다.


경영진의 동참 유도

글로벌 이미징 솔루션 기업인 렉스마크(Lexmark)의 CISO 브라이언 윌렛은 보안 메시지 마케팅을 혼자서 감당할 필요는 없다면서 다른 경영진이 회사의 보안 정책과 절차를 받아들이도록 하면 각 팀에 보안 메시지를 효과적으로 전파할 수 있다고 말했다. 

윌렛은 “CEO를 비롯해 모든 비즈니스 리더가 보안 사명에 동참하도록 해서 각 분야 회의나 전 직원 회의에서 이들의 도움을 받아 보안과 개인정보보호에 대한 초점을 강화할 수 있었다. 리더십이 동참해서 사명과 목표를 전파하는 데 도움을 주지 않았다면 나 혼자 아무리 떠들어도 직원들이 제대로 받아들이지 않았을 것이다”고 말했다.


가치 보여주기

렉스마크의 고객은 비즈니스 파트너의 보안을 중시하므로 많은 고객이 렉스마크의 보안 전략에 대한 정보를 요청한다. 강력한 보안 프로그램에 비즈니스 측면의 가치가 있음을 아는 윌렛은 기존 보안 요구사항이나 새로운 전략을 논의할 때 적극적으로 이 가치를 수치화해서 표현한다. 

윌렛은 “보안은 오래 전부터 렉스마크 고객의 가장 큰 관심사이며 회사 경영진도 이를 알고 있다. 경영진은 우리가 제공하는 상품에 대해 고객이 안심할 수 있도록 필요한 보안 단계에 따라야 한다는 것을 안다”면서, 보안을 비즈니스 가치의 틀 안에 넣음으로써 ISO 인증을 포함한 다양한 보안 투자에 대해 경영진의 지지를 확보할 수 있었다고 덧붙였다.


빠른 대응

윌렛의 보안 인프라는 대부분의 기업 보안 시스템과 마찬가지로 잠재적 위협에 대해 경보를 발령한다. 그러나 다른 일부 보안 부서와 달리 윌렛의 팀은 기술 위험에 신속하게 대처하고 사고와 연관된 직원에게 대응하는 데 초점을 둔다. 

윌렛은 “상황이 발생할 때 직원에게 전달되는 스크립트가 있다. 직원들에게 지금 취해야 할 조치를 알려주고, 사고가 어떤 경위로 발생했는지, 재발을 방지하기 위해 어떤 조치를 취할 수 있는지 등의 더 세부적인 배경 정보도 제공한다”면서 이러한 지원 활동이 곧 “상황 코칭(situational coaching)”이라고 말했다. 

윌렛은 일상적인 사고에 대해서는 이 지원 활동 정보가 이메일로 발송되고, 비교적 복잡한 사안의 경우 보안 담당자가 개인적으로 연락한다고 말했다. 어느 쪽이든 보안 기능을 유익한 기능으로 인식시키는 데 도움이 된다. 윌렛은 “이 정보는 상황이 발생하는 시점에 직원을 교육한다. 효과적이며 직원의 반응도 긍정적”이라고 말했다.


단골 만들기

하이트러스트(HITRUST)의 표준 담당 부사장 겸 CISO이며 전 FEI, CSC, 제너럴 다이내믹스(General Dynamics) CISO인 제이슨 톨레는 “보안 임원은 최대한 비즈니스하기 쉬운 파트너가 되어야 한다”고 말했다. 

톨레를 비롯한 여러 사이버보안 리더는 조직 내에서 보안에 대한 긍정적인 인식을 형성하고자 하는 CISO는 보인 인식을 높이는 것 외에 비즈니스와 협력해서 비즈니스 동료가 어려운 과정 없이 안전하게 업무를 수행하도록 함으로써 단골 고객을 만들어야 한다고 말한다. ‘최고의 광고는 만족한 고객’이라는 격언과 일맥상통한다.


직원에게 역량 부여

더비는 보안 팀이 보안 인식 제고 노력의 효과를 추적하기 위해 회사 인력 전반적인 참여 수준을 확인한다고 말했다. 예를 들어 야머 그룹 내의 활동을 살피고 얼마나 많은 사람들이 인식 제고 노력을 공유하는지를 모니터링한다. 또한 작업자의 보안 문제 보고 횟수도 추적한다. 의심스러운 점을 보고하는 사람이 많아질수록 인식도 높아지고 이 과정에서 보안을 파트너로 인식하게 되기 때문이다. 

리어는 보안 인식의 달도 운영하면서 4주에 걸쳐 여러 이벤트와 활동을 진행한다. 오는 2019년 10월은 리어의 세 번째 연간 보안 인식의 달이 된다.

더비는 한달 동안 지속되는 이벤트, 보안 팀의 지속적인 교육과 지원 활동, 보안을 의식하는 직원에게 보상을 제공하는 프로그램 등은 모두 직원에게 역량을 부여하는 결과로 이어진다고 말했다. 이러한 역량 부여라는 인식은 직원이 보안을 긍정적인 시각으로 보게 해준다. 

더비는 “우리 프로그램은 사람들에게 단순히 코인 보상을 받거나 회사를 보호하는 것을 넘어 사이버 공격으로부터 사람들을 보호하기 위한 매우 중요한 싸움에 참여할 수 있는 개인적인 기회라는 인식을 부여한다”면서 “이 프로그램이 추구하는 사명은 보안 정책보다 훨씬 더 고무적”이라고 말했다. editor@itworld.co.kr