직원의 보안 실수 원인을 이해하면 CISO가 보안 인식 교육 전략을 의미 있게 조정하는 데 도움이 될 수 있다.
사이버 보안과 관련된 위험은 계속 진화하고 있지만, CISO가 먼저 해결해야 할 과제는 인적 오류 관리다. 고급 솔루션과 정교한 프로토콜이 마련돼 있어도 직원들이 실수로 민감한 데이터와 시스템을 사이버 위협에 노출시키는 일이 계속되고 있다.
버라이즌(Verizon)이 2024 데이터 유출 조사 보고서(DIBR)에서 지난해 발생한 3만 458건의 보안 사고를 분석한 결과, 유출은 1만 626건으로 전년 대비 2배 증가 및 사상 최고치를 기록했다. 중요한 점은 3분의 2 이상(68%)이 인적 요소에 기인한 사고였다는 것이다. 그렇기 때문에 CISO는 직원이 보안을 해치는 행동을 했을 때 그 이면에 무엇이 있는지 파악하는 것이 중요하다.
사이트랙션(Cyttraction)의 CISO인 캐롤린 데지레 토퍼는 “사이버 보안 관점에서 종종 잊는 것이 있다. 함께 일하는 사람들이 서로 완전히 다른 배경, 다른 일상, 다른 기술 접근 방식을 갖고 있다는 점이다”라고 말했다.
직원들의 행동에 영향을 미치는 심리적 요인을 이해하면 CISO는 실질적인 위험 인식을 높이고 지속적인 행동 변화를 이끌어낼 수 있다. 문제가 발생하는 주요 원인은 대부분 3가지로 귀결된다.
1. 방어에 대한 자신의 역할을 이해하지 못한다.
교육 실시에도 불구하고 많은 직원이 1차 방어선으로서 경계의 필요성을 제대로 이해하지 못하고 있다. 그 대신 사이버 보안이 IT 부서의 책임이라고 생각해 데이터 보호에 소홀해진다. 사이버 보안 인식 전문가인 이타마르 샬레브는 “직원은 회사의 보안 시스템이 막아줄 것이라고 믿기 때문에 의심스러운 링크를 클릭할 때 필요한 만큼 조심하지 않는다”라고 설명했다.
이 문제를 해결하는 한 가지 방법은 보안 교육의 형식과 빈도를 다양화하는 것이다. 토퍼는 이렇게 하면 일관된 경계의 중요성을 더 잘 전달하고 직원들이 한 번에 너무 많은 내용을 받아들이기보다는 각 교훈을 효과적으로 흡수할 수 있다고 언급했다. 그녀는 “1년에 한 번씩 이 주제를 다룬다거나 동료들에게 인식 교육에 참여하도록 강요하지 말고, 다양한 링크와 채널을 통해 연 5~6회 정도 사이버 보안을 소개하는 것이 좋다”라고 말하면서, 3~15분 길이의 특정 대상별 동영상을 몇 주마다 직원들에게 보여줄 것을 권장했다.
이와 관련된 문제는 사용자가 회사의 보안을 위협하는 행동을 했을 때 그 결과가 두려워 문제를 신고하기를 꺼리는 경우가 많다는 것이다. 신고 지연은 악의적인 공격자가 심각한 피해를 입힐 수 있는 시간을 연장한다. 버라이즌의 DBIR에 따르면 조직이 중요한 취약점을 패치하는 데는 평균 55일이 걸리며, 이 시간은 랜섬웨어 공격으로 인한 비용 손실부터 기업의 평판 훼손에 이르기까지 다양한 피해로 이어질 수 있다.
CISO는 모든 사람이 조직의 보안을 유지하는 데 있어 스스로의 역할을 인식하는 문화를 조성해 이 문제를 해결할 수 있다. 이름을 언급하고 수치심을 주는 방식으로 공포 문화를 조성하는 대신 현명한 보안 결정을 내리고 위험을 방지한 사람을 강조해 롤모델로 삼는 식으로 사건을 학습 경험으로 전환할 수 있다.
2. 보안보다 편리함을 우선시한다.
사람들은 직장에서 가능한 한 빠른 경로를 찾으려는 경향이 있다. 이 과정에서 편리함을 위해 보안이 손상되는 지름길을 택하는 경우가 많다. 안전하다고 믿고 공개 리포지토리에서 라이브러리를 가져오는 경우 멀웨어를 배포하고 비밀번호를 도용하는 데 계속 사용될 수 있기 때문에 기술 직원도 예외는 아니다.
시스템을 위협하는 지름길을 피하기 위해 CISO는 자동화된 MFA 프롬프트를 설정해 손상된 비밀번호로 인한 위험을 방지하고 생성형 AI 또는 다운로드 가능한 코드 라이브러리 등 데이터를 위험에 빠뜨릴 수 있는 서비스의 액세스를 제한할 수 있다. CISO는 회사 개발자가 멀웨어 검사를 거쳐 멀웨어가 없는 것으로 인증된 대체 서비스 목록을 제공해야 한다.
3. 경고 피로에 시달린다.
사이버 보안 고문인 알렉산드르 블랑은 인간이 반복적인 작업을 할 때 지속적인 알림을 무시하고 ‘자동 조종 모드’처럼 되는 경향이 있다고 설명했다. 공격자들은 이런 점을 악용해 직원이 항상 접하는 디지털 메시지에 피싱 시도 및 기타 공격을 삽입한다.
이런 위협에 대한 경고는 설정할 수 있지만, 알림이 지속적으로 발생하면 경고에 대한 피로도가 높아진다. 직원들이 알람을 무시하는 데 익숙해지면 실제 위협에 대한 경고도 무시하게 될 수 있다.
버라이즌은 DBIR에서 “효과적인 통제는 일반적으로 기술적 자원과 함께 인적 요소를 활용하는 것”이라고 언급했다. 다행인 점은 기업들이 이 사실을 인식하고 있다는 것이다. 이에 따라 많은 기업이 “바람직한 보안 행동을 장려하기 위해 넛지나 리마인더 같은 행동 과학 기법을 적용하기 시작했다”라고 샬레브는 말했다. 넛지는 경고 피로를 유발하지 않으면서도 직원들이 하던 일을 잠시 멈추고 디지털 요청이 합법적인지 평가한 후 행동할 수 있도록 유도한다.
블랑은 직원들에게 다음 3가지 질문을 던져볼 것을 권장했다.
– 이 메시지나 정보 요청을 받은 이유는 무엇인가?
– 내가 요청했는가?
– 다른 채널을 통해 이 요청을 확인할 수 있는가?
사용자가 공격과 사기를 방지하려면 대역 외 통신으로 확인해 봐야 한다. 이전에 합법적인 것으로 확인된 전화번호나 이메일을 통해 해당 비즈니스에 연락하면 메시지가 주장하는 주체가 승인했는지 여부를 확인할 수 있다.
CISO가 모든 인적 위험을 제거할 수는 없지만, 잘못된 의사 결정의 심리적 원인을 해결하는 전략을 통해 사고를 크게 줄이고 사이버 인식 문화를 촉진할 수 있다. 보안 리더는 투명하고 책임에 초점을 맞춘 문화를 조성해 사이버 보안 방어의 최전선에 활동할 역량을 가진, 참여적이고 정보에 입각한 직원을 육성할 수 있다. dl-ciokorea@foundryco.com
