온라인 상에서 회사의 위험은 점점 더 심각해지고 있습니다. 최근 2년간 77%의 회사가 최소 한 번 이상의 사이버 사고를 겪었습니다. 그러므로 조직이 이러한 위험을 완화하기 위한 조치를 취하려는 것은 당연한 일입니다. 바로 이때 직원을 대상으로 한 사이버 보안 인식 교육이 유용할 수 있습니다. 예를 들어 다양한 규모의 회사가 경험하는 위협에 대한 Kaspersky의 연구에 따르면 부적절한 IT 리소스 사용과 직원의 IT 보안 위반은 회사가 경험하는 가장 큰 두 가지 위협이며, 사고 한 건당 평균 $337,561의 비용이 발생한다고 합니다. 게다가 회사에서 발생한 사이버 사고의 38%는 실제 사람의 실수로 인해 발생했으며, 26%는 정보 보안 정책 위반으로 인한 것이었습니다.
보안 인식 교육은 데이터를 효과적으로 보호하고, 인적 관련 사고의 수를 줄이고 대응 비용을 절감하며 직원들이 고객 데이터를 책임감 있게 처리하고 안전하게 온라인을 탐색하는 방법을 이해하도록 하려는 회사나 조직에 필수적인 도구입니다. Kaspersky의 2022년 리포트에 따르면 직원들이 보안 사고 발생 시 취해야 할 조치에 대해 인지하고 이해하는 경우 공격자가 회사 인프라에 침투할 가능성이 줄어듭니다. IT 및 보안 전문가가 개발하고 제공하는 이 프로그램은 데이터 유출, 정보 도난, 더 나아가 회사의 재정적 손실과 평판 손상까지 일으킬 수 있는 인적 오류를 방지한다는 공통의 목표를 가지고 있습니다. 그렇다면 성공적인 교육 프로그램은 어떻게 구성되어 있나요? 그리고 직원들이 사이버 보안을 최우선으로 생각하도록 하려면 어떻게 해야 할까요? 아래에서 이 모든 질문에 대한 답변을 확인해 보십시오.
보안 인식 교육이란 무엇인가요?
보안 인식 교육은 다양한 형태로 진행될 수 있는 교육 프로그램입니다. 하지만 모든 프로그램에는 하나의 궁극적인 목표, 즉 회사 직원들이 , 피싱 또는 기타 침해로부터 조직의 데이터와 민감한 정보를 보호하는 데 필요한 지식과 기술을 갖추고 이를 통해 회사의 IT 인프라를 보호하는 것입니다. 사이버 인식 교육에는 다양한 측면이 있습니다. 좋은 프로그램은 이러한 다양한 측면을 다루어 직원에게 데이터와 온라인 활동을 안전하게 관리할 수 있는 종합적인 기술을 제공합니다.
법률에 따라 일부 회사는
GDPR(일반 데이터 보호 규정) 또는 HIPAA(Health Insurance Portability and Accountability Act)와 같은 특정 산업 규정을 준수해야 하며, 그 일환으로 직원에게 사이버 보안 교육을 제공해야 합니다. 이러한 교육은 일반적으로 1년에 한두 번 실시하여 직원에게 끊임없이 진화하는 최신 사이버 보안 문제에 대한 최신 정보를 제공합니다.
직원에게 사이버 보안 교육이 중요한 이유는 무엇인가요?
사이버 보안 침해의 상당수가 사람의 실수와 소셜 엔지니어링의 결과일 수 있으므로 회사는 직원이 공격과 침해에 얼마나 취약한지 인지하고 이러한 위협에 최대한 대응할 수 있도록 해야 합니다. 이러한 이유로 직원을 대상으로 한 보안 인식 교육이 중요합니다. 효과적인 사이버 인식 교육은 직원에게 회사에 어떤 사이버 보안 위협이 존재하는지 교육하고, 잠재적인 취약점을 이해하도록 돕고, 위험 징후를 인식하고 침해 및 공격을 피하는 적절한 습관과 실수를 했거나 의심스러운 점이 있을 때 어떻게 해야 하는지 알려줍니다. 또한 많은 회사가 규정 준수를 충족하기 위해 사이버 보안 교육을 실시해야 합니다.
성공적인 보안 인식 프로그램을 통해 직원이 회사 내 사이버 보안에 대한 책임을 이해하고 온라인, 회사 기기 사용, 사무실 및 원격 근무 등 회사 데이터로 작업할 때 주의를 기울일 수 있습니다. 이를 통해 사이버 공격과 데이터 유출에 대한 회사의 취약점을 크게 줄일 수 있습니다.
온라인 보안 인식 교육에서 다뤄야 할 내용은 무엇인가요?
Kaspersky의 2023 Human Factor Survey에 따르면 직장에서 보안 사고가 발생하는 인적 오류 요인을 분석한 결과, 가장 흔한 직원 요인은 악성 코드 다운로드였고, 두 번째 요인은 취약한 암호를 사용하거나 암호를 정기적으로 변경하지 않는 것이었습니다. 이는 좋은 보안 인식 프로그램이 직원에게 사이버 보안에 대한 총체적인 관점을 제공하고 회사에 사이버 보안이 어떤 의미를 갖는지 알 수 있도록 다양한 요소를 포괄적으로 다루어야 할 필요성을 강조합니다. 예를 들어, 올바른 암호 사용 습관을 익히고 소셜 엔지니어링 사기를 인식하고 안전한 이메일 사용 습관을 보이며 법적 규정을 준수하는 것 등이 해당됩니다.
다룰 수 있는 다양한 보안 주제가 있지만 각 회사의 필요에 따라 프로그램은 약간 다를 수 있습니다. 하지만 사이버 보안 위협과 보호의 많은 요소는 아래에 설명된 대로 모든 조직과 관련되어 있습니다.
- 회사 데이터에 대한 책임: 직원은 취급 및 기밀 유지 관련 법률을 준수할 책임이 있음을 인식해야 합니다.
- 암호 보안: 강력한 암호를 생성 및 사용하며, 정기적으로 암호를하고 잠재적으로 암호 관리자를 사용해야 할 필요성을 이해합니다.
- 피싱 인식: 잠재적인 피싱 이메일을 인식하고 사기나 권한 있는 정보 유출을 방지합니다.
- 규정 준수: GDPR, HIPAA 등의 규정을 따릅니다.
- 데이터 프라이버시: 고객 데이터 또는 민감한 회사 정보와 직원 정보를 보호합니다.
- 내부자 위협: 회사 내에서 발생하는 내부 위협과 취약점을 인식합니다.
- 절차: 보안 사고에 대응하기 위한 정책과 프로토콜을 이해합니다.
- 적절한 온라인 행동: 조직 시스템 내에서 인터넷을 안전하게 사용하는 방법을 학습하고 의심스러운 사이트와 출처를 인식합니다.
- 책임감 있는 이메일 사용: 데이터 유출과 해킹을 방지하기 위해 직원에게 이메일을 안전하게 사용하는 방법을 교육합니다.
- 기기 사용: 노트북, 스마트폰과 같은 회사 소유의 기기를 사용하는 모범 사례에 대한 직원 교육을 실시합니다.
- 기기 보안: 악성 등 외부 위협으로부터 회사 기기를 보호하려면 VPN과 안티 바이러스 소프트웨어를 사용해야 합니다.
- 소프트웨어 사용: 회사 기기에서 사용할 수 있는 소프트웨어와 그 출처 및 피해야 할 소프트웨어를 이해합니다.
- 이메일 습관: 합법적인 발신자를 식별하고 민감한 데이터를 공유하지 않는 등 책임감하는 방법을 숙지합니다.
- 원격 사용: VPN 하는 등 원격으로 작업하는 동안 기기와 시스템을 보호합니다.
좋은 사이버 보안 인식 교육 프로그램은 위에서 언급한 모든 주제를 다룰 뿐만 아니라 다양한 형식을 통합하여 교육에 흥미를 유발하고 자료를 기억하는 데 도움이 되는 기술을 사용해야 합니다. 또한 좋은 교육 프로그램에는 직원들이 실제와의 연관성을 느낄 수 있도록 다양한 실제 사례가 포함되어야 합니다. 균형 잡힌 교육은 허용 범위에 대한 질문에 답하는 것뿐 아니라, 사이버 보안 솔루션이 위협을 탐지하지 못하고 공격이 발생할 경우 '가상' 시나리오와 대처 방법을 다뤄야 합니다. 시뮬레이션 또는 게임화 요소를 통해 기술을 강화하는 것도 매우 중요합니다.
조직 내 사이버 보안 주요 팁
보안 인식을 포괄적으로 이해하는 것도 중요하지만 올바른 전략을 실행하는 것 또한 중요합니다. 그렇다면 회사는 사이버 보안 인식 교육을 통해 어떤 전략을 수립해야 할까요? 회사가 프로그램의 성공 가능성을 높이기 위해 취할 수 있는 다양한 조치가 있습니다. 다음은 사기 피해를 줄이기 위해 명심해야 할 몇 가지 모범 사례입니다.
- 강력한 암호 사용: 암호 위생은 보안 인식 교육의 핵심 초점이 되어야 하므로 회사는 특수 문자, 최소 길이, 대소문자 혼용 등 강력한 규칙 세트를 설정해야 합니다. 회사에서 승인한 암호 관리자를 사용하면 해킹과 사전 공격에 덜 취약한 복잡한 암호를 생성할 수 있습니다.
- 다단계 인증 사용: 현재 많은 주요 조직에서는 사용자 계정과 이메일을 보호하기 위해 사용자에게 2단계 인증을 설정하도록 요구하고 있습니다. 그러면 해커가 사용자 암호를 유출하더라도 연결된 계정에 액세스할 수 있는 가능성이 훨씬 줄어듭니다. 예를 들어 사용자의 휴대폰에 생성된 일회성 암호를 확보할 수 없기 때문입니다.
- 가짜 공격 배포: 사이버 범죄자가 회사의 사이버 보안 프로토콜을 얼마나 쉽게 위반할 수 있는지에 대한 인식을 높이기 위해 IT 팀은 이러한 공격의 모습과 직원이 이를 피할 수 있는 방법을 보여주는 피싱 공격 시뮬레이션을 때때로 구현할 수 있습니다.
- 테스트 메트릭 확인: 공격 시뮬레이션을 배포한 후 관리자는 결과를 컴파일하고 분석하여 사이버 인식 교육의 효율성을 판단하고 적용하는 방법을 결정할 수 있습니다.
- 정기 업데이트: 회사 시스템과 기기를 통해 최근 보안 패치가 배포되도록 모든 소프트웨어를 최신 상태로 유지해야 합니다.
- 노출 제한: 직원은 회사 보안 인식 프로그램을 통해 온라인에서 공유할 수 있는 정보와 공유할 수 없는 정보 및 디지털 발자국을 최소화하는 방법을 잘 이해해야 합니다.
- VPN 사용: 사무실에 있든 원격으로 근무하든 관계없이 직원은 VPN(가상 사설망)을 사용하여 온라인 트래픽을 암호화하고 모든 민감한 정보를 보호해야 합니다.
- 정기적인 데이터 백업: 모든 데이터를 자주 백업하면 조직은 유출 발생 시 최대한 많은 데이터를 복구할 수 있습니다.
- 경영진의 지원 보장: 회사 경영진의 지원을 받으면 직원을 위한 사이버 보안 교육을 실시하는 데 매우 유용할 수 있습니다. 이를 통해 프로그램에 필수적인 리소스를 확보할 수 있으며, 적절한 사이버 보안 정책을 시행할 수도 있습니다.
- 정기적인 위험 평가 수행: 사이버 보안은 끊임없이 진화하는 위협의 세계입니다. 정기적인 위험 평가를 통해 조직 시스템의 잠재적인 취약점과 위협을 파악할 수 있으며, 관리자는 필요에 따라 사이버 인식 교육 프로그램을 조정할 수 있습니다.
- 유익한 대화형 과정 생성: 일반 직원은 매일 사이버 보안에 대해 생각하지 않으며 잠재적인 위협에 대한 많은 지식을 갖고 있지 않을 수 있습니다. 성공적인 보안 인식 교육 프로그램은 직원이 잠재적인 취약점과 이에 대응하는 방법을 이해할 수 있는 실무 경험 방식의 이해하기 쉬운 개요를 제공합니다.
- 정책 업데이트: 조직의 사이버 보안에 대한 새로운 취약점과 위협은 항상 존재하기 때문에 정기적인 관리를 통해 정책을 검토하고 필요한 경우 새로운 정책을 시행해야 합니다.
- 재교육의 중요성: 사이버 인식 교육은 일회성으로 끝나지 않으므로 직원은 사이버 보안을 최우선으로 생각하고 기술을 최신 상태로 유지하는 정기적인 재교육 세션에 참여해야 합니다.
- 온보딩 동안 시작: 사이버 보안 교육은 신입 사원이 회사의 특정 정책에 대한 미묘한 차이를 이해할 수 있도록 온보딩 프로세스의 일부여야 합니다.
사이버 인식 교육의 중요성
Kaspersky의 2023 Human Factor 360 리포트에서 설문조사 응답자에게 회사가 향후 12~18개월 내에 사이버 보안에 가장 투자할 가능성이 높은 분야에 대해 질문한 결과, 응답자의 39%는 사이버 보안 전문가를 위한 교육에, 38%는 직원에 대한 일반 교육에 투자할 가능성이 높다고 답했습니다. 따라서 직원의 사이버 문해력을 높이고 투자하는 것이 회사를 포괄적으로 보호하기 위한 필수 조치임을 이해하는 것이 중요합니다. 뿐만 아니라 모든 필수 주제를 다루고 사이버 행동 변화에 진정으로 영향을 미치는 현대적인 교육 방법이 포함된 올바른 교육 프로그램을 선택하는 것도 매우 중요합니다. 회사 경영진의 지원과 함께 조직의 모든 직급, 심지어 최고 경영진까지 참여함으로써 사이버 보안 환경을 성공적으로 구현하고 유지할 수 있습니다.