적절한 사이버보안 훈련은 보안 침입에 대항하는 중요한 방어책이다. IT 정책과 방화벽, 물리적 보안 및 여러 가지 주의 사항들도 도움이 되지만, 직원들을 훈련하는 것도 조직의 보안을 유지하고 위협에 대비한 강력한 방어벽을 구축하는 데 도움이 된다.

사이버 보안 훈련은 쉽지만은 않다. 시스템 정화에 발생할 비용을 절약하고 생산성 저하를 막을 수 있도록 직원을 대상으로 한 교육을 실시할 때 발생할 수 있는 몇 가지 장애물이 있다.

직장 내 사이버 보안에 대한 설문조사

소프트웨어 기업, 오픈 VPN이 IT 전문가 250명을 대상으로 재택근무 가능성과 자사 재택근무자의 보안 정책 수준에 대해 조사했다. 응답자 중 92%는 재택근무의 장점이 위험보다 크다고 답했지만, 90%는 재택근무자들이 보안 위협에 노출될 수 있다고 생각했다. 54%는 재택근무자들이 일반 근무자보다 더 큰 보안 위협을 가할 수 있다고 답했다.

응답자가 속한 조직의 재택근무 정책 요소에 대해 질문하자, 74%는 VPN이 필요하다고 했으며 69%는 “민감한 데이터는 암호화해야 한다”고 답했다. 68%는 개인 기기에서 업무 관련 데이터를 사용하는 것을 금지해야 한다고 밝혔고 66%는 직원들의 보안 훈련이 필요하다고 답했다.

패스워드 매니저 사용이 필요(56%)하거나 회사에 개인 기기 반입을 금지(38%)해야 한다고 답한 응답자도 있었다. 재택근무자들의 사이버보안 교육 참여 빈도에 대해 질문하자, 23%는 연간 2회 이상, 32%는 연간 2회, 25%는 연간 1회, 8%는 입사 시라고 답했으며 11%는 직원이 원할 때마다 온라인 플랫폼으로 교육하고 있다고 밝혔다.

보안회사 트렌드 마이크로는 27개국 재택근무자 1만3,000명 이상을 대상으로 또 다른 조사를 실시했다. 그 결과, 응답자의 72%는 팬데믹 상황이 이어지면서 사이버 보안에 대한 인식이 높아졌고, 81%는 자신에게 직장의 사이버 보안 문제에 대한 책임이 있다는 것에 동의한다고 답했다.

56%는 근무용 전자기기에 비업무용 애플리케이션을 설치했다고 시인했으며, 66%는 기업 데이터를 비업무용 애플리케이션에 업로드한 경험이 있다고 밝혔다. 64%는 회사 기기에 비업무용 애플리케이션을 설치하는 것은 보안상 위험하다고 답했다. 39%는 개인용 데이터에서 업무용 데이터에 접속하고 있지만, 직장 보안 정책에 위반되는 행위인 것을 인정했다.

80%는 업무용 컴퓨터를 사용해 개인 용도로 검색을 했으며 그중 36%는 방문한 웹사이트에 대해 제재 조치를 받았다. 또한, 85%는 IT 팀으로부터 심각한 제재를 받았으며 34%는 사용하고 있는 애플리케이션이 회사 IT 팀의 승인을 받아야 하는지 생각하지 못했다고 답했다.

사이버 보안 교육의 장애물

비용이 많이 든다

기업 입장에서는 사이버 보안 교육에 예산을 할당하는 것이 어려울 수 있다. 이 때문에, 경영진들은 사내 인력자원부서에 교육을 위임하고 필요한 인재를 고용하는 방법을 찾아내길 기대하고 있다. 하지만 경영진은 투자대비수익과 위기관리를 통해 사이버 보안 훈련을 고려해야 한다.

또한, 기업은 간부와 직원들에게 사이버 보안을 교육하기 위해 세미나를 활용할 수 있다. 하지만 사이버 보안은 계속 진화하고 있는 분야이기 때문에 최신 정보를 담은 내용이어야 한다.

기업 문화가 아니다

사이버 보안을 기업 문화의 일부로 만들기 위해서는 행동을 바꿀 수 있는 책임감을 필요로 한다. 조직이 먼저 직원들에게 데이터 침입이 개인의 생활에 어떤 피해를 입히는지 제시해야 한다. 예를 들어, 데이터 침입으로 인해 기업의 신뢰도가 깎이고 이로 인해 영업팀이 피해를 입을 수 있다. 또한, 수익 손실은 직원의 보너스 삭감으로 이어질 수 있다.

시간이 충분하지 않다

2019년 2분기에 벌어진 랜섬웨어 공격은 평균 약 10일의 고장 시간을 유발했다. 직원들은 피싱 사기 징후를 알아채고 개인 및 업무 패스워드를 검토하게 해 이 같은 공격을 예방할 수 있다. 또한, 기업은 직원들을 훈련해 생산성을 저해하게 만드는 실수를 미연에 방지할 수 있다.

직원을 대상으로 한 사이버 보안 교육 방법

직원들은 정보를 안전하게 보호하는 것은 IT 부서의 책임이라고 생각하기 쉽지만, 이들에게 주인의식을 고취해 회사의 데이터와 자산을 보호할 수 있게 하는 것이 필요하다.

조직들이 우선 사항으로 두어야 할 것은 패스워드의 사용이다. 패스워드는 무작위 철자와 특수 문자, 숫자를 조합해 특별하게 만들어야 한다.

직원들은 동료를 확인해야 한다. 예를 들어, 상사로부터 동료 직원의 은행 정보 변경을 요청하는 이메일을 받은 경우, 해당 상사에게 직접 확인해야 한다. 회사 내에서 인증의 문화가 만들어지면, 피해를 입는 사례가 줄어들 수 있다.

최종 사용자는 지속적으로 우수한 사이버 위생에 대해 교육 받을 필요가 있다. 알지 못하는 링크와 첨부파일, 광고를 클릭해서는 안 된다는 것을 배워야 한다.

직원들은 사이버 공격과 피싱 징후를 확인하는 법을 배워야 한다. 해커는 전통적인 보안 방어벽을 우회하고 적법한 인물이나 단체를 사칭해 민감한 회사 데이터를 훔칠 수 있다.

사이버 보안을 강화하는 기업은 직원을 보호하고 성장을 유도하는데 한 발 나아갈 수 있다.