인적 위험으로부터 사이버 보안 관리를 위한 4가지 방법
우리 사회가 디지털 시대로 진입함에 따라 이에 따른 부작용도 속출하고 있다. 2022년 세계적 보안전문 업체인 Tessian사의 보고에 의하면 평균 다섯 개의 조사 중 두 경우에서 직장 내 사이버 보안 실수가 있었다고 인정한 것으로 나타났다. 동 보고서는 데이터 사고의 85%가 인간의 실수에 의한 것이라고 한다.
비밀번호를 재활용하거나 고객의 기밀 정보가 담겨있는 회사 노트북의 도난 또는 분실, 또는 회사의 보안 정책을 의도적으로 무시하는 경우에서 볼 수 있듯이 사이버 보안 공간에서 가장 큰 위협을 제공하는 것은 인간이다. 이러한 이유로 기업의 최고정보책임자들(CIOs) 및 보안을 책임져야 할 사람들은 기술이 아닌 사람에 대해서 고민할 수밖에 없다.
사람들은 실수하며 살아간다. 디지털 사회에서도 예외일 수 없다. 예컨대, 기기에서 데이터를 올바르게 삭제하지 않아서 발생할 수도 있고, 피싱 이메일의 링크를 클릭하는 등 충분히 방지할 수 있음에도 실수로 이어질 수도 있으며, 네트워크 기기와 서버의 잘못된 구성에서 비롯될 수도 있다. 불행히도, 사람에게는 부주의한 면이 있다.
보안 패치를 업데이트하지 않거나 취약한 점이 있는 서버임에도 올바르게 구성하지 않아 발생하는 데이터 유출 증가 등, 이러한 일들이 직접적인 보안 공격만큼 흔히 발생하기도 한다. 그리고 감지하기 어려운 내부 위협도 있다. 악의적인 직원이나 신뢰가 실추된 직원은 모두 인간이라는 공통적인 취약점을 공유하고 있다.
내부 인적 위험 관리를 위한 4가지 방법
기업 경영자는 직원의 실수에 의한 사이버 보안 위험을 미리 예방하고 필요한 조치를 강구해야 한다. 효과적인 방법으로, 사이버 위험에 대한 정기적인 교육 및 직원들의 인식 강화, 명확한 정책 및 절차 수립, 효율적인 커뮤니케이션 채널 구축, 보안 사고 대응계획 수립, 그리고 잠재적 위험을 식별하고 최소화하기 위한 정기적인 보안 평가 등을 들 수 있다.
또 다른 필수 단계로는 견고한 접근 제어 시스템 구현, 네트워크 활동 모니터링, 보안 정책 검토 및 업데이트 보안을 우선시하는 기업문화 조성 등이 있다. 사이버 보안 인식과 교육은 사람의 실수로 인한 보안 위험의 대응에 효과가 크다. 다음은 경영자가 고려해 볼 수 있는 4가지 내부 인적 위험 관리 방법을 소개해 놓은 것이다.
1. 인간의 실수 예방
보안의 중요성에 대한 인식과 교육은 직원들이 보안 무결성을 유지하는 한편 일상적인 실수를 피하는데 도움을 줄 수 있다. 예를 들어, 강력한 비밀번호를 만드는 방법, 피싱 이메일을 식별하는 방법, 그리고 민감한 데이터를 적절하게 처리하는 방법 등에 대한 교육이다.
2. 조기 탐지
사이버 보안 인식과 교육을 통해 직원들은 수상한 활동을 인식하고 보고하는 방법을 숙지할 수 있다. 이를 통해 보안 사고의 조기 발견과 신속한 대응이 가능하며, 사이버 공격의 영향을 최소화할 수 있다.
3. 사고 대응방법의 개선
사이버 보안 교육을 받은 직원들은 사이버 공격으로 인한 피해를 최소화하기 위해 정해진 절차와 매뉴얼에 따라 보안 사고에 대응하는 방법을 알 수 있다. 이에 따라 사고 발생 시 더욱 효과적으로 대응할 수 있게 된다.
4. 보안 문화 확립
사이버 보안 인식과 교육을 통해 기업의 보안 문화를 강화할 수 있다. 직원들이 보안의 중요성과 보안 유지를 위한 자신들의 역할을 이해하면, 보안 문제를 진지하게 대하게 되고 우선시하게 된다.
사람에 의한 위험을 관리하고 보안 교육을 강화하기 위해선 강력한 리더십이 필요하다. 헌신적인 리더십은 지속적 학습과 기업문화 강화에 필요한 힘의 원천이 된다. 경영진의 적극적인 참여를 통해 교육과 개발 자원들에 대한 지속적인 투자가 이루어져야 한다. 개발 자원이란 교육, 워크샵 및 멘토 프로그램과 같이 다양한 형태의 자원을 말한다.
사이버 위협이 복잡성과 빈도수가 증가함에 따라, 보안 기술 교육에 투자하는 것은 기업 내부와 외부의 위협으로부터 인적자원, 자산 및 데이터 보호를 위한 중요한 과제라 할 수 있다.
<참고문헌>
4 ways to manage the human threat to cybersecurity (bizcommunity.com)에서 발췌 정리
사업이 성장하여 시스템에 의한 체계적인 경영관리가 필요할 때,
전문가 부재로 데이터에 의한 경영관리의 어려움을 느낄 때,
기업 경영 경험이 부족하여 경영관리의 어려움을 느낄 때,
TSP의 BPS 서비스를 만나보세요!
Trust Service Provider (trustsp.com)
