기업보안, 함께 잘해야 살아남는다
감성보안프로젝트#3 : 4차산업혁명 시대에 임직원 정보보호 인식제고 방향
시스템 해킹보다 사람 해킹이 더 쉽다
기술이 급변하고 융합되고 있는 4차산업혁명 시대에 직원이 기업에서 가장 큰 보안 취약점이 되고 있다. 실제 최근의 사이버 보안 위협은 다양한 IT 기술과 방식을 활용하여 특정인을 타게팅하는 지능화 지속 위협(APT:Advanced Persistent Threats)으로 빠르게 진화되고 있다. 그만큼 정보보호 교육을 제대로 받지 못한 직원은 보안상의 매우 큰 위협 요인이 될 가능성이 높다.
CONCERT(한국침해사고대응팀협의회) '2018년 기업 정보보호 이슈 전망' 보고서에서도 보안담당자가 가지고 있는 대표적인 고민거리에 '정보보호 인식제고'가 가장 큰 비중을 차지하고 있으며, 신규 보안 인력이 갖추어야 할 역량으로 커뮤니케이션 능력과 전체를 조망하는 능력을 꼽고 있다[1].
그만큼 보안에서 사람, 즉 직원의 역할은 중요하다.
보안담당자는 직원의 정보보호 인식 수준을 높이기 위해 매년 정보보호 교육을 실시하고 있지만, 형식적인 수준에 그치기가 쉽다. 사실 인식을 바꾼다는 것은 쉬운 일이 아니다. 인식을 바꾸기 위해서는 지속적인 관심과 임직원의 눈높이에서 끊임없이 소통하는 것이 중요하기 때문이다. 특히 소수의 인력으로 운영되는 정보보호 조직에서 보안 기획, 보안 운영 등 다양한 보안 업무 속에서 임직원의 정보보호 인식제고 활동에만 신경 쓰기 어렵다.
성공적인 정보보호 인식제고를 위해서 우리는 정보보호 교육을 조직(회사)의 목표로 인식할 수 있도록 방향을 설정하고 적극적으로 협업 요청을 해야 한다. 보안은 보안 부서에서만 하는 것이 아니라 모든 직원이 협력해야 할 공동의 목표로 정보보호 인식제고 활동을 전환해야 한다.
조직은 개인의 총합보다 더 큰일을 하기 위해서 협업을 한다. 단순히 누군가를 돕기 위한 것이 아니다. 공동의 목표를 위해 우리는 각자의 역할에 따라서 책임을 다하고 협력적으로 행동해야 한다.
- 성과중심으로 일하는 방식 中
직원의 협력을 이끄는 정보보호 인식제고 활동에 보안담당자가 명심해야 할 3가지는 다음과 같다[2].
1. 교육할 내용을 정확하게 알려준다.
바쁜 동료에게 정보보호 교육은 부담일 수밖에 없다는 것을 인정하자. 대신 직원의 눈높이와 조직 문화에 맞는 내용으로 정리한 교육 자료를 준비한다.
2. 교육하게 된 배경을 이해시킨다.
상대방이 기꺼이 업무를 협조해주도록 설득시키는 것도 기술이다. 무턱대고 '하라고' 하는 것은 상대방의 기분을 상하게 할 수 있다. 교육할 수밖에 없는 배경, 회사의 목표에 어떻게 연결되는지, 이유가 분명해야 한다.
교육하는 배경과 이유가 불명확하면 전달하는 메시지가 설득력을 잃는다.
3. 직원의 참여가 얼마나 도움이 되었는지 감사를 표현한다.
부족한 부분은 서로가 보완해주고 잘하는 것은 더욱 잘해서 시너지를 발휘하는 것이 협업이다. 조직의 목표를 중시할 때 진정한 협업이 가능하다.
훌륭한 커뮤니케이터는 상대의 언어를 사용한다.
- 미디어 전문가 ‘마샬 맥루한 -
참고문헌
[1] '2018년 기업 정보보호 이슈 전망' 보고서, CONCERT
[2] 성과중심으로 일하는 방식, 류랑도 지음, 쌤앤파커스
감성보안프로젝트#2 : 감성보안 실전TIP 7가지
감성보안프로젝트#1 : 보안, 통제보다 스스로 성장하게 하자
