통계, 사고 사례, 정책 중심으로 살펴본 보안 트렌드
이 장에서는 최근의 글로벌 설문조사, 실제 인적 요인으로 인한 보안 사고, 그리고 미국·유럽 등 선진국의 정책 및 글로벌 기관의 이니셔티브를 토대로 인간 중심 보안의 현주소와 앞으로의 방향성을 분석합니다. 실제 데이터와 현장 사례를 통해, 기업이 반드시 고려해야 할 보안 전략의 변화와 핵심 포인트를 짚어봅니다.
최근 5년간(2021~2025) 주요 글로벌 리서치, 예컨대 Verizon DBIR, KnowBe4, SANS, PwC, KPMG/MIT 등에서 수집된 데이터를 종합하면, 사이버보안 내 인적 요소와 조직 문화의 중요성이 꾸준히 커지고 있습니다. 조직 내 보안 위협 동향, 보안문화 성숙도, 교육 효과, 신흥 리스크 등 다양한 관점에서 인적 위험 요인이 재조명되고 있습니다.
보안 침해에서의 인간 요소 비중 변화
Verizon DBIR(Data Breach Investigations Report) 데이터에 따르면, 인간 요소 관련 침해 비율은 2021년 85%에서 2025년 60%로 점진적 감소세를 보였습니다만 여전히 전체 침해의 절반 이상이 인간과 관련되어 있어, 기술적 접근만으로는 근본적 해결이 어렵다는 사실을 확인시켜 줍니다[1][2]. 이는 조직들이 인간중심 보안 프로그램과 보안 인식 교육에 더 많은 투자를 하고 있음에도 불구하고, 인간 요소가 여전히 주요 위험 요인으로 남아있다는 것을 시사합니다.
한편, 2025년 DBIR에 따르면 제3자(협력사, 외부 공급망)로 인한 침해 비율이 15%에서 30%로 두 배 증가했습니다[2]. 공급망 및 제3자 위험이 기업 보안의 핵심 이슈로 부상하고 있음을 시사합니다.
피싱과 소셜 엔지니어링의 진화
피싱 및 소셜 엔지니어링 공격은 점점 더 정교해지고 있습니다. SANS 2024 보고서에 따르면 SMS 피싱(스미싱)이 전년 대비 37%, 음성 피싱(보이스피싱)이 45% 증가했습니다[3]. QR코드를 활용한 피싱(Qshing)도 전체의 7%를 차지하며 오프라인-온라인 융합 공격이 현실화되고 있습니다[2]. 이는 모바일 디바이스 사용 증가와 생성형 AI의 음성 합성 기술 발전이 결합된 결과로 분석됩니다.
2024년 KnowBe4 보고서에 따르면, 훈련을 받지 않은 직원의 34.3%가 실제 피싱 테스트에서 실패한 것으로 집계됐는데, 이는 조직의 리스크 노출 수준을 단적으로 보여줍니다. AI로 인한 공격의 정교화 역시 앞으로 더 큰 도전이 될 전망입니다[4].
보안 인식 프로그램 성과와 한계
SANS ‘2024 보안 인식 보고서’에 따르면, 기업의 89%가 소셜 엔지니어링 대응을 교육 목표로 삼고 있으나, 실제 행동 변화 지표를 확보한 기업은 42%에 불과합니다. 이는 단순한 교육을 넘어 실질적인 행동 변화를 유도하는 전략이 필요함을 의미합니다. 또한 이 보고서는 행동 변화를 촉진하는 지속 가능한 보안 문화 구축이 인적 위험 관리의 핵심임을 강조했습니다[3].
PwC ‘2025 글로벌 디지털 신뢰 조사’에서 최고경영층 66%가 "보안 우선주의 문화 부재"를 최대 과제로 꼽았고, 중간관리자 58%가 보안 정책을 오히려 생산성 저해 요인으로 인식하는 등 조직 내 인식 격차도 확대되는 추세입니다[5].
제3자 위험과 공급망 관리
DBIR의 데이터에 따르면, 공급망 또는 제3자를 통한 보안 침해 비율이 2021년 15%에서 2025년 30%로 크게 늘었습니다[2]. 이는 클라우드 서비스 확장과 오픈소스 소프트웨어 의존도 증가가 초래한 결과입니다. PwC 조사 결과, 공급업체에 대한 정기적인 보안 검수를 실시하는 기업은 38%에 불과하고, 중소기업의 72%가 협력사 보안 요구사항을 이행하지 못하고 있습니다. Verizon은 공급망 공격의 44%가 4단계 이상의 간접 연결을 통해 발생한다고 밝혀, 다층적 관리 체계의 필요성을 강조했습니다.
AI와 인간과의 상호작용: 기회와 리스크
2025년 PwC 조사에서 보안 리더 67%가 생성형 AI로 인해 공격 표면이 확대되었다고 답했습니다[5]. 딥페이크 음성 피싱 사례는 2023년 12건에서 2025년 217건으로 급증했습니다. 반면, 행동 분석 AI를 도입한 기업은 위험 탐지 시간을 42% 단축하는 효과를 경험했습니다[2]. Proofpoint 조사에서는 CISO의 74%가 인적 오류를 조직 내 최대 취약점으로 꼽았고, 87%가 AI 기반 솔루션으로 인적 위험 관리를 강화하고 있습니다[6]. SANS는 AI 탐지 신호를 인간 분석가가 최종 판단하는 ‘인간 감시형 AI’ 시스템 도입이 오탐률을 78% 절감시키고, 사고 대응 속도를 2.4배 높였다고 밝혔습니다[3].
시사점
최근 5년간 데이터는, 사이버보안에서 인간 요소의 중요성이 여전히 매우 크고, 기술적 방어만으로는 한계가 분명함을 보여줍니다. 특히 제3자 위험 증가, AI 활용 공격의 정교화, 원격 근무 환경에서의 새로운 위협이 복합적으로 작용하면서, 체계적이고 데이터 기반의 인간 중심 보안 프로그램이 필요합니다.
기업은 단순한 인식 교육을 넘어, 조직 문화로의 내재화, 위험 프로파일링, 행동 분석, 맞춤형 교육, 기술적 방어 조치를 통합하는 전략이 필수입니다. 향후 AI 기반 동적 훈련, 실시간 행동 분석 등 AI와 인간이 협력하는 보안 체계를 도입하는 것이 비즈니스 경쟁력 확보의 핵심이 될 것입니다.
내부자 위협(Insider Threat)은 조직 내부의 사람이 의도적으로 조직에 해를 끼치는 행위를 말합니다. 이러한 위협은 외부 공격보다 탐지하기 어렵고 피해 규모가 클 수 있습니다.
사례 1: 캐시 앱 인베스팅(Cash App Investing) 데이터 유출 (2021)
사건 개요: 2021년 12월, 스퀘어(현 블록) 소유의 주식 거래 앱인 캐시 앱 인베스팅의 전 직원이 회사를 떠난 후 기업 보고서를 다운로드하여 민감한 데이터를 유출시켰습니다[7].
내부자의 악의적 행위: 이 전 직원은 퇴사 후에도 회사 시스템에 접근할 수 있었고, 이를 이용해 고객 정보가 포함된 기업 보고서를 무단으로 다운로드했습니다. 이는 퇴사자에 대한 접근 권한 관리가 제대로 이루어지지 않았음을 보여줍니다.
피해 규모: 이 사건으로 820만 명의 현재 및 이전 고객 정보가 유출되었습니다. 유출된 데이터에는 고객 이름, 중개 계좌 번호, 중개 포트폴리오 가치, 보유 자산, 특정 거래일의 주식 거래 활동 등이 포함되었습니다. 다행히 비밀번호, 사회보장번호, 결제 카드 정보와 같은 민감한 정보는 유출되지 않았습니다.
사례 2: 캐피탈 원(Capital One) 데이터 유출 사건 (2019)
사건 개요: 2019년 3월, 아마존 웹 서비스(AWS)의 전 소프트웨어 엔지니어인 페이지 톰슨(Paige A. Thompson)이 캐피탈 원의 데이터를 저장하고 있는 AWS 서버에 불법적으로 접근하여 2005년부터의 1억 건의 신용카드 신청서를 훔쳤습니다[8].
내부자의 악의적 행위: 톰슨은 AWS에서 근무하며 알게 된 지식을 활용하여 잘못 구성된 웹 애플리케이션 방화벽의 취약점을 발견하고 이를 이용해 1억 명 이상의 캐피탈 원 고객의 계정과 신용카드 신청서에 접근했습니다. 놀랍게도 톰슨은 자신의 행위를 숨기려 하지 않고 오히려 자랑스러워했습니다. 그녀는 온라인 채팅 서비스인 슬랙(Slack)에서 동료들과 해킹 기술을 공유했고, 자신의 실명으로 깃허브(GitHub)에 도난 데이터를 게시했으며, 소셜 미디어에서 자랑했습니다.
피해 규모: 이 사건으로 1억 명 이상의 미국 고객이 영향을 받았습니다. 캐피탈 원은 데이터 유출로 인한 비용이 1억 5,000만 달러에 이를 것으로 추정했습니다. 결국 캐피탈 원은 8,000만 달러의 벌금을 부과받았고, 1억 9,000만 달러의 합의금을 지불했습니다.
교훈: 클라우드 환경의 보안 구성 정기적 검토, 퇴사한 직원의 지식과 접근 권한 관리, 비정상적인 데이터 접근 패턴 모니터링의 중요성 부각
사례 3: 보잉(Boeing) 장기 스파이 활동 (1979~2006)
사건 개요: 보잉은 1979년부터 2006년까지 약 27년간 지속된 내부자 위협 공격을 경험했습니다. 이 사건은 역사상 가장 오래 지속된 내부자 위협 사례 중 하나입니다[9].
내부자의 악의적 행위: 이 사례의 내부자는 보잉 직원이었지만, 실제 고용주는 중국 정보기관이었습니다. 그는 중국의 우주 작전 개선을 돕기 위한 정보를 획득하는 임무를 맡았습니다. 우주 프로그램에 관한 데이터 외에도 군사 제조 정보를 도난했습니다. 도난의 범위는 오늘날까지도 정확히 알려져 있지 않습니다.
피해 규모: 구체적인 금전적 피해액은 공개되지 않았으나, 27년이라는 긴 기간 동안 지속된 스파이 활동으로 인해 보잉과 록웰(Rockwell)의 군사 및 우주 기술 관련 기밀이 대규모로 유출되었을 것으로 추정됩니다. 이는 미국의 국가 안보와 기술적 우위에 심각한 영향을 미쳤을 가능성이 높습니다.
교훈: 장기 근속 직원에 대한 정기적인 보안 검토, 국가 안보 관련 기술에 대한 접근 통제 강화, 이중 국적자 또는 외국 연계가 있는 직원에 대한 추가 검증
시사점
악의적 동기에 의한 내부자 위협은 완전히 차단하기 어렵지만, 퇴사자 접근권한 관리, 장기 근속자 보안 점검, 클라우드 환경 보안 설정의 정기적 검토 등 기술적·관리적 조치를 통해 리스크를 효과적으로 낮출 수 있습니다. 또한, 조직의 보안 문화와 인식 개선이 장기적으로 내부자 위협을 줄이는 핵심 전략임을 시사합니다.
기업 보안에서 내부자의 실수, 무지, 혹은 태만이 얼마나 치명적인 결과를 낳을 수 있는지 최근 사례만 봐도 알 수 있습니다. 프루프포인트의 '2022 내부자 위협 비용 글로벌 보고서'에 따르면 내부자 사고의 연간 평균 총비용이 1,540만 달러(약 201억원)에 달하며, 이 중 우발적으로 발생하는 사고가 전체의 64.9%를 차지합니다.
사례 1: 맥도날드 개인정보 유출 사건 (2023)
사건 개요: 2023년 3월, 개인정보보호위원회는 맥도날드가 개인정보가 포함된 파일의 접근통제를 소홀히 하여 대규모 개인정보 유출 사고가 발생했다고 발표했습니다[10].
내부자의 비의도적 행위: 맥도날드는 개인정보가 포함된 파일에 대한 접근통제를 적절히 관리하지 않았습니다. 내부 시스템 관리자의 보안 설정 미흡과 개인정보 관리에 대한 태만이 주요 원인이었습니다.
피해 규모: 총 487만 6,106명의 고객 개인정보가 유출되었습니다. 이는 국내 인구의 100명 중 9명 이상의 개인정보가 위협에 노출된 것으로, 국내에서 발생한 개인정보 유출 사고 중 상당히 큰 규모에 해당합니다.
결과 및 영향: 개인정보보호위원회의 제재 조치와 더불어 기업 이미지 및 고객 신뢰도 하락
교훈: 개인정보가 포함된 파일에 대한 접근통제 강화 필요, 정기적인 보안 점검 및 취약점 관리 중요성 부각, 개인정보 보호에 대한 조직 전반의 인식 제고
사례 2: 서울신라호텔 이메일 참조 실수 (2023)
사건 개요: 2023년 1월, 서울신라호텔이 고객들에게 단체 메일을 발송하는 과정에서 이메일 참조 설정 실수로 고객 이메일 주소가 유출되었습니다[11].
내부자의 비의도적 행위: 담당 직원이 다수의 고객에게 이메일을 발송할 때 '숨은 참조(BCC)'가 아닌 '참조(CC)' 기능을 사용하여 모든 수신자의 이메일 주소가 다른 수신자들에게 노출되었습니다. 이는 전형적인 휴먼 에러(Human Error)의 사례입니다.
피해 규모: 총 168건의 고객 이메일 주소가 유출되었습니다. 비록 수치상으로는 크지 않을 수 있으나, 고급 호텔 이용객의 개인정보라는 점에서 타겟팅된 공격에 활용될 가능성이 있습니다.
결과 및 영향: 개인정보 유출에 따른 법적 책임 발생, 고객의 신뢰도 하락, 유출된 이메일 주소가 스팸이나 피싱 공격에 악용될 가능성
교훈: 이메일 발송 시 숨은 참조(BCC) 사용의 중요성, 개인정보가 포함된 업무 처리 시 더블 체크 프로세스 도입 필요, 직원 대상 개인정보 보호 교육 강화
사례 3: AT&T 내부 시스템 보안 사고 (2012-2017)
사건 개요: 2012년부터 2017년까지 미국 통신회사 AT&T에서 내부 직원들의 보안 인식 부족과 태만으로 인해 대규모 보안 사고가 발생했습니다[12].
내부자의 비의도적 행위: AT&T 콜센터 직원들이 보안 인식 부족으로 외부인의 뇌물에 넘어가 내부 시스템에 멀웨어를 설치하도록 허용했습니다. 이는 의도적인 행위로 보일 수 있으나, 근본적으로는 보안 교육 부족과 시스템 보안의 중요성에 대한 인식 부재가 원인이었습니다.
피해 규모: AT&T는 이 사고로 인해 2억 달러(약 2,200억원)의 손해를 입었습니다. 해커들은 AT&T 통신망에 가입된 고급 아이폰을 망에서 해제시켜 다른 통신망에서 사용할 수 있게 만들었습니다.
결과 및 영향: 막대한 재정적 손실, 내부 시스템 보안 취약점 노출, 고객 신뢰도 하락
교훈: 직원 대상 보안 인식 교육의 중요성 부각, 내부 시스템에 대한 접근 통제 강화, 비정상적인 시스템 활동 모니터링 필요
시사점
내부자의 실수, 무지, 태만으로 인한 보안사고는 전체 내부자 위협의 64.9%를 차지한다고 합니다[13]. 내부자의 비의도적 요인으로 인한 보안사고는 100% 예방할 수는 없지만, 적절한 교육과 기술적, 관리적 조치를 통해 위험을 크게 줄일 수 있습니다. 특히 조직 문화와 보안 인식을 개선하는 것이 장기적으로 이러한 위협을 줄이는 데 효과적입니다.
디지털 환경에서 보안 침해 사고의 상당 부분이 기술적 취약점보다는 인적 요인에서 기인한다는 인식이 확산되면서, 주요 선진국에서는 보안 전략에서 인간 중심 접근법을 강화하고 있습니다. 특히 최근 사이버 보안 전략들은 단순한 기술적 방어 체계를 넘어서 인적 요소의 중요성을 강조하며, 교육, 인식 제고, 행동 변화를 촉진하는 정책과 이니셔티브를 개발하고 있습니다.
미국은 원래 정부가 앞장서기보다는 민간 주도로 움직이는 국가라, 딱히 인간 중심 보안 관련 구체적인 정책 및 이니셔티브는 크게 눈에 띄지 않습니다. 대신, 온 국민 대상으로 보안 인식 켐페인이나, 사이버 인재 교육 프로그램 개발에 치중하고 있습니다.
Stop. Think. Connect. 캠페인: 미국 국토안보부가 주도하는 "Stop. Think. Connect." 캠페인은 사이버보안에 대한 인식을 높이고 국가 안보 및 개인 생활의 안전과의 연관성을 이해시키기 위한 국가 공공 교육 캠페인입니다. 이 캠페인은 사이버보안에 대한 국가적 인식 제고, 공공 및 민간 부문의 참여 유도, 개인과 가족, 커뮤니티가 온라인에서 더 안전하게 지낼 수 있는 접근 방식과 전략을 개발하기 위한 것입니다. 현재 이 캠페인은 미국뿐 아니라 글로벌 캠페인으로 확대되었고 다양한 인식제고 프로그램과의 협력을 통해 글로벌 보안 인식제고에 영향을 미치고 있습니다[14].
국가 사이버 인력 및 교육 전략: 미국은 사이버 인재 격차를 해소하기 위한 "National Cyber Workforce and Education Strategy(NCWES)"를 통해 사이버 보안 인력 개발에 중점을 두고 있습니다. 이 전략은 모든 미국인에게 기본적인 사이버 기술을 제공하고, K-12 및 그 이상의 사이버 교육을 강화하며, 기술 기반 접근 방식을 통한 국가 사이버 인력 개선을 목표로 하고 있습니다.[15]
EU는 정보보안 정책에서 기술적 대책뿐 아니라 인적 요인을 핵심 축으로 인식하고 있습니다. 최근 연구에 따르면, 조직 내 보안 문화, 인식 제고, 교육, 위험 인식, 행동 강화 등 다섯 가지 인적 요인이 종업원의 보안 정책 준수에 중요한 영향을 미치며, 기술 중심 접근을 넘어 인적 요인을 통합한 보안 전략이 실질적 효과를 낸다는 점이 강조되고 있습니다. 이에 따라 EU 내 기업과 기관들은 보안 정책 설계, 교육 프로그램, 조직 문화에 인적 요인을 적극 반영하고 있습니다.
EU는 사이버보안 및 개인정보보호 관련 규제에서 인적 요인 반영을 점차 강화하고 있습니다. GDPR에서는 개인정보 처리 과정에서 인간의 실수, 행동, 인식 부족 등 인적 요인으로 인한 위험을 최소화하기 위해, 개인정보 영향평가(DPIA)와 교육·인식 제고를 의무화하고 있습니다. 또한 사이버보안 복원력 법안(Cybersecurity Resilience Act)에서는 시스템 설계 단계부터 인적 취약성을 고려한 '보안 및 안전 설계(Safety and Security by Design)' 원칙, 투명성 등 인적 요인 기반의 정책 원칙을 도입하고 있습니다. 그리고 2023년 채택된 EU AI 법안에서도 개인정보, 신뢰, 윤리 등 인간 중심의 위험 관리와 인식 제고가 강조되고 있습니다. AI 시스템의 안전성과 신뢰성을 확보하기 위해 인간의 행동, 인식, 사회적 맥락을 고려한 규제 방안이 포함되어 있습니다.
EU는 보안 전문기관인 ENISA를 통해 ‘사이버 보안 문화 가이드라인’ 보고서 발행과 매년 보안문화 측정 및 공유 활동을 하는 등 구체적인 조치를 시행하고 있습니다[16]. 또한, 조직이 맞춤형 인식 프로그램을 개발하여 사이버 보안 문화를 향상시킬 수 있도록 지원하는 "인식 제고 상자(Awareness Raising in a Box, AR-in-a-Box)" 툴킷을 제공하고 있습니다. 이 툴킷은 공공 기관, 필수 서비스 운영자 및 모든 규모의 기업 요구 사항에 맞춰진 포괄적인 솔루션입니다[17]. 이와 같이 ENISA는 인간 요소를 사이버 보안의 핵심으로 인식하고, 단순히 기술적인 해결책을 넘어 조직 문화와 개인의 행동 변화를 유도하는 데 중점을 두고 있습니다.
영국의 「국가사이버전략 2022」는 사이버 공간에서의 안전, 보안, 회복력(resilience) 확보를 국가 전략 수준에서 강조합니다. 이 전략은 인적 요인을 포함한 사이버 생태계 전반의 취약성 완화와, 시민·기업·공공기관의 인식 및 역량 강화를 주요 목표로 삼고 있습니다. 영국은 인적 요인 보안 강화를 위해 국가사이버보안센터(NCSC)에서 사람이 가장 강력한 보안의 연결고리가 될 수 있다고 강조하면서, 사이버 위협에 대한 정보 제공, 인식 제고, 교육 및 훈련 프로그램 운영하고 있습니다.
특이한 점은 NCSC는 다양한 보안 인식 교육 과정을 인증하고 있으며, 대표적으로 KnowBe4의 'Security Essentials for the United Kingdom' 과정이 NCSC 인증을 받았습니다[18]. 이 과정은 조직 구성원들이 사이버 위협을 인지하고, 실제로 보안 사고를 예방할 수 있도록 실질적인 행동 변화를 유도하는 데 초점을 맞춥니다. 또한, NCSC는 기술적 통제만으로는 한계가 있다고 보고, 조직 구성원 간 신뢰와 상호작용, 그리고 실질적 문제 해결을 위한 정보 공유와 커뮤니케이션의 중요성을 강조합니다. 이를 통해 사용자가 단순히 지시를 따르는 객체가 아니라, 보안의 주체로서 적극적으로 참여하도록 유도합니다. 보안 정책 수립 시, 인간의 행동 패턴과 심리적 요인을 고려해 실질적으로 효과적인 보안 환경을 조성하는 것을 목표로 보안문화 구축에 노력하고 있습니다.
개인의 권리와 책임, 자율성을 강조하는 서구 문화권과는 달리, 동양권에서는 개인보다는 집단, 조직을 우선하다 보니 인간 중심 보안 접근방법을 위한 노력은 미국, 유럽에 비해 상대적으로 미흡하다고 볼 수 있습니다.
한국에서는 2024년 발표된 최신 「국가 사이버안보 기본계획」에서 100대 실천과제 중 일부 부분이 인간 요소를 고려한 정책들로 구성되어 있습니다[19]. 특히 과기정통부의 25개 과제 중에는 '범국민 사이버보안 중요성 홍보'가 포함되어 있으며, 교육부의 3개 과제에도 '정보보호교육 프로그램 및 컨텐츠 강화'가 명시되어 있으나, 실행을 위한 구체적 계획이나 예산 할당이 미흡하며 구호에 그친 면이 없지 않습니다. 단지 민간 영역에서 ‘인간중심보안 포럼’이 2021년 발족되어 국내 인간중심 보안 논의를 시작하고 있습니다.
또한, 내부자에 의한 정보 유출 방지를 위한 법적 장치로서 「부정경쟁방지 및 영업비밀보호에 관한 법률」과 「산업기술의 유출방지 및 보호에 관한 법률」을 중심으로 시행되고 있습니다. 이들 법령은 영업 비밀이나 국가핵심기술 보호를 위한 조치 의무와 유출 시 처벌 조항으로 구성되어 있어 내부자 범죄에 대한 법으로서 의미는 있으나 법적 입증의 어려움과 함께 법정형은 엄격하나, 집행유예 비율이 높아 실체 처벌 강도가 약하다는 지적이 많습니다. 또한 클라우드, 생성형 AI활용 확대로 기존 차단 중심 보안 솔루션(예: DLP)의 한계가 노출되고 있습니다. 정당한 접근 권한을 가진 내부자의 합법적 행위를 통한 유출이 증가하며, 이는 전통적인 통제 방식으로 탐지가 어려운 점이 있습니다.
최근 5년간의 글로벌 데이터와 주요 사고, 정책 트렌드를 종합해 보면, “인간”을 중심에 둔 보안의 필요성이 다시 한번 명확해졌습니다. 기술로 아무리 방어선을 치더라도, 결국 인적 요소에서 허점이 생기면 모든 노력이 무너질 수 있다는 사실이 반복적으로 드러나고 있습니다. 전체 보안 침해의 60% 이상이 여전히 사람 실수나 부주의에서 발생하고, 피싱과 소셜 엔지니어링 같은 공격은 AI와 결합해 갈수록 정교해지고 있습니다. 공급망과 제3자 리스크도 최근 급속히 커지고 있으며, 내부자 실수 혹은 악의적 행위에 따른 대형 사고도 여전합니다. 유럽 등 선진국들은 이런 상황을 반영해 인간 중심의 보안 정책과 이니셔티브를 구체적으로 추진하고 있습니다.
글로벌 서베이 자료와 국내외 보안 사고 및 정책 동향 분석을 통한 시사점은 다음과 같습니다.
조직 문화와 행동 변화 중심의 접근: 단순한 인식 교육만으로는 한계가 분명합니다. 보안이 조직 문화에 자연스럽게 녹아들고, 임직원의 실제 행동이 변해야 실질적인 효과가 나타납니다. 글로벌 사례를 살펴보면, 행동 변화 관리를 체계화하고, 긍정적인 보안 문화를 조성한 조직은 보안 사고가 유의미하게 감소했습니다.
공급망 및 제3자 위험 관리의 중요성: 최근 보안 위협의 상당 부분이 외부 파트너, 공급망에서 발생하고 있습니다. 신뢰를 기반으로 하되, 정기적인 검증과 체계적인 협력 프로세스가 필수적입니다. 제3자와의 협업에도 인간 중심의 보안 원칙을 적극 적용해야 합니다.
맞춤형 교육과 실시간 시뮬레이션: 역할과 리스크 프로필에 따라 맞춤형 교육을 제공하고, 피싱 테스트 등 실전 시뮬레이션을 정기적으로 실시한 조직이 보안 리스크 감소 효과를 더 크게 본 것으로 나타났습니다. 단순 지식 전달이 아니라, 실제 행동 변화를 이끌어내는 교육이 중요합니다.
신뢰 기반의 원칙과 자율성 강조: 일방적 통제와 감시에서 벗어나, 신뢰하되 확인하는 원칙(Trust But Verify)과 자율성을 부여하는 방식이 효과적입니다. 임직원의 권한과 책임을 명확히 하고, 자발적 참여를 유도하는 조직이 보안 문화 형성에 유리합니다.
다학제적 접근과 사용자 경험(UX) 설계: 심리학, 행동과학, 조직행동 등 다학제적 관점에서 인간 행동을 이해하고, 사용자 경험을 고려한 정책 및 시스템 설계가 성공적인 보안 정착의 핵심입니다. 업무 흐름을 방해하지 않으면서 자연스럽게 안전한 행동을 유도하는 설계가 필요합니다.
기술과 인간의 융합_AI 활용: AI 및 행동 분석 기술을 활용해 이상행동을 실시간으로 탐지하고, 위험 신호를 인간 분석가가 검증하는 ‘인간 협력형 AI’ 모델이 주목받고 있습니다. 마이크로소프트 등 글로벌 기업이 이미 해당 모델을 도입해, 내부자 위협이나 피싱 공격을 조기에 탐지하고 있습니다. 기술과 인간의 상호 보완적 협력이 보안 수준을 한층 높일 수 있습니다.
결론적으로, 기술 발전에도 불구하고 보안의 최종 관문은 여전히 인간입니다. 조직 문화, 행동 변화, 맞춤형 교육, 신뢰와 자율성, UX, AI 등 다양한 요소를 통합적으로 관리하는 것이 실질적인 보안 강화의 핵심이라고 할 수 있습니다.
1. Verizon(2021), ‘2021 Data Breach Investigations Report’. https://www.verizon.com/business/resources/T8fc/reports/2021-dbir-executive-brief.pdf
2. Verizon(2025), ‘2025 Data Breach Investigations Report’. https://www.verizon.com/business/resources/reports/dbir/
3. SANS(2024), ‘SANS 2024 Security Awareness Report’. https://www.sans.org/mlp/ssa-2024-security-awareness-report/
4. KnowBe4(2024), ‘Security Awareness Blog’, https://blog.knowbe4.com/knowbe4-2024-phishing-by-industry-benchmarking-report
5. PwC(2025), ‘2025 Global Digital Trust Insights.’
6. Proofpoint(2024), ‘2024 Voice of the CISO, CISO 과제, 기대치 및 우선순위에 대한 글로벌 인사이트’.
7. CIMCOR(2025), ‘9 Internal Data Breach Examples to Learn From’. https://www.cimcor.com/blog/internal-data-breach-examples
8. UpGuard(2025), ‘10 Biggest Data Breaches in Finance’. https://www.upguard.com/blog/biggest-data-breaches-financial-services
9. Exabeam(2025), ‘Insider Threat Examples: 3 Famous Cases and 4 Preventive Measures’. https://www.exabeam.com/explainers/insider-threats/insider-threat-example
10. 연합뉴스(2023.03.22), ‘한국맥도날드 이용자 487만명 정보 유출…6억9천만원 과징금’. https://www.yna.co.kr/view/AKR20230322090300530
11. 디지털조선일보(2023.01.04), ‘서울신라호텔, 단체메일 발송…이메일 주소 유출’. https://digitalchosun.dizzo.com/site/data/html_dir/2023/01/04/2023010480198.html
12. Dept. of Justice, Press Release(2021.09.16), ‘Fraudster Sentenced to Prison for Long Running Phone Unlocking Scheme that Defrauded AT&T’. https://www.justice.gov/archives/opa/pr/fraudster-sentenced-prison-long-running-phone-unlocking-scheme-defrauded-att
13. Proofpoint(2022), ‘2022 Cost of Insider Threats Global Report’. https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
14. STOP THINK CONNET(2025), ‘Stop. Think. Connect’. https://www.stopthinkconnect.org/
15. Center for Cybersecurity Policy and Law Blog(2025), ‘Progress Report: National Cyber Workforce and Education Strategy’. https://www.centerforcybersecuritypolicy.org/insights-and-research/progress-report-national-cyber-workforce-and-education-strategy
16. ENISA(2018), ‘Cybersecurity Culture Guidelines: Behavioural Aspects Cybersecurity,
17. ENISA(2025), ‘AR-in-a-Box’, https://www.enisa.europa.eu/topics/awareness-and-cyber-hygiene/ar-in-a-box
18. KnowBe4 Press Releases(2025), ‘KnowBe4’s Security Essentials for the United Kingdom Course is now NCSC Certified’. https://www.knowbe4.com/press/knowbe4s-security-essentials-for-the-united-kingdom-course-is-now-ncsc-certified
19. 국가사아버안보센터(2024), ‘정부 합동 '국가 사이버안보 기본계획' 발표’. https://www.ncsc.go.kr:4018/cop/bbs/selectBoardArticle.do?bbsId=Notification_main&nttId=147016