인간 중심 보안, 어떻게 만들어지는가
인간 중심 보안(People-Centric Security)은 기존의 기술 중심적 접근법을 넘어서 인간을 보안 생태계의 핵심 요소로 인식하고, 인간의 행동, 심리, 그리고 상호작용을 중심으로 보안 전략을 수립하는 접근법입니다. 이 장에서는 조직이 인간 중심 보안 전략을 성공적으로 구현하기 위한 포괄적인 방법론을 제시합니다.
사람을 어떻게 바라보느냐에 따라 보안 프로그램이 완전히 달라집니다. 모두가 잠재적 범죄자라는 극단적인 시선도, 실수만 하는 약한 고리(Weakest Link)라는 관점도 극단적이라고 할 수 있습니다. 사실, 누구나 실수할 수 있고, 때로는 유혹에 흔들릴 수도 있지만, 적절한 교육과 훈련만 받는다면 오히려 가장 튼튼한 방화벽이 될 수 있다는 게 요즘 학계나 실무진에서의 생각입니다. ‘신뢰하되 검증한다’—즉, 무작정 믿지 말고, 그렇다고 의심만 하지도 말자는 것입니다.
그래서 인간 중심 보안을 구현할 시 요구되는 필수 사항은 다음과 같습니다.
인간 채널 보호: 이메일, 협업 도구, 소셜 미디어, 클라우드 앱 등 인간을 대상으로 하는 공격이 만연한 커뮤니케이션 플랫폼을 우선적으로 보호합니다. AI를 활용한 다단계 소셜 엔지니어링, 피싱 등과 같은 교묘한 공격을 탐지해야 합니다.
상황 인식 기반 데이터 보호: 데이터 보안 전략은 우발적 노출과 악의적 의도를 구별해야 합니다. 사용자 역할, 데이터 민감도, 워크플로우 상황에 따라 동적 정책을 적용하여 불필요한 경고를 최소화하고 고위험 행위를 자동 차단하는게 중요합니다.
클라우드 및 ID 리스크 관리: 재택근무 등 클라우드 환경의 확산으로 인해 ID 생태계 보안이 중요해졌습니다. 이상 로그인 패턴을 지속적으로 모니터링하고, 필요한 권한만 주고, 위험 경로는 사전에 차단해야 합니다.
행동 변화 지속: 연 1회 형식적인 교육으론 부족합니다. 일상 업무에 보안 가이드를 내재화해서, 위험 순간에 바로 안내해주고, 안전한 습관이 몸에 배게 만들어야 합니다.
리더십과 거버넌스 체계: 인간 중심 보안이 효과적으로 자리 잡으려면, 적절한 리더십과 거버넌스 체계가 반드시 필요합니다. 최고 경영진은 보안의 중요성을 충분히 인식하고, 필요한 자원과 지원을 아끼지 않아야 합니다. 또한 보안을 조직의 핵심 가치로 분명히 선언하고, 솔선수범하는 자세로 보안 문화 정착을 이끌어야 합니다. 전사적인 보안 조직 구성과 체계적인 관리 역시 중요한 요소입니다[1][2].
거버넌스란 본질적으로 조직을 올바른 방향으로 지시(Direct)하고, 체계적으로 통제(Control)하는 것을 의미합니다. 여기서 지시는 단순한 일방향 명령이 아니라, 구성원과의 소통을 통해 방향성을 공유하고, 효과적인 의사결정을 지원하는 과정을 포함합니다. 통제는 목표와 실제 실행 사이의 차이를 점검하고 문제를 해결하는 역할을 합니다. 효과적인 보안 거버넌스를 위해서는, 임원급 위원회 등 전사적인 협업 체계와, 비즈니스 성과와 연계된 보안 성과 측정 체계가 반드시 필요합니다.
인적 자원과 역량: 인간 중심 보안 전략을 실현하려면, 단순히 보안 전문가 확대에 그치지 않고, 모든 직원이 보안에 대한 기본적인 이해와 역량을 갖추는 것이 중요합니다. 특히 위험 기반 의사결정과 그 결과에 대한 명확한 인식이 필요합니다. 아울러, 조직 내 다양한 특성을 고려할 수 있는 전문 인력이 확보되어야 하며, 남녀 간의 차이, 성격, 문화, 감정, 연령, 동기 등 다양한 요소를 파악하고 관리할 수 있어야 합니다[1][3].
책임과 자율성을 촉진하는 문화: 임직원이 보안에 대해 스스로 판단하고 책임지는 자율적인 조직 문화가 중요합니다. 권한과 책임이 명확히 연계되어야 하며, 성숙한 조직 문화가 뒷받침될 때에만 인간 중심 보안이 효과적으로 작동할 수 있습니다[1].
기술적 인프라와 도구: 마지막으로, 적절한 기술적 인프라와 도구 확보도 필수적입니다. 기존 보안 시스템을 보완할 수 있는 인프라를 구축하고, 대량의 데이터를 안전하게 관리하는 것이 핵심 과제입니다. 또한, AI 기반의 도구를 활용해 직원들의 행동 패턴을 분석하고, 맞춤형 보안 솔루션을 제공하는 등, 기술과 인적 요소가 유기적으로 결합되어야 합니다[6].
인간 중심 보안 전략은 단순한 선언에 그치는 것이 아니라, 실제 현장에 적용 가능한 체계가 필요합니다. 그 중에서 Proofpoint가 2021년에 제시한 People-Centric Security Framework(PCSF) 2.0은 실무에서 참고할 만한 대표적인 프레임워크입니다. 이 PCSF 2.0은 NIST 사이버보안 프레임워크와의 호환성을 고려해 설계되었고, 조직 내 인적 리스크를 효과적으로 관리할 수 있도록 지원합니다[4].
PCSF 2.0은 ‘핵심 기능(Core)’, ‘프로파일(Profiles)’, ‘구현 계층(Implementation Tiers)’ 등 세 가지 요소로 구성되어 있습니다. 각 요소는 조직이 사람 중심의 리스크를 식별, 보호, 탐지, 대응, 복구하는 전 과정을 촘촘하게 아우릅니다.
(1) 핵심 기능
핵심 기능은 인간 중심 보안 활동의 전반적인 구조를 설계하는 역할을 합니다. 총 5가지 기능(Identify-PC, Protect-PC, Detect-PC, Respond-PC, Recover-PC)으로 구성되어 있으며, 기능 아래 하부 구조로서 총 20개의 카테고리와 43개의 세부 항목으로 세분화되어 있습니다.
식별(Identify-PC): 사용자 활동 흐름과 인적 속성(권한·위협·취약점) 매핑을 통해 조직이 관리해야 할 인적 리스크를 정의합니다.
보호(Protect-PC): 인증·접근통제, 인식·교육, 데이터 보안, 보안기술 등을 적용해 인적 취약점을 보완합니다.
탐지(Detect-PC): 평상시 사용자 활동 패턴을 기준으로 이상 징후를 실시간으로 모니터링합니다.
대응(Respond-PC): 탐지된 이벤트에 대해 대응 계획을 수립하고, 커뮤니케이션, 포렌식 분석, 개선 활동 등을 진행합니다.
복구(Recover-PC): 보안 사고 후 복구 계획과 커뮤니케이션 체계를 운영하며, 재발 방지와 복원력 강화에 중점을 둡니다.
(2) 프로파일
조직이 PCSF의 Core에서 원하는 기능, 카테고리, 하위 카테고리를 선택해 인간 중심 보안의 현재 상태(As-Is)와 목표 상태(To-Be)를 정의하도록 지원하는 맞춤형 도구입니다. 현재 프로파일(Current Profile)은 조직이 이미 달성한 PCS(people-centric security) 결과물을, 목표 프로파일(Target Profile)은 달성하고자 하는 PCS 결과물을 나타냅니다. 두 프로파일 간 차이점을 분석해 갭(gap)을 확인하고, 이를 기반으로 인력·예산 등 자원 요구사항을 산출해 우선순위화된 실행 계획을 수립할 수 있습니다.
프로파일 작성 절차는 다음과 같습니다.
핵심 기능(Core)에서 관련 Function/Category/Subcategory 선택: 조직의 미션, 역할, 규제 요건 등을 고려해 필수·추가 요소를 가려냅니다.
현재 프로파일 정의: 선택된 outcome 중 이미 실행 중이거나 달성된 활동을 표시합니다.
목표 프로파일 정의: 조직의 리스크 허용 한계와 전략에 따라 달성할 PCS 활동을 선정합니다.
갭 분석 수행: 현재와 목표 프로파일 간 미흡 영역을 파악해 우선순위화합니다.
실행 계획 수립: 갭 해소를 위한 행동 계획, 자원(인력·예산) 및 일정 등을 정의합니다.
또한 부서, 직무, 시스템 등 그룹별로 다른 프로파일을 만들 수 있으며, 위험도에 따라 ‘strict’, ‘stricter’, ‘strictest’ 등 단계별로 차별화된 접근이 가능합니다.
프로파일은 다음과 같은 용도로 활용됩니다
조직 내부적으로 PCS 성숙도와 취약점을 자체 진단할 때 사용합니다.
경영진, 감사자, 파트너 등과 PCS 관리 현황을 공유하는 소통 수단으로 사용합니다.
프로파일 기반 요구사항 목록을 벤더 제안서와 대조해 공급업체 선정 기준으로 활용합니다.
시스템 개발 수명주기(SDLC) 단계에 맞춰 프로파일을 연계해 인간 중심 보안 요구사항을 삽입합니다.
프로파일은 조직의 특성이나 리스크 허용 범위에 따라 유연하게 확장·축소가 가능하다는 점도 장점입니다. 이를 통해 인간 중심 리스크 관리의 투명성과 실행력을 높일 수 있습니다.
(3) 구현 계층
PCSF 2.0의 구현 계층은 조직의 사람 중심 보안 리스크 관리 역량을 GRC, 인력, 프로세스, 기술 등 네 가지 관점에서 다섯 단계(Tier)로 나누어 현황 평가와 개선 방향 제시에 활용합니다.
Tier 0(초기): 정책, 예산, 인식, 프로세스 모두 미흡한 단계
Tier 1(개발 중): 일부 인식 및 담당자 도입, 체계는 부족
Tier 2(정의됨): 정책, 예산, KPI 등 체계화, 교육 및 프로세스 공식화
Tier 3(반복 가능): 지속적 정책 관리, 경영진 논의 활성화, 전문성 강화
Tier 4(최적화): 자동화, 데이터 통합, 고급 탐지 기술 도입 등 최고 수준
이와 같은 단계별 평가를 통해 조직은 현재 위치를 진단하고, 목표 단계로 도약하기 위한 구체적인 실행 로드맵을 마련할 수 있습니다.
PCSF 2.0의 장점은 통합적이고 체계적인 인간 중심 리스크 관리가 가능하다는 점입니다. 다만, 세부 항목이 매우 많아 모든 요소를 적용할 경우 복잡성과 리소스 부담이 커질 수 있으며, 심리나 문화적 특성은 여전히 정성적 판단에 의존하는 한계가 있습니다. 이런 점에서 실제 적용 시에는 조직에 맞는 경량화와 명확한 성과 지표 설정이 필요합니다.
조직 문화적 저항: 조직 문화적 저항이 가장 큰 문제로 꼽힙니다. 기존의 기술 중심 환경에서 사람 중심 보안 전략을 도입하려고 하면 자연스럽게 저항이 발생합니다. 교육이나 인식 개선 프로그램을 추진해도, 비즈니스 환경과 제도, 조직 문화 등 여러 측면에서 장애 요인이 존재합니다. 특히 직원들이 보안 교육에 큰 관심을 보이지 않거나, 신뢰 성향으로 인해 사회공학 공격에 취약해지는 문제가 자주 나타납니다. 이런 문제를 해결하려면 장기적이고 지속적인 조직 문화 변화와 경영진의 지원이 필요합니다[7].
자원과 예산의 제약: 자원과 예산의 제약도 현실적인 어려움으로 작용합니다. 인간 중심 보안은 기술적 솔루션에 더해 교육, 훈련, 모니터링 등 추가적 영역에 투자가 필요하기 때문에 예산 부담이 클 수 있습니다. 맞춤형 접근을 시도할 경우 더 많은 자원과 인력이 필요하므로, 충분한 예산과 인력이 확보되지 않으면 효과적으로 구현하기 어렵습니다[7].
기술적 복잡성과 통합 문제: 기존 시스템과 새로운 인간 중심 보안 방식을 통합하는 과정에서 기술적 호환성 문제가 자주 발생합니다. 다양한 플랫폼과 도구, 시스템 간 호환성이나 데이터 보호, 접근성 등 복잡한 과제가 많습니다. 이러한 다양한 요구조건을 모두 충족하는 통합 솔루션을 개발하는 것은 쉽지 않은 일입니다[8].
측정과 평가의 어려움: 인간 중심 보안의 효과를 정량적으로 측정하고 평가하는 것도 쉽지 않습니다. 행동 변화나 조직 문화 개선을 객관적으로 평가하기 위한 기준과 방법이 부족해, 보안, 사용성, 접근성 등 다양한 요소를 종합적으로 평가할 수 있는 체계가 필요합니다[9].
개인정보 보호와 윤리적 고려사항: 개인정보 보호와 윤리적 고려사항도 간과할 수 없습니다. 직원 행동을 모니터링할 때 프라이버시 침해 우려가 항상 존재하며, AI와 머신러닝을 적용할 경우 편향이나 공정성 문제도 발생할 수 있습니다. 이처럼 윤리적 이슈를 균형 있게 관리하는 것이 매우 중요합니다[10].
무엇보다 최고경영진의 강력한 리더십과 지속적인 지원이 필수적입니다. 경영진이 보안을 조직의 핵심 가치로 인식하고, 충분한 예산과 자원을 배정해야 전체 구성원이 적극적으로 참여할 수 있습니다.
직원 개개인의 역할과 특성에 맞춘 맞춤형 접근도 중요합니다. 모든 직원이 동일한 보안 위험에 노출되는 것이 아니기 때문에, 역할과 경험, 성향에 따라 차별화된 교육과 프레임워크를 적용해야 효과를 극대화할 수 있습니다.
지속적인 교육과 실무 중심의 반복 훈련도 핵심 요소입니다. 일회성 교육이 아니라 실제 상황에 적용 가능한 실습 위주 교육을 통해, 직원들이 실질적으로 보안 역량을 개발할 수 있습니다.
기술과 인간의 조화 역시 중요합니다. AI와 머신러닝을 활용해 행동 패턴을 분석하고 개인화된 보안 솔루션을 제공하되, 최종적인 의사결정은 인간이 담당하는 등 기술과 사람의 역할을 적절히 배분하는 것이 바람직합니다.
마지막으로, 조직의 현재 상태와 목표 상태를 비교하고 명확한 지표를 활용해 지속적으로 개선하는 노력이 필요합니다. PCSF와 같은 프레임워크를 활용해, 조직이 인간 중심 보안 위험을 어떻게 인식하고 관리하는지 객관적으로 점검할 수 있어야 합니다.
결론적으로, 조직 문화 개선과 충분한 지원, 맞춤형 교육, 기술과 인간의 조화, 그리고 지속적인 개선 노력이 사람 중심 보안의 성공을 위한 핵심 요인입니다.
참고문헌
1. 김정덕(2022), ‘DT시대에 "인간 중심 보안"이 필요한 이유’. 동아비즈니스리뷰 특별보고서, 2022.04. https://blog.naver.com/dbrmaster/223734737438
2. Keepnet(2025), ‘Human-Centric Cybersecurity: Building Stronger Defenses by Focusing on People’. Human-Centric Cybersecurity: Building Stronger Defenses by Focusing on People
3. Carpenter, P. (2022). 3 Reasons Why Cybersecurity Must Be People-Centric. Security Magazine. https://www.securitymagazine.com/articles/98014-3-reasons-why-cybersecurity-must-be-people-centric https://www.proofpoint.com/sites/default/files/white-papers/pfpt-us-wp-people-centric-security-framework.pdf
4. Proofpoint (2021), ‘People-Centric Security Framework (PCSF) 2.0’. https://www.proofpoint.com/sites/default/files/white-papers/pfpt-us-wp-people-centric-security-framework.pdf
5. Christopher Ashby(2025), ‘Human-Centric Security: A Paradigm Shift in Cybersecurity’. https://www.linkedin.com/pulse/human-centric-security-paradigm-shift-cybersecurity-christopher-ashby-lpfme
6. CSIRO(2023), ‘Human – AI collaboration to enhance cybersecurity’. https://research.csiro.au/cybersecurity-quantum-systems/human-ai-collaboration-to-enhance-cybersecurity/
7. Kalpit Jadhavet al.(2022), ‘Diving Deep into Human Centric Issues within Cyber Security’, Asia-Pacific software engineering and diversity, equity, and inclusion (APSEDEI), Japan, Nov. 15-21, https://ceur-ws.org/Vol-3356/paper-10.pdf
8. Hourieh Khalajzadeh et al.(2022), ‘How are Diverse End-user Human-centric Issues Discussed on GitHub?’ https://arxiv.org/pdf/2201.05927
9. Karen Renaud & Lizzle Coles-Kemp (2022), ‘Accessible and Inclusive Cyber Security: A Nuanced and Complex Challenge’ PMC National Center for Biotechnology Information, https://pmc.ncbi.nlm.nih.gov/articles/PMC9215151/
10. Surya Nepal et al., (2022), ‘Editorial: Human-Centric Security and Privacy’ PMC National Center for Biotechnology Information. https://pmc.ncbi.nlm.nih.gov/articles/PMC8891649/