성공한 기업들의 보안은 무엇이 다른가?
현대 기업 환경에서 사이버보안 위협이 지속적으로 증가하고 있는 가운데, 기술적 보안 솔루션만으로는 완전한 보안을 달성하기 어려운 상황입니다. 전체 데이터 유출 사고의 약 69%가 인적 요소와 관련되어 있다는 연구 결과는 보안 패러다임이 기술 중심에서 인간 중심으로 전환되어야 함을 시사하고 있습니다. 이번 장에서는 인간 중심 보안 전략을 채택한 국내외 사례를 소개합니다.
삼성전자는 글로벌 기술 기업으로서 복잡한 IT 환경과 다양한 사업부를 운영하면서 통합된 보안 교육과 명확한 책임 체계의 필요성에 직면했습니다. 특히 4차 산업혁명 시대를 맞아 정보보호의 중요성이 강조되면서 보안 전문 인력 부족과 더불어 조직 전반의 보안 인식 제고가 시급한 과제였습니다[1].
삼성전자는 다층적이고 체계적인 접근법을 통해 보안문화 구축을 추진했습니다[1].
1) 책임과 권한 명확화
임직원 대상 '정보보호 교육'을 온라인으로 제공하여 사이버 보안 및 정보유출 방지에 대한 명확한 역할과 책임을 설정했습니다.
사업부별 엔지니어 대상으로 보안 코딩, 보안 소프트웨어 개발 프로세스, 취약점 관리 등 역할별 맞춤 교육을 진행했습니다.
2) 게임화 및 인센티브 프로그램
‘보안기술 포럼'을 개최하여 모의해킹 경진대회를 통한 게임화된 학습 환경을 조성했습니다.
사이버보안 역량을 다면 평가하기 위해 공격·방어·코딩·역공학·암호학 등 총 5개 분야로 문제를 출제하여 경쟁 요소를 도입했습니다.
대회 수상자 23명에게 총 8000만원의 시상금을 지급하여 성과와 연계된 보상체계를 구축했습니다.
3) 고도화된 교육 체계
S.LSI University와 같은 자체 교육 기관을 통해 보안 관련 과목을 추가하여 지속적 학습 문화를 조성했습니다.
연례 '삼성 보안 기술 포럼'을 통해 최신 보안 기술과 AI 보안에 대한 지식을 공유했습니다.
삼성전자의 종합적 접근법은 상당한 성과를 거두었습니다. 전사적 보안 인식이 향상되었고, 사업부별 특화된 보안 역량이 강화되었습니다. 또한 국제 보안 인증을 정기적으로 취득하며 보안 수준의 지속적 개선을 입증했습니다. AI 보안 분야에서의 선도적 위치를 확보하는 성과도 달성했습니다.
삼성전자 사례는 대규모 조직에서 통합된 보안 교육 체계의 중요성을 보여줍니다[. 전사 공통 교육과 부서별 맞춤 교육의 균형이 핵심 성공 요인이었습니다. 향후 과제로는 생성형 AI 시대에 맞는 보안 교육 고도화와 글로벌 보안 표준 대응 능력 강화가 필요합니다.
Microsoft는 AI 시대의 빠르게 진화하는 보안 위협에 대응하기 위해 직원들의 보안 역량을 체계적으로 강화해야 했습니다. 기존의 일반적인 보안 교육으로는 개별 역할과 위험 수준에 맞는 맞춤형 교육이 어려웠습니다[2].
Microsoft는 다음과 같은 혁신적인 교육 및 성과 관리 시스템을 구축했습니다[2]:
1) AI 통합 교육 시스템
Microsoft Security Copilot Flight School을 통해 AI를 활용한 중급 기술 교육을 제공했습니다
각 주제별 비디오를 10분 이하로 제한하여 효율적인 학습이 가능하도록 했습니다.
Microsoft Learn의 관련 모듈과 연계하여 체계적인 학습 경로를 제공했습니다.
2) 역할별 맞춤 교육
IT 전문가들이 보안 알림을 식별, 분석, 대응하는 능력을 향상시키고 AI의 속도와 규모로 보호할 수 있도록 설계했습니다.
Microsoft Entra, Intune, Microsoft Purview에서의 Copilot 사용법 등 구체적인 도구 활용 교육을 제공했습니다.
3) 성과 측정 및 지속적 개선
플러그인 관리, 프롬프트 엔지니어링, 논리 앱 등 실무 중심의 기술을 포함했습니다.
조직 전반에 Copilot을 확장하는 방법에 대한 전략적 가이드를 제공했습니다.
Microsoft의 고도화된 교육 시스템을 통해 IT 전문가들의 AI 기반 보안 도구 활용 능력이 향상되었고, 보안 대응 속도와 정확도의 현저한 개선을 보였으며, 조직 전반의 일관된 보안 역량이 강화되었습니다.
Microsoft 사례는 AI 시대에 맞는 보안 교육의 방향성을 제시합니다. 특히 짧은 시간 내 집중적 학습과 실무 중심의 접근법이 효과적임을 보여줍니다. 향후 과제로는 개인별 학습 진도와 역량에 맞는 더욱 세분화된 맞춤형 교육 개발이 필요합니다.
많은 기업이 보안 인식 교육의 성공 여부를 단순히 '교육 이수율'로 측정하는 경향이 있습니다. 그러나 이러한 방식은 실제 직원들의 행동 변화나 보안 사고 감소 효과를 정확히 반영하지 못하는 한계가 있습니다. 실제 위협 환경에서 직원들이 악성 링크를 클릭하는 등의 위험한 행동을 얼마나 줄였는지를 측정하는 '실질적인 행동 지표' 기반의 접근이 필요합니다.
이러한 배경에서 기업들은 가장 취약한 연결고리인 '인적 요소'를 강화해야 하는 과제에 직면합니다. 직원들은 정교한 피싱, 사회 공학 공격의 주요 표적이 되므로, 조직은 누가 가장 위험에 노출되어 있는지 파악하고 이들의 행동을 긍정적으로 변화시킬 효과적인 교육 프로그램을 필요로 합니다.
Proofpoint의 보안 인식 프로그램은 지속적인 교육 방법론과 데이터 기반의 접근을 통해 이러한 문제를 해결합니다.
1) 고위험군 식별 및 데이터 기반 접근
가장 먼저 조직 내에서 누가 가장 위험한지(VAP™, Very Attacked People™)를 식별합니다. 직원의 역할, 행동, 취약성, 비즈니스 권한 및 실제 직면하는 위협을 종합적으로 평가하여 인적 위험을 측정합니다.
이 분석을 통해 도움이 가장 필요한 직원을 우선순위로 정하고, 이들의 지식 격차와 보안에 대한 인식을 파악하여 맞춤형 교육 프로그램을 설계합니다.
2) 자동화된 맞춤형 교육 캠페인
Proofpoint의 ZenGuide™와 같은 도구를 사용하여 고위험군 직원을 위한 정교하고 표적화된 캠페인을 자동으로 생성하고 등록합니다.
'적응형 그룹(Adaptive Groups)' 기능을 통해 개인의 위험 프로필, 역할, 행동에 따라 교육 활동을 자동으로 할당하여 관리 효율성을 높입니다.
교육, 피싱 시뮬레이션, 평가 등 다양한 활동을 포함하는 맞춤형 커리큘럼 '경로(Pathways)'를 설계하여 체계적인 학습을 유도합니다.
3) 지속적인 강화 및 실질적인 훈련
실제 위협 환경을 모방한 피싱 시뮬레이션을 사용합니다. 악성 링크, 첨부파일뿐만 아니라 QR코드, SMS 문자(스미싱) 등 최신 공격 기법을 훈련에 활용하여 직원들의 대응 능력을 실질적으로 검증합니다.
단순한 지식 전달을 넘어, 게임화(Gamified learning), 실제 사례 기반 시나리오, 역할 맞춤형 콘텐츠 등을 통해 학습자의 참여를 유도하고 긍정적인 보안 문화를 구축합니다.
'평가 → 교육 → 강화 → 측정'의 4단계 접근 방식을 통해 일회성 이벤트가 아닌 지속적인 행동 변화 프로그램으로 운영합니다.
Proofpoint의 자체 연구에 따르면, 프로그램을 도입한 고객들은 평균적으로 6개월 내에 실제 악성 링크 클릭률이 40% 감소하는 효과를 보았습니다. 특히 금융 기관의 경우 2년 동안 멀웨어 및 바이러스 탐지율이 95% 감소하였다는 보고가 있습니다[6].
교육 이수율과 같은 형식적인 지표를 넘어, 실제 악성 링크 클릭률과 같은 행동 지표를 추적할 때 교육의 실질적인 효과를 측정하고 개선할 수 있습니다. 또한, 모든 직원에게 동일한 교육을 제공하는 것보다, 고위험군을 식별하고 이들에게 맞춤형 교육을 집중하는 것이 훨씬 효과적임을 알 수 있습니다. 교육 프로그램의 효과를 데이터로 증명함으로써 경영진의 지속적인 지원을 확보하고, 조직의 보안 투자를 더욱 효과적으로 이끌어낼 수 있습니다.
금융권은 전통적으로 강력한 통제 중심의 보안 정책을 유지해왔으나, 지능화된 내부자 정보 유출이나 계정 탈취 공격에는 기존의 정적인 규칙 기반 시스템만으로 대응하기 어려운 상황에 직면했습니다[3]
금융업계에서는 네트워크 감염의 41%가 피싱으로 인해 발생하고 있으며, 피싱 공격의 50% 이상이 스피어 피싱 기법을 사용하고 있어 더욱 정교한 탐지 방법이 필요했습니다. 또한 X-Force 위협 탐지 소프트웨어에서 관찰된 위협 하이재킹 시도가 매월 100% 증가하는 상황이었습니다[4].
우리은행, HMC투자증권 등 다수의 금융사는 머신러닝 기반의 사용자 행위 분석(UBA, User Behavior Analytics) 솔루션을 도입하여 이 문제를 해결하고자 했습니다[3][4].
1) 머신러닝 기반 행동 분석
수십억 개의 원시 이벤트를 수십 개의 위협으로 요약하여 빠른 검토 및 해결이 가능하도록 했습니다.
머신러닝 알고리즘을 사용하여 분석가의 도움 없이도 숨겨진 위협을 식별할 수 있게 했습니다.
2) 킬 체인 기반 위협 시각화
킬 체인에 따라 위협을 시각화하여 컨텍스트 정보를 확보했습니다.
사용자, 계정, 장치 및 애플리케이션 전반에 걸친 이상 징후가 결합되어 공격 패턴을 명확하게 볼 수 있도록 했습니다.
3) 맞춤형 이상 징후 모델
UBA 솔루션은 DLP, DRM, NAC 등 다양한 보안 시스템의 로그를 수집하여 사용자 개인 및 조직별 정상 행위 패턴에 대한 기준선(Baseline)을 만듭니다.
이상 징후 탐지 및 대응 시스템은 이 기준선에서 벗어나는 비정상적인 행위(예: 평소와 다른 시간대의 접속, 과도한 데이터 다운로드 등)를 실시간으로 탐지하여 보안팀에 경고합니다. 이는 범죄 수사에서 활용되는 프로파일링 기법과 유사합니다.
세분화된 피드백을 받아 위협의 심각도 및 탐지에 대한 신뢰도를 높였습니다.
UBA 도입을 통해 금융사들은 정상적인 권한을 가진 내부자의 악의적이거나 부주의한 정보 유출 시도를 효과적으로 탐지하고 예방할 수 있는 체계를 갖추게 되었습니다. 이는 기존 보안 시스템이 놓칠 수 있는 미묘하고 지능적인 위협에 대응하는 능력을 크게 향상시켰습니다.
이 사례는 '신뢰하되 검증한다'는 인간 중심 보안의 원칙을 기술적으로 구현한 대표적인 예입니다. 임직원의 일상적인 업무는 방해하지 않으면서도, 이상 행위에 대해서는 즉각적으로 대응할 수 있습니다. 향후에는 UBA 분석 결과를 활용해 임직원에게 즉각적인 피드백을 제공하고, 위험한 행동에 대해 경고하는 등 교육적 목적으로 활용하는 방안을 모색할 수 있습니다. 향후 과제로는 AI 기반 분석의 정확도 향상과 실시간 대응 능력 강화가 필요합니다.
임직원의 책임과 권한을 명확히 하고 신뢰 기반의 문화를 조성하거나, 혁신적인 인식 및 훈련 프로그램과 지능형 모니터링을 통해 인적 리스크를 관리한 사례들을 중심으로 분석한 결과 시사점은 다음과 같습니다.
(1) 인식 및 훈련 프로그램:
임직원의 보안 관련 역할과 책임을 명확히 정의하고 이를 교육과 연계했습니다. 특히 역할별 맞춤형 교육을 통해 개인의 책임 범위를 구체화했습니다.
게이미피케이션 및 인센티브 연계: 효과적인 보안 문화 구축을 위해서는 게임화 요소와 성과 기반 인센티브가 필수적이었습니다. 경쟁 요소, 시상금, 배지 시스템 등이 직원 참여도를 크게 향상시켰습니다.
지속적이고 측정 가능한 교육: 일회성 교육이 아닌 지속적이고 반복적인 교육이 효과적이었습니다. 또한 구체적인 지표를 통한 성과 측정이 프로그램 개선의 핵심이었습니다.
(2) 첨단 모니터링 프로그램
AI 및 머신러닝 기반 접근법: 모든 성공 사례에서 전통적인 규칙 기반 시스템을 넘어서 AI와 머신러닝을 활용한 행동 분석이 핵심이었습니다. 이를 통해 알려지지 않은 위협과 제로데이 공격에도 효과적으로 대응할 수 있었습니다.
실시간 모니터링 및 자동 대응: 모든 사례에서 실시간 분석과 자동화된 대응 시스템이 위협 탐지 속도와 대응 효과성을 크게 향상시켰습니다. 특히 인간의 개입 없이도 즉각적인 차단이 가능한 시스템이 피해 확산을 방지하는 데 결정적 역할을 했습니다.
통합적 보안 접근법: 단일 기술에 의존하지 않고 SIEM, UEBA, 엔드포인트 보안 등을 통합한 플랫폼 접근법이 효과적이었습니다. 다양한 데이터 소스를 연계하여 종합적인 위협 분석이 가능했습니다.
맞춤형 위험 프로파일링: 조직의 특성과 사용자별 정상 행동 패턴을 학습하여 개인화된 위험 프로파일을 구축한 것이 성공의 핵심이었습니다. 이를 통해 오탐률을 줄이고 실제 위협에 집중할 수 있었습니다
견고한 원칙과 철학이 없는 인간 중심 보안은 방향을 잃기 쉽습니다. '사람을 어떻게 볼 것인가'에 대한 조직의 철학을 정립하고, 이를 명문화된 책임과 권한으로 구체화하는 것과 ‘인간과 기술과의 조화’가 가장 중요한 선결 과제임을 시사합니다. 또한, 첨단 모니터링 기술이 단순히 위협을 탐지하는 것을 넘어, '마찰 없는(Frictionless)' 보안 환경을 구축하여 보안과 편의성을 동시에 달성하는 데 기여할 수 있음을 보여줍니다. 이는 직원 경험을 우선시하는 인간 중심 보안 설계의 핵심적인 성공 요인입니다.
1. 한국금융,‘ 삼성·LG전자 ‘보안 전문가’ 발굴·육성에 박차’. 2018.06.01. https://www.fntimes.com/html/view.php?ud=20180601143144286c0779ffa7c_18
2. Microsoft Learn Blog, ‘Discover our latest Microsoft Security training on Microsoft Learn’, 2024.11.14. https://techcommunity.microsoft.com/blog/microsoftlearnblog/discover-our-latest-microsoft-security-training-on-microsoft-learn/3644511
3. Byline Network, ‘유넷시스템, 머신러닝 기반 ‘사용자행위분석(UBA)’ 시장 열었다’, 2016.10.14. https://byline.network/2016/10/1-392/
4. IBM, ‘IBM QRadar SIEM을 통한 사용자 행동 분석’. https://www.ibm.com/kr-ko/products/qradar-siem/user-behavior-analytics
5. Proofpoint, ‘보안 인식 교육 이란?’. https://www.proofpoint.com/kr/threat-reference/security-awareness-training
6. Proofpoint, ‘Real-World Study: Effective Results from Proofpoint Security Awareness Customers’. https://www.proofpoint.com/us/blog/security-awareness-training/results-from-proofpoint-security-awareness-customers