VIII. 행동보안을 조직에 심다

살아 움직이는 보안: 행동보안 구현 사례

아무리 견고한 기술적 방화벽을 쌓아 올려도, 그 시스템을 사용하는 '사람'의 행동이 안전하지 않다면 결국 모래성에 불과합니다. 기존의 보안 패러다임은 종종 인간을 '가장 약한 고리'로 치부하고 통제와 처벌의 대상으로 삼았습니다. 하지만 이러한 접근은 직원들의 자발적인 참여를 저해하고 오히려 보안을 회피하려는 '그림자 IT'를 양산하는 부작용을 낳기도 했습니다[1].

이 장에서는 인간을 문제의 원인이 아닌 해결의 주체로 보고, 조직 구성원의 심리적, 사회적, 인지적 요인이 보안 관련 행동과 의사결정에 미치는 영향을 연구하는 '행동보안(Behavioral Security)'의 구체적 적용 사례를 살펴보고자 합니다. 제7장에서 다루었던 행동보안에 대한 이론 및 모델이 어떻게 실무에 적용되고 있는 지 확인할 수 있을 것입니다. 이를 위해, 행동보안의 구현을 위한 청사진을 그리는 것부터 시작해, 시스템과 조직의 일상 업무에 안전한 행동을 심는 구체적인 방법을 탐구할 것입니다. 나아가 프로그램의 성과를 측정하고 개선하며, 궁극적으로는 '보안'이 규칙과 절차를 넘어 조직의 DNA에 각인된 '문화'로 꽃피우는 여정을 함께 그려보고자 합니다.

1. 행동보안 실행을 위한 청사진

성공적인 행동보안 프로그램은 단발적인 캠페인이나 연례 교육으로 완성되지 않습니다. 그것은 조직의 인적 위험을 진단하고, 명확한 목표를 설정하며, 심리학적 원리를 활용하여 설계 및 실행하고, 지속적으로 측정·개선하는 하나의 유기적인 시스템입니다. 이 절에서는 행동보안이라는 집을 짓기 위한 설계도, 즉 실행을 위한 프레임워크를 살펴봅니다.

1.1 BEC 프레임워크

행동보안을 조직에 실제적으로 구현하기 위한 프레임워크 중 대표적인 것은 BEC(Behavioral Economics in Cybersecurity) 프레임워크를 들 수 있습니다[2]. 이 프레임워크는 미국 국방부(DoD) 산하의 Cybersecurity and Information Systems Information Analysis Center (CSIAC)에서 제안되었습니다. 행동경제학의 연구 결과와 사이버 보안 전략을 통합하기 위한 프레임워크로서, 의사결정자가 인간의 비합리성으로 인해 어떤 보안 영역이 위험에 처하는지 우선순위를 정하고, 그에 맞는 대응책을 선택하도록 설계되었습니다. 또한, 이 프레임워크는 NIST 위험 관리 프레임워크와 연계하여 인간 편향을 위험 평가 단계에서 특별한 유형의 취약점으로 취급하고, 위험 대응 단계에서 이러한 편향을 통제할 수 있게 설계되었습니다.

BEC 프레임워크는 두 가지 차원으로 구성됩니다.

이해관계자(Stakeholders): 사용자(Users), 방어자(Defenders), 공격자(Attackers)

보안 관점(Perspectives): 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)

이 두 차원을 결합하여 만들어진 매트릭스는 조직이 처한 상황에 따라 유연하게 적용될 수 있습니다. 예를 들어, 정보의 기밀성 보호가 최우선인 정부 기관은 '사용자-기밀성(U-C)' 영역에 집중할 수 있습니다. 반면, 제어 시스템(SCADA)의 무결성이 중요한 전력 회사는 '사용자-무결성(U-I)' 영역을, 서비스의 중단 없는 가용성이 생존과 직결되는 온라인 쇼핑몰은 '사용자-가용성(U-A)' 영역의 취약점을 우선적으로 다룰 수 있습니다.

직원이 기억하기 쉽다는 이유로 '123456'과 같은 취약한 비밀번호를 사용하는 문제는 시스템의 '무결성'을 위협하는 '사용자'의 행동이므로, BEC 프레임워크의 '사용자-무결성(U-I)' 블록의 취약점으로 식별됩니다. BEC 프레임워크는 이처럼 문제점을 명확히 정의하고, 비밀번호 강도 측정기나 패스워드 매니저 도입과 같은 구체적인 대응책을 연결하는 데 도움을 줍니다.

1.2 가트너의 PIPE 프레임워크

가트너의 PIPE(Platforms, Insights, Practices, Evaluation)는 보안행동 및 문화 프로그램(Security Behavior and Culture Progrma)을 효과적으로 실행하기 위한 구조화된 프레임워크로, 보안 행동 변화와 문화 정착을 위해 필요한 핵심 요소를 체계적으로 제시합니다[3].

Platforms: 보안 행동 및 문화 프로그램을 지원하는 기술적·조직적 플랫폼으로서 통합 대시보드, 자동화된 교육 플랫폼, 실시간 위험 알림 등 인프라 구축

Insights: 조직 내 보안 행동, 위험, 문화 상태에 대한 데이터 기반 인사이트 도출하기 위해 정량적(피싱 클릭률, 정책 위반률), 정성적(직원 인식 조사, 참여도) 데이터 수집 및 분석

Practices: 행동 변화와 문화 구축을 위한 실질적 실행 방안으로서 맞춤형 교육, 실시간 넛지, 게임화, 내부 챔피언 프로그램, 스토리텔링 등 다양한 행동 변화 전략 실행

Evaluation: 개선핵심 지표(KPI) 기반 프로그램의 성과와 효과성 평가, 행동 변화 및 문화 정착의 지속적 모니터링, 경영진 보고 등

PIPE는 경영진의 가시적 지원과 조직 목표와의 정렬을 강조해, 보안이 단순 규정 준수를 넘어 조직 전략과 연결되도록 유도합니다. 또한, 단순 인식 교육을 넘어, 조직의 실질적 행동 변화와 문화적 내재화, 그리고 경영진의 적극적 참여와 데이터 기반 평가를 강조하고 있습니다.

PIPE 프레임워크는 행동 변화를 유도하기 위해서는 넛지와 같은 행동 변화 기법도 중요하지만, 이를 뒷받침하는 데이터와 시스템이 중요하고 또한 일시적 이벤트가 아닌 하나의 프로그램으로서 지속적 평가와 개선이 필요하다는 점을 지적하고 있습니다. 또한 이 프레임워크는 성공을 위한 청사진이 아닌 도구입니다. 실제 성공은 조직의 리더십, 실행 품질, 그리고 진정한 문화 변화 의지에 달려있습니다. 프레임워크 도입 자체가 성공을 보장하지 않음을 잊지 말아야 합니다.

1.3 기타 프레임워크

이외에도 독일 사이버보안 교육 회사인 SoSafe에서 개발한 행동 보안 모델은 지식(Knowledge), 맥락(Context), 동기(Motivation), 행동(Behavior)이라는 네 가지 차원을 기반으로 하는 포괄적인 모델입니다[4]. 런던대학교에서 개발한 ‘행동 보안 그리드 (Behavioral Security Grid, BSG)’는 감정적 보안(Affective Security)과 위험 이해(Risk Understanding)라는 두 차원을 사용하여 임직원의 보안 행동을 Open, Hidden, Blind, Unknown의 네 가지 사분면으로 분류하고 진단하는 도구로 활용됩니다. 위험에 대한 이해를 향상시키는 것만으로는 보안 준수를 개선하기에 충분하지 않으며, 긍정적인 감정적 동력 요인을 식별하고 활용하는 것이 직원의 보안 준수 행동을 개선하는 데 중요하다는 연구 결과를 제시합니다[5]

이러한 프레임워크를 실제로 작동시키는 힘은 넛지(Nudge), 프레이밍(Framing), 사회적 증거(Social Proof)와 같은 행동경제학의 심리적 도구들에서 나옵니다. 이 도구들은 사용자의 행동을 긍정적으로 유도하는 역할을 하며, 다음 절에서 다룰 시스템 및 업무 설계의 구체적인 방법론에 녹아들어 있습니다.

2. 시스템에 안전한 행동을 심다

행동보안의 첫 번째 적용 영역은 바로 기술, 즉 우리가 매일 사용하는 시스템과 애플리케이션입니다. '행동을 고려한 보안 설계(Security by Behavioral Design)'는 사용자가 특별히 애쓰거나 고민하지 않아도 자연스럽게 안전한 보안 활동을 할 수 있도록 시스템 설계 단계부터 행동보안을 반영하여 시스템에 내재화(Embedded)하는 것입니다[6].

2.1. 행동보안 핵심 원칙 및 개념 적용

단순성 및 사용 용이성(Simplicity & Ease of Use): 보안 조치는 이해하기 쉽고 사용하기 편리해야 합니다. 복잡한 절차나 인터페이스는 사용자 오류나 우회를 유발할 수 있습니다. 예를 들어, 간단한 비밀번호 정책이 복잡한 정책보다 준수율이 높습니다. 보안 행동이 수행하기 쉬울수록 최종 사용자가 보안적으로 행동할 가능성이 높아집니다.

기본값 설정(Defaults): 사람들은 기본 설정을 변경하지 않고 그대로 두는 경향이 강하기 때문에, 안전한 옵션을 기본으로 제공하면 전체적인 보안 수준을 크게 향상시킬 수 있습니다. 예를 들어, 저축 계획에 자동 등록되거나, 신입 직원의 회사 장치에 필요한 애플리케이션이 기본으로 설치되는 것이 이에 해당합니다.

명확하고 시기적절한 피드백(Clear and Timely Feedback): 사용자가 자신의 보안 행동에 대해 명확하고 즉각적인 피드백을 받을 수 있도록 시스템을 설계합니다. 예를 들어, 시스템이 의심스러운 활동을 차단했을 때, 그 이유와 다음 단계를 명확히 설명해 주면 사용자의 신뢰와 이해를 높일 수 있습니다. 피싱 이메일 보고 버튼의 경우, 보고자가 해당 이메일의 진위 여부와 확인할 요소를 즉시 알 수 있는 피드백 루프가 있다면 효과가 더욱 높아집니다.

일관성(Consistency): 보안 메커니즘은 다양한 맥락에서 예측 가능하고 일관되게 작동해야 합니다. 일관성 없는 보안 경고나 절차는 사용자를 혼란스럽게 하고 보안 경고를 무시하게 만들 수 있습니다.

오류 방지(Error Prevention): 시스템은 일반적인 사용자 오류를 방지하도록 설계되어야 합니다. 예를 들어, 자동 저장 기능은 우발적인 종료나 시스템 충돌로 인한 데이터 손실을 막을 수 있습니다.

미묘함과 부드러움(Subtlety): 넛지는 사용자를 압도하지 않는 미묘한 방식으로 작동하며, 강제적인 통제나 지시보다는 부드러운 안내 역할을 합니다. 예를 들어, 복잡한 정책 인용 대신 "비밀번호를 업데이트한 지 90일이 지났습니다. 비밀번호 강도 향상은 보안을 강화합니다"와 같은 알림을 통해 비밀번호 업데이트를 유도할 수 있습니다.

상황 기반 프롬프트(Contextual Prompts): 잠재적으로 위험한 행동을 할 때 실시간으로 경고나 프롬프트를 제공합니다. 예를 들어, 민감한 문서를 공유하려 할 때 "이 수신자가 이 문서에 접근할 수 있어야 합니까?"와 같은 메시지를 띄우는 것이 있습니다. 피싱 이메일에 대한 실시간 경고도 이에 해당하며, 이는 피싱 공격에 대한 취약성을 최대 30%까지 줄일 수 있습니다.

2.2 통제(Control)의 재설계

과거의 보안 설계는 가능한 많은 통제를 만들어 사용자의 접근을 어렵게 하는 데 초점을 맞췄습니다. 하지만 이는 사용자의 피로도를 높여 결국 보안을 우회하려는 시도로 이어졌습니다. 행동보안 설계는 통제를 없애는 것이 아니라, 위험한 행동에는 강력한 통제를 구현하고, 안전한 행동에서는 통제를 제거하는 방식으로 재설계합니다.

나쁜 설계: 12자리 이상의 특수문자, 대소문자, 숫자를 조합하여 90일마다 변경해야 하는 비밀번호 정책은 사용자로 하여금 기억하게 하기 어려워 비밀번호를 포스트잇에 적어두거나, 기존 비밀번호에 숫자 하나만 바꾸는 식으로 정책을 우회할 가능성이 높습니다.

좋은 설계: 간편한 생체인증이나 다중인증(MFA)을 기본으로 도입하여 로그인 절차를 단순화합니다, 대신, 평소와 다른 시간이나 장소에서 민감한 데이터에 접근하려는 시도에는 추가 인증을 요구하는 등 '지능적인 통제'를 추가합니다. 이렇게 하면 일상적인 업무의 편의성은 높이면서도, 비정상적인 행위에 대한 보안성은 강화할 수 있습니다.

또한 시스템 사용 시 자연스러운 보안 행동을 유도하기 위해 BJ Fogg의 모델을 사용할 수 있습니다. 즉, 특정 행동(Behavior)이 발생하기 위해서는 동기(Motivation), 능력(Ability), 자극(Prompt) 세 가지 요소가 동시에 충족되어야 하고 합니다.

원칙 1: 행동을 쉽게 만들어라 (능력 향상): 인간은 본능적으로 쉬운 길을 택하려는 경향이 있습니다. 복잡하고 어려운 보안 절차는 결국 사용자의 저항과 우회를 낳습니다. 따라서 안전한 행동에 필요한 노력과 시간을 최소화해주는 것이 중요합니다.

예를 들면, 복잡한 비밀번호를 외우라고 강요하는 대신, 클릭 한 번으로 안전하고 강력한 비밀번호를 생성하고 저장해주는 '패스워드 매니저'를 제공하는 것입니다. 이는 사용자의 기억력에 의존하지 않고도 '능력'의 장벽을 낮춰 안전한 행동을 쉽게 만듭니다.

원칙 2: 적시에 행동을 유도하라 (자극 제공): 자극(Prompt), 즉 넛지는 사용자가 행동해야 할 바로 그 순간에 주어질 때 가장 효과적입니다. 받은 편지함에 묻혀있는 공지 이메일보다, 결정의 순간에 나타나는 실시간 알림이 훨씬 강력합니다.

예를 들면, 로그인 과정에서 다중인증(MFA) 설정 여부를 묻는 팝업을 띄우거나, 외부로 대용량 파일을 전송하려는 순간 "이 파일에는 민감 정보가 포함될 수 있습니다. 전송하시겠습니까?"와 같은 확인 창을 보여주는 것입니다. 이는 사용자의 주의를 환기하고 올바른 판단을 내리도록 돕는 효과적인 자극이 됩니다.

원칙 3: 행동할 이유를 제공하라 (동기 부여): 동기는 행동의 가장 근원적인 에너지입니다. Fogg 모델은 동기를 희망/두려움 같은 '기대', 소속감/사회적 인정 같은 '소속' 등으로 구분합니다.

예를 들면, "데이터 유출 시 발생할 수 있는 피해"를 시각적으로 보여주어 '두려움'을 자극하거나(단, 무력감을 느끼지 않도록 쉬운 방어법을 함께 제시해야 함), "동료의 95%가 이미 피싱 훈련을 완료했습니다"와 같은 메시지로 '소속감'과 '사회적 증거'를 활용하는 것이 효과적입니다. 또한, 보안 우수 실천 사례를 리더가 직접 칭찬하고 공유하는 것은 강력한 동기 부여 수단이 됩니다.

2.3 네덜란드 NCSC의 제언: 테크노레귤레이션과 넛지의 결합

네덜란드 국립사이버보안센터(NCSC)의 의뢰로 레이던 대학이 수행한 신속 검토(Rapid Review) 보고서는 행동과학 통찰력을 시스템 설계에 통합하는 모범사례를 제시합니다. 보고서의 핵심은 ‘'테크노레귤레이션(Techno-regulation)'과 '넛지(Nudge)'를 위험 수준에 따라 전략적으로 조합하여 사용하는 것입니다[7].

(1) 테크노레귤레이션 (고위험 행동에 대한 강제): 이는 법률의 하위 분야에서 파생된 개념으로, 안전하지 않은 선택을 할 자유를 기술적으로 제거하여 보안을 강제하는 방식입니다. 위험도가 매우 높아 사용자의 선택 자유를 제한하는 것이 합당할 때 사용됩니다. 예를 들면, 회사의 민감한 데이터가 담긴 파일은 암호화되지 않은 상태로 외부 이메일 주소로 전송하는 것 자체를 시스템적으로 차단합니다. 이는 사용자의 실수나 악의적 행동의 가능성을 원천적으로 제거하는 강력한 통제 방식입니다.

(2) 넛지 (저·중위험 행동에 대한 유도): 사용자의 선택권을 유지하되, 부드러운 개입을 통해 안전한 방향으로 행동을 유도하는 방식입니다. 시스템이 다양한 목적으로 사용되어 위험 수준을 단정하기 어렵거나, 사용자의 자율성을 존중해야 할 때 효과적입니다. 예를 들면, 구글 크롬 브라우저는 사용자가 철자가 틀린 URL을 입력하면 올바른 주소를 제안하거나, 위험한 사이트에 접속하기 전 경고 페이지를 보여줍니다. 또한, 외부로 메일을 보낼 때 수신자 목록에 외부 이메일 주소가 포함되어 있음을 시각적으로 경고(예: 빨간색으로 표시)하고 확인 절차를 거치게 하는 것도 대표적인 넛지입니다.

보고서는 장기적인 행동 개선을 위해서는 사용자가 보안과 편의성 사이에서 고민해야 하는 결정의 순간에 넛지를 반복적으로 적용하는 것이 필요하다고 강조합니다. 이처럼 위험도에 따라 강제와 유도를 현명하게 조합함으로써, 시스템은 사용자를 괴롭히는 장애물이 아닌 안전한 길로 안내하는 가이드가 될 수 있습니다.

3. 일상 업무에 스며드는 보안 원칙

아무리 시스템이 잘 설계되어도, 결국 보안은 사람들의 일상적인 업무 습관 속에서 완성됩니다. 이 절에서는 행동 보안을 조직에 반영하기 위한 내재화 프로세스를 먼저 소개하고, 행동과학 원리를 활용하여, 보안을 특별한 이벤트가 아닌 자연스러운 업무의 일부로 만드는 행동 유도 원칙과 그 적용 방안을 탐구합니다.

3.1 행동 보안 조직 내재화 프로세스

명확한 목표 설정(Identify the Desired Behavior Change): 어떤 행동 변화를 유도할 것인지 명확히 정의합니다. 이는 조직의 보안 목표와 직접적으로 연결되어야 합니다.

기존 의사결정 패턴 분석(Analyze Existing Decision-Making Patterns): 사람들이 현재 어떻게 의사결정을 내리고 있는지, 그리고 어떤 장애물이 존재하는지 데이터 분석과 직원 피드백을 통해 이해합니다[8]. 행동 위험 평가를 통해 직원 행동과 인지 편향, 조직 문화가 보안에 미치는 영향을 분석합니다.

효과적인 넛지 설계(Design Effective Nudges): 인지 편향과 의사결정 경향에 부합하는 개입 방법을 선택하여 넛지를 설계합니다. 이는 보안 교육 프로그램을 맞춤화하거나 오류 및 악의적인 활동 기회를 최소화하도록 워크플로우를 재설계하는 것을 포함할 수 있습니다.

테스트 및 반복(Test and Iterate): 넛지의 효과를 측정하기 위해 파일럿 프로그램을 실행하고 피드백을 기반으로 개선합니다. A/B 테스트는 다양한 접근 방식을 비교하는 데 유용합니다.

성공적인 넛지의 확대 적용(Scale Up Successful Nudges): 효과가 입증된 넛지는 조직 전체에 확대 적용하며, 지속적인 추적 및 조정을 통해 효과를 유지합니다.

지속적인 모니터링 및 평가(Continuous Monitoring and Evaluation): 사용자 정책 준수, 인시던트 보고율, 피싱 시뮬레이션 결과 등 주요 행동 지표를 추적하여 개입의 효과를 지속적으로 평가하고 개선합니다[8].

3.2 행동 유도를 위한 기법

(1) 습관의 고리(Habit Loop)를 활용한 보안 훈련

찰스 두히그가 대중화한 '습관의 고리' 모델은 모든 습관이 '신호(Cue) → 반복 행동(Routine) → 보상(Reward)'의 3단계로 구성된다고 설명합니다. 이 원리를 보안 훈련에 적용하면 매우 강력한 효과를 낼 수 있습니다[9].

실사례: 인터랙티브 피싱 모의 훈련

신호(Cue): 실제와 매우 유사하게 조작된 피싱 이메일(예: "결제 정보 오류"라는 제목)이 직원에게 도착한다.

반복 행동(Routine): 직원이 이메일의 링크를 클릭하는 대신, 아웃룩에 설치된 '피싱 의심 메일 신고' 버튼을 누른다.

보상(Reward): 버튼을 누르는 즉시 "훌륭합니다! 이 메일은 모의 훈련이었습니다. 피싱 메일을 정확히 식별하고 신고해 주셔서 감사합니다"라는 긍정적인 피드백이 화면에 나타난다. 동시에, 회사의 보안 대시보드에 해당 직원의 점수가 올라가고, 분기별 우수 신고자에게는 소정의 상품이 지급된다.

이러한 과정은 직원이 의심스러운 이메일(신호)을 받았을 때, 무심코 클릭하는 위험한 행동 대신 '신고'라는 안전한 행동을 하도록 훈련시킵니다. 즉각적인 긍정적 피드백과 게임화(Gamification) 요소는 이 안전한 행동을 강화하는 '보상'으로 작용하여, 결국 의식적인 노력 없이도 자동으로 반응하는 '습관'으로 자리 잡게 합니다.

(2) 보안 챔피언: 변화를 확산시키는 조력자

모든 조직에는 변화에 앞장서는 '혁신가'와 '조기 수용자' 그룹이 존재합니다. '확산이론(Diffusion of Innovations)'에 따르면, 이들이 새로운 행동을 받아들이고 전파하는 역할이 전체 조직의 변화에 결정적입니다. '보안 챔피언' 프로그램은 바로 이 원리를 활용한 것입니다[10]. 보안 챔피언은 각 부서에서 보안에 대한 관심과 열정이 높은 직원들을 선발하여, 이들에게 추가적인 보안 교육과 권한을 부여하는 프로그램이다. 이들은 전문 보안팀과 현업 부서 사이의 가교 역할을 수행합니다.

보안 챔피언의 역할은 동료들의 간단한 보안 관련 질문에 답해주고, 새로운 보안 정책을 부서의 상황에 맞게 설명해주며, 안전한 업무 방식을 먼저 실천하여 보여주는 역할 모델이 되는 것입니다. 딱딱한 공지사항이나 외부 강사의 교육보다, 가까운 동료인 챔피언의 조언과 행동이 구성원들에게 훨씬 더 큰 영향력을 미친다. 이는 '사회적 증거' 원리가 작동하는 것으로, "나와 비슷한 동료도 저렇게 하고 있구나"라는 인식을 통해 보안 정책의 수용성을 높이고 조직 전체로 안전한 행동을 확산시키는 촉매제가 됩니다.

4. 살아 숨 쉬는 행동보안: 성과 측정과 개선

"측정할 수 없으면, 개선할 수도 없다"는 격언은 행동보안에도 그대로 적용됩니다. 이 절에서는 행동보안 프로그램을 '살아 숨 쉬게' 만드는 구체적인 행동 데이터 분석 지표와 사례를 살펴봅니다.

4.1 단순 이수율을 넘어 행동 중심 지표로

성공적인 프로그램은 '보안 교육 이수율'과 같은 단순 활동 지표를 넘어, 실제 직원들의 '행동 변화'를 측정하는 데 초점을 맞춥니다. 효과적인 행동 중심 지표는 조직의 보안 상태를 이야기처럼 풀어내는 서사의 주인공이 될 수 있습니다.

보안행동과 문화에 대한 상세 지표는 Keepnet에서 찿아 볼 수 있습니다. SBCP 지표군, 행동 중심 지표군, 문화 지표군, 전략적 연계 지표군, 법규 준수 지표군, 앰버서더 지표군으로 그룹핑해서 세부 지표를 보여주고 있는데 다음 표는 조직의 보안 행동과 문화를 측정하기 위한 핵심 지표의 예시입니다[11].

[표 1] 대표적 행동보안 지표

4.2 행동 데이터 분석을 통한 위협 탐지 사례

이러한 지표들은 사용자 및 개체 행동 분석(UEBA) 기술과 관찰 등을 통해 수집되고 분석됩니다. UEBA는 인공지능과 머신러닝을 활용해 평소의 정상적인 행동 패턴(Baseline)을 학습하고, 이로부터 벗어나는 이상 징후를 탐지합니다[12][13].

사례 1: 내부자 위협 탐지: 마케팅 부서 직원이 자신의 업무 범위와 무관한 환자의 의료 기록(EHR) 시스템에 접근을 시도하는 경우를 가정해 보겠습니다. EDR(엔드포인트 탐지 및 대응) 시스템은 이 직원의 평소 행동 기준선과 다른 이례적인 접근 패턴을 탐지하고 즉시 경고를 발생시킵니다. 이 데이터를 통해 보안팀은 내부 정보 유출 시도를 사전에 차단할 수 있습니다[14].

사례 2: 계정 탈취 탐지: 한 직원의 계정이 평소와 다른 시간대(예: 새벽 3시)나 익숙하지 않은 해외 IP 주소에서 로그인될 경우, UEBA 시스템은 이를 계정 탈취 가능성으로 판단하고 자동으로 해당 세션을 차단하거나 추가 인증을 요구합니다[12].

이처럼 행동 데이터 분석은 모든 직원을 잠재적 범죄자로 취급하는 대신, 데이터를 기반으로 실제 위험에만 정밀하게 대응함으로써 보안팀의 효율성을 높이고 조직의 전반적인 보안 태세를 강화합니다[15].

5. 행동보안, 문화로 꽃피우다

행동보안 여정의 최종 목적지는 '문화'입니다. 보안이 더 이상 지켜야 할 귀찮은 규칙의 목록이 아니라, 조직 구성원 모두가 공유하는 가치이자 신념이며, 자연스럽게 실천하는 업무 방식으로 자리 잡는 상태를 의미합니다. 보안 문화에 대한 구체적 내용은 10장과 11장에서 자세히 다루도록 하고 여기서는 행동보안을 보안 문화로 정착하기 위해 필요한 2가지 핵심 요소인 리더십과 변화관리에 대해 간단히 언급하겠습니다.

5.1 리더십: 문화의 씨앗을 뿌리는 손

강력한 보안 문화는 반드시 최고 경영진의 확고한 의지와 솔선수범에서 시작됩니다. 리더가 보안을 비용이나 업무의 방해물로 여기지 않고, 비즈니스의 성공과 고객 신뢰를 위한 핵심적인 투자로 인식하고 있음을 지속적으로 천명해야 합니다[6]. 리더가 스스로 다중 인증과 같은 보안 절차를 가장 먼저 도입하고 사용하는 모습을 보일 때, 그 메시지는 조직 전체에 강력하게 전파됩니다.

강력한 리더십의 예로는, 한 국가의 정부 부처는 대규모 디지털 전환 프로젝트를 추진하며, 방대한 양의 민감한 시민 데이터를 새로운 플랫폼으로 이전해야 하는 과제에 직면했습니다.. 프로젝트 초기부터 부처의 최고 책임자들은 "보안은 타협할 수 없는 최우선 가치"임을 선언하고, 보안팀을 프로젝트의 핵심 의사결정 기구에 참여시켰습니다. 모든 예산과 인력 배정에서 보안이 최우선으로 고려되었으며, 리더들 스스로가 다중 인증과 같은 보안 절차를 가장 먼저 도입하고 사용하는 모습을 보였습니다. 이러한 리더십의 강력한 의지 덕분에, 프로젝트는 단 한 건의 심각한 보안 사고 없이 성공적으로 완료되었고, 시민들의 신뢰를 얻는 데 결정적인 역할을 했다고 합니다[16].

5.2 조직적 변화 관리: 문화를 정착시키는 과정

문화는 선언만으로 만들어지지 않습니다. 사회심리학자 쿠르트 레빈(Kurt Lewin)의 변화 관리 3단계 모델은 조직 문화를 성공적으로 바꾸는 과정을 잘 설명해줍니다[10].

해빙(Unfreeze): 기존의 안일한 보안 관행과 태도가 얼마나 위험한지 구성원들이 깨닫게 하여 변화의 필요성에 공감하게 만드는 단계입니다.

변화(Change): 새로운 보안 행동과 절차를 도입하고 교육하는 단계입니다. 앞서 논의한 행동보안 설계, 습관 형성 훈련, 보안 챔피언 프로그램 등이 이 단계에서 실행됩니다.

재결빙(Refreeze): 새롭게 정착된 안전한 행동이 다시 과거로 돌아가지 않도록 조직의 정책, 평가, 보상 시스템에 공식적으로 통합하여 안정화시키는 단계입니다.

궁극적으로 강력한 보안 문화가 정착된 조직에서는, 직원이 복도에 떨어진 출입증을 발견했을 때 "누군가 처리하겠지"라고 지나치는 대신, 스스로 주워서 보안팀에 가져다주는 행동을 합니다. 이는 규칙에 있어서가 아니라, "조직의 자산을 보호하는 것은 우리 모두의 책임"이라는 공유된 신념이 내면화되었기 때문입니다. 행동보안은 바로 이 지점을 향한 길고도 의미 있는 여정의 나침반이 될 것입니다.

참고문헌

1. Sustainability Directory (2025), ‘Behavioral Security Design’. https://fashion.sustainability-directory.com/term/behavioral-security-design/

2. CSIAC. (2021). ‘BEC: Applying Behavioral Economics to Harden Cyberspace’.. https://csiac.dtic.mil/articles/bec-applying-behavioral-economics-to-harden-cyberspace/2/

3. Gartner (2024), ‘CISO Foundations: Build a Culture of Security Consciousness: Introducing the Gartner PIPE Framework’. https://www.gartner.com/en/doc/773138-ciso-foundations-build-a-culture-of-security-consciousness-introducing-the-gartner-pipe-framework

4. SoSafe. (2025), ‘How to create a security culture: The Behavioral Security Model’. https://sosafe-awareness.com/en-us/blog/how-to-create-a-security-culture-the-behavioral-security-model

5. N. Beris (2017), ‘Risk Understanding is not enough: Identifying and leveraging emotional drivers of security behaviour via the ‘Behavioural Security Grid’’. UCL 컴퓨터과학과 박사학위 논문

6. de Busser, E., & van Steen, T. (2021),.’Security by behavioural design’. Leiden University. https://www.universiteitleiden.nl/en/research/research-output/governance-and-global-affairs/security-by-behavioural-design

7. NCSC-NL. (2021), ‘Security by Behavioural Design: A Rapid Review’. https://english.ncsc.nl/latest/news/2021/september/16/security-by-behavioural-design-a-rapid-review

8. KnowBe4 Security Blog (2025), ‘ Building a Security Culture With Behavior Design’. https://blog.knowbe4.com/security-culture-behavior-design

9. Charles Duhigg (2012), ‘The Power of Habit: Why We Do What We Do in Life and Business’.

10. Keepnet (2025), ‘Top Behavioral Science Frameworks & Models for Cybersecurity’., https://keepnetlabs.com/blog/top-behavioral-science-frameworks-and-models-for-cybersecurity

11. Keepnet (2025), ‘ Security Behavior and Culture Metrics: Elevating Awareness and Action’. https://keepnetlabs.com/blog/security-behavior-and-culture-metrics

12. Splunk. (2023), ‘Behavioral Analytics in Cybersecurity’. https://www.splunk.com/en_us/blog/learn/behavioral-analytics.html

13. Leiden University. (2024. 4. 9). Security by Behavioural Design: A Feasibility Study. https://english.ncsc.nl/binaries/ncsc-en/documenten/publications/2024/april/9/index/78008+-+24401498+-+JenV+-+A+Feasibility+Study+(NCSC)-TG_PDFA.pdf

14. KnowBe4. (N.d.). Building a Security Culture With Behavior Design. https://blog.knowbe4.com/security-culture-behavior-design

15. Securonix. (2024), ‘Behavioral Analytics in Cybersecurity’. https://www.securonix.com/blog/behavioral-analytics-in-cybersecurity/

16. W. Khan (2024), ‘Introduction to Part 8: Real-World Examples of Secure by Design in Action’. https://www.linkedin.com/pulse/introduction-part-8-real-world-examples-secure-design-wasim-khan-7nsbf/