X. 조직의 숨은 저력, 보안문화

인간 중심 보안, 문화로 완성하다

by 김정덕
Jul 11. 2025

피터 드러커는 “전략은 문화의 아침식사거리밖에 안 된다(Culture eats strategy for breakfast)”고 말한 바 있습니다. 이는 아무리 탁월한 전략과 실행계획이 있더라도, 조직의 문화적 역동성과 구성원의 공통된 사고방식, 행동 패턴과 연결되지 않으면 성공하기 어렵다는 점을 강조합니다.


최근 들어 ‘보안문화’라는 용어가 사이버보안 및 비즈니스 리더들 사이에서 자주 언급되고 있습니다. 각종 기사, 프레젠테이션, 마케팅 자료 등에서 보안문화가 유행어처럼 사용되지만, 그 의미가 오해되는 경우가 많습니다. 많은 이들이 보안 문화를 단순히 보안 인식(awareness) 제고, 특정 프로세스 실행, 도구 활용과 동일시합니다. 그러나 이러한 요소들은 보안문화에 기여할 수는 있지만, 그 자체가 보안문화는 아닙니다. 보안문화는 이들과 구별되는 독자적이고 본질적인 개념입니다.


이 장에서는 보안문화가 왜 중요한지, 그리고 무엇을 의미하는지 살펴보고자 합니다. 이를 위해 글로벌 통계자료와 최근 동향, 그리고 보안문화에 대한 접근방법과 모델을 소개합니다.


1. 보이지 않는 힘, 문화를 이해하다


1.1 왜 다시 ‘문화’인가


디지털 전환과 비즈니스 환경의 복잡성이 심화되면서, 보안문화는 단순한 기술적 통제나 정책 준수를 넘어 조직의 생존과 성장에 필수적인 요소로 자리 잡고 있습니다. 보안문화란 결국 모든 임직원이 보안의 중요성을 인식하고, 자발적으로 책임 있게 행동하는 습관과 가치관이 조직 내에 자리 잡는 걸 의미합니다. 과거에는 보안 문제가 특정 부서의 책임으로 여겨졌으나, 지금은 전사적으로 접근해야만 제대로 대응할 수 있습니다. 기술적 대책만으론 한계가 있고, 실제 사고나 실수는 사람의 행동에서 비롯되는 경우가 많습니다. 결국 구성원 모두가 보안의 주체이자 핵심 자산이라는 인식이 중요합니다[1].


특히, 보안을 통제와 감시로만 접근하던 경직된 방식에서 벗어나, 유연성과 민첩성을 갖춘 인간 중심의 보안문화로 전환해야 할 필요성이 커지고 있습니다. 실제 업무 환경과 구성원 행동 특성을 고려해, 자율성과 책임감을 유도하는 문화가 조직의 지속적인 성과와 혁신을 이끕니다.


이런 변화가 중요한 이유는 명확합니다. 오늘날 사이버 공격의 90% 이상이 사람을 직접 겨냥합니다. 피싱, 사회공학, 내부자 위협 등 기술적 방어만으로는 막기 어려운 인적 리스크가 상당합니다. 또, 빠르게 변화하는 디지털 비즈니스 환경에서는 유연성과 혁신, 환경 적응력이 조직 경쟁력의 핵심입니다. 인간 중심 보안문화는 이런 변화에 민첩하게 대응할 수 있도록 해줍니다.


단순히 규정 준수나 일회성 교육에 그치지 않고, 일상적인 행동 변화와 자발적 실천이 이어져야만 실질적인 위험 감소와 보안 성과를 얻을 수 있습니다. 이를 위해서는 심리적 안전, 신뢰, 소통과 같은 건강한 보문화가 바탕이 되어야 합니다.


더 나아가, 구성원 스스로가 위협을 인지하고 적극적으로 대응할 수 있는 예측적·적응적 방어체계를 갖추는 것이 중요합니다. 이는 단순히 사고 발생 시 수습하는 수준을 넘어, 조직 전체의 회복탄력성과 경쟁력을 높이는 핵심 전략이 될 수 있습니다[2].


결국, 기술적 대책만으로는 한계가 명확하기 때문에, 공유가치와 행동규범, 그리고 일상적 실천이 자연스럽게 조직문화에 녹아들어야 합니다. 이를 위해서는 지속적인 진단과 개선 노력이 병행되어야만 조직의 지속가능성과 신뢰, 비즈니스 연속성을 보장할 수 있습니다.


1.2 보안, 시대를 따라 진화하다


보안은 인류의 역사와 함께 시작되었으며, 인터넷의 등장 이후 그 의미와 실천 방식이 크게 변화하였습니다[2].


인터넷 이전의 보안문화: 정보와 자산 보호가 주된 목표였으며, 신뢰와 권한, 물리적 장벽이 보안의 핵심이었습니다. 정보는 제한적으로 공유되었고, 보안은 규정이나 관행에 의해 유지되었습니다.


기술 중심 단계 (1960년대~1990년대): 1960년대 말 ARPANET으로 시작된 인터넷은 정보의 가용성에 중점을 두고 설계되었기 때문에 보안은 부차적으로 간주되었습니다. 그러나 인터넷이 대중화되면서 바이러스, 웜 등이 등장하게 되었고, 1990년대에는 방화벽, 백신 등 기술적 통제수단이 도입되면서 보안기술의 역할이 중요하게 인식되었습니다.


규정 준수 중심 단계 (1990년대 후반~2010년대): 인터넷이 확산되면서 법적·제도적 위험 관리가 중요해졌습니다. 각종 규제와 산업 표준이 도입되었고, 조직들은 연례 보안교육 등 최소한의 요건을 충족하는 데 주력하였습니다. 그러나 이러한 접근은 형식적이고, 실질적인 행동 변화를 유도하지 못하는 한계가 있었습니다.


인간 현실 중심 단계 (2010년대~현재): 2010년 전후로, 기술과 규정만으로는 진화하는 위협에 대응하기 어렵다는 인식이 확산되었고, 보안문화 프레임워크와 행동 유도형 교육, 시뮬레이션 훈련 등이 도입되기 시작했습니다. 특히 랜섬웨어와 같은 새로운 위협이 급증하면서, 규정 준수만으로는 조직을 보호할 수 없다는 현실이 명확해졌습니다. 최근에는 행동과학, 심리학 등 다양한 학문적 접근이 보안문화 연구에 접목되고 있으며, 행동보안을 시스템과 정책 설계 시 반영하려는 노력이 시작되고 있습니다.


이처럼 보안문화는 기술, 제도, 인간 행동이라는 세 축을 중심으로 진화하고 있습니다. 아무리 강력한 기술적 통제가 마련되어도, 보안의 성패는 결국 사람의 의식과 행동에 달려 있습니다.


1.3 데이터가 드러낸 보안 문화의 현주소


글로벌 보안인식 시장의 선두 주자인 KnowBe4는 매년 세계 최대 규모의 보안문화 실태조사(전 세계 4,000여 개 조직, 80만 명 이상의 임직원 대상, 7가지 보안 영향요인/차원 평가)를 수행하고 있습니다. 2024년 서베이 결과 보고서에 의하면, 보안문화 수준이 여전히 낮거나 정체 상태입니다. 특히 임직원의 보안 이해도와 인식은 오히려 하락하는 추세입니다. 산업별로는 금융·보험 등 고위험 산업군의 보안문화 성숙도가 비교적 높고, 정부·제조·교육 등은 자원 부족과 인식 미흡으로 후퇴하는 경향을 보이고 있습니다. 실제 사고 발생 시, 보안문화가 내재화되지 않은 조직일수록 피해가 심각하게 나타납니다[3].


SANS에서 매년 발표하는 보안 문화 서베이는 인적 보안 위험관리 현황과 보안 문화 프로그램의 성숙도를 중점적으로 평가합니다. 주요 인적 위험으로 소셜 엔지니어링이 압도적으로 높은 비율을 보이고 있으며 특히 피싱, 스미싱의 정교함이 증가하고 있음을 보고했습니다. 2024년 트렌드를 분석하면, AI 기반 공격의 증가, 모바일 기기 보안 취약, 협업 미흡 등이 새로운 이슈로 부상하고 있습니다[4].


한편, 영국 NCSC는 2025년 6월, 조직이 일상 업무에 보안문화를 내재화하도록 돕는 6가지 핵심 원칙을 발표했습니다. 또한NCSC는 조직의 보안문화 내재화와 리더십 실천을 지원하기 위해 다양한 도구와 프레임워크를 제공합니다[5].

10_NCSC 보안문화 6원칙.png [표 1] 영국 NCSC의 보안문화를 위한 6 원칙

이러한 조사 결과는 보안문화가 단순한 규정 준수를 넘어 조직의 전략적 경쟁력과 회복탄력성의 핵심임을 시사합니다. 성공적인 보안문화 정착을 위해서는 리더십의 적극적 지원, 행동 변화 중심의 교육, 신기술 활용, 효과 측정 체계가 필수적입니다. 보안문화를 비용이 아닌 가치 창출의 관점에서 접근해야 하며, 전사적 참여와 지속적 개선 노력이 요구됩니다.


2. 보안문화는 거버넌스 이슈


보안은 일회성 과제가 아니라, 끊임없이 변화하는 위협에 대응하며 위험을 관리하는 지속적인 과정입니다. 이사회와 경영진은 사이버 위험이 비즈니스에 미치는 영향을 이해하고, 이에 대해 명확하게 소통해야 합니다. 보안 논의는 비즈니스 맥락에서 의미와 중요성을 전달해야 하며, 기술 중심의 접근만으로는 충분하지 않습니다[6].


보안은 기술적 측면뿐 아니라, 인간 중심의 측면이 매우 중요합니다. 기술만 강조하면, 사람들은 보안이 자신과 무관하다고 느끼고, 보안 정책에 소극적이 됩니다. 인간 계층의 취약점과 방어를 조직 내 보안 대화의 핵심으로 삼아야 하며, 이를 통해 보안 문화 강화에 대한 공감대를 형성할 수 있습니다.


실제로 데이터 유출의 85%가 사회공학이나 인간 실수에서 비롯되지만, 전체 보안 예산의 3% 미만만이 인간 계층에 투자되고 있습니다. 하지만 기존의 정보 전달 위주 보안 인식 교육은 실제 행동 변화로 이어지지 않아 효과가 제한적이라는 한계가 있습니다. 최근에는 기술을 우회해 사람을 노리는 공격이 급증하고, 재택근무 확산 등으로 사회공학 공격이 더욱 효과적으로 작동하고 있습니다[2].


실제로 보안문화가 취약한 조직의 구성원은 우수한 조직에 비해 피싱 공격에 속아 계정 정보를 넘겨줄 확률이 52배나 높게 나타났습니다. 이는 보안문화가 조직의 위험 수준에 결정적으로 영향을 미친다는 강력한 증거입니다.


따라서 이사회와 경영진은 보안문화를 핵심 우선순위로 인식하고, 조직의 보안문화와 인간 계층 방어 수준을 객관적으로 측정하며, 취약점을 강화하는 데 집중해야 합니다. 보안의 ABC, 즉 인식(Awareness), 행동(Behavior), 문화(Culture)에 대한 통합적 접근이 필요합니다.


3. 행동을 이끄는 열쇠, 보안문화의 본질


3.1 ‘알아도 행하지 않는’ 딜레마


보안문화는 모든 보안 프로그램의 근간(Backbone)을 이룹니다. 보안문화는 단순히 인식 교육이나 피싱 훈련의 집합이 아니라, 조직의 지식, 신념, 가치, 행동, 사회적 규범까지 측정하고 변화시키는 것을 목표로 합니다. 사람들이 모인 곳에는 반드시 문화가 존재하며, 보안문화도 마찬가지입니다. 문제는 조직의 보안문화가 바람직한 지식, 가치, 규범, 행동을 반영하고 있는지 여부입니다[2].


지식-의도-행동의 간극(Knowledge-Intention-Behavior Gap): 정보를 전달해도 사람들이 반드시 이해하고, 기억하고, 행동으로 옮기는 것은 아닙니다. 인간은 자동화된 습관, 순간적 선택, 단기적 편의 추구 등으로 인해 지식이나 의도와 다르게 행동할 수 있습니다.


보안 인식의 세 가지 현실: 첫째, 인식한다고 해서 반드시 주의를 기울이는 것은 아닙니다. 둘째, 인간 본성에 역행하는 정책은 실패하기 쉽습니다. 셋째, 직원이 무엇을 ‘아는지’보다 무엇을 ‘하는지’가 훨씬 중요합니다.


정보만 제공하고 행동 변화를 유도하지 못하면, 보안 프로그램은 실패할 수밖에 없습니다. 실제 데이터 유출을 막는 것은 지식이 아니라, ‘행동’입니다. 따라서 보안 프로그램의 초점은 단순 규정 준수(compliance)가 아닙니다. 규정 준수는 효과가 미미하고, 정보 전달은 제한적 효과만 있을 뿐입니다. 행동 변화 및 보안 문화 형성이 되어야 조직에 진정한 변화를 가져올 수 있습니다.

10_Security Culture Shaping.png [그림 1] 보안문화 형성 과정

3.2 인간 본성, 보안의 약점인가 기회인가


실제로 보안문화와 관련된 모든 것은 인간 본성에 뿌리를 두고 있습니다. 사회과학자들은 오랜 시간 인간 행동과 동기를 연구해왔으며, 이 지식은 보안문화 프로그램 설계에 직접적으로 적용할 수 있습니다.


흔히 업계에서는 직원의 행동을 효과적으로 관리하는 것을 인간 중심 보안의 ‘만병통치약’처럼 여겨왔습니다. 하지만 실제로는 지식, 사회적 압력, 기술 등 여러 요소가 복합적으로 작용해야만 효과를 거둘 수 있으며, 어느 한쪽에만 치중하면 실패하기 쉽습니다[1].


전통 경제학 및 의사결정 이론은 인간을 합리적 존재로 가정했으나, 행동경제학(Thaler, Kahneman 등)은 인간이 감정, 편견, 사회적 압력 등 다양한 요인에 따라 비합리적으로 행동함을 밝혔습니다. 보안 인식 교육 역시 ‘알면 행동한다’는 잘못된 가정에 빠지기 쉽습니다. 실제로는 정보만으로 행동이 바뀌지 않습니다.


인간은 에너지를 절약하려는 경향이 있으며, 동기부여가 없으면 쉽게 습관이나 자동화된 행동(시스템 1, 빠른 사고)에 의존합니다. 이러한 자동화된 사고는 대부분의 일상적 결정을 차지하지만, 실수와 오류에 취약합니다. 훈련과 반복을 통해 잘못된 습관을 교정하고, 올바른 자동 행동을 유도해야 합니다[1].


인간은 소속된 집단의 규범과 행동에 강하게 영향을 받습니다. 공식적인 정책뿐 아니라, 조직 내 비공식적 규범(“여기서는 원래 이렇게 해”)이 실제 행동에 더 큰 영향을 미칠 수 있습니다. 조직의 사회적 규범과 집단 역학을 파악하고, 위험을 유발하는 규범은 개선해야 할 필요가 있습니다[2].


인간의 뇌는 본질적으로 게으르고, 자동화된 행동에 의존하는 경향이 높습니다. 따라서 조직은 정책, 프로세스, 기술 도입 시 인간 본성을 반드시 고려해야 합니다. 실시간 행동 개입, 패턴 인터럽트, 학습 기회 제공 등 다양한 방법을 활용해 행동 변화를 유도해야 합니다. 또한 보안문화는 조직 문화의 일부이며, 리더십의 지속적 관심과 관리가 필요합니다. 문화는 지속적 노력이 필요하며, 방치하면 자연스럽게 약화됩니다[2].


3.3 조직문화 속에 스며든 보안 DNA


조직문화에 대해 이야기할 때 흔히 나오는 말이 “조직문화는 쉽게 변하지 않는다”는 겁니다. 하지만 최근에는 체계적이고 장기적인 관리가 이루어진다면, 조직문화 역시 충분히 변화하고 성과에 긍정적인 영향을 줄 수 있다는 시각이 점점 더 힘을 얻고 있습니다. 결국, 조직이 처한 환경을 제대로 파악하고, 공유가치와 행동규범을 명확히 제시하는 것이 중요합니다. 이런 과정을 통해 조직은 더 바람직한 문화로의 전환이 가능해지고, 이는 곧 지속 가능한 성과로 이어진다는 의미입니다.


보안문화는 조직문화의 하위 문화(subculture)로, 조직이 공유하는 가치, 신념, 행동양식으로 정의되는 조직문화와 밀접하게 연관되어 있습니다. 한편, 보안문화는 겉으로 드러나는 행동이나 규정 준수 이상의 것을 요구하며, 구성원 개개인의 심리적 안전감, 신뢰, 책임감, 위험 인식 능력이 강조됩니다. 조직마다 환경과 전략이 다르기 때문에 보안문화도 일률적으로 적용할 수 없습니다. 각 조직에 맞는 맞춤형 접근이 필요하며, 리더십의 방향성과 경영진의 적극적인 참여가 보안문화 정착에 큰 영향을 미칩니다. 또한 보안 위협 환경이 계속 변하는 만큼, 보안문화 역시 반복적 학습과 실천, 그리고 상호 신뢰를 바탕으로 지속적으로 진단·개선되어야 합니다.


조직문화 모델이란, 다양한 이론과 분류체계를 통해 조직의 가치, 행동양식, 운영방식 등을 체계적으로 설명하는 틀입니다. [표 2]와 같이 조직문화 모델이 다양하게 제시되어 있지만, 핵심은 각 조직의 특성과 목표에 맞는 모델을 선택하여 적용하는 것에 있습니다. 보안문화 역시 이런 조직문화 모델의 이론을 바탕으로 설계 및 진단이 가능합니다.

10장_조직문화 모델들.png [표 2] 대표적 조직문화 모델


4. 보안문화, 어떻게 볼 것인가


보안문화 모델은 크게 구성요소 기반, 유형 기반, 성숙도 기반 등 세 가지 접근방법으로 구분할 수 있습니다. 각 접근법마다 대표 모델과 특성이 뚜렷하게 존재하며, 실제 적용 시에는 조직 상황에 맞는 선택과 조합이 중요합니다.


4.1 구성요소 기반 모델


이 접근법은 보안문화를 구성하는 요소 또는 차원(Dimension)으로 구분하여 이해하려는 노력입니다. 이 접근법은 다시 개인 중심과 조직 중심의 두 가지 관점으로 나뉩니다. 개인 차원을 중시하는 대표적 모델은 Kai Roer의 7차원 모델이며, 조직 차원에서는 맥킨지의 7S 모델을 보안 영역에 적용한 사례를 들 수 있습니다.


(1) 개인 중심 구성요소 모델

K. Roer의 7차원 모델은 태도(Attitudes), 행동(Behaviors), 인지(Cognition), 소통(Communication), 규정준수(Compliance), 사회적 규범(Norms), 책임(Responsibilities) 등 7가지 차원으로 보안문화를 세분화합니다. 설문, 행동 데이터, 인터뷰 등 다양한 측정 도구로 구성원의 행동 변화와 내재화 수준을 세밀하게 진단합니다. 예를 들어, 정책 준수는 높지만 실제 현장 행동이나 정보 공유, 자발적 참여는 낮음을 구체적으로 확인할 수 있습니다. 이 모델은 EU 산하 보안 전문기관인 ENISA에서 수행하는 보안문화 진단 프레임워크로 채택되었고, KnowBe4의 실태조사에서도 사용되는 모델로서 널리 사용되고 있습니다[2].

10_7 dimensions.jpg [그림 2] K. Roer의 개인 중심의 7차원 보안문화 모델

(2) 조직 중심 구성요소 모델

맥킨지 7S 모델은 조직의 다양한 요소를 통합적으로 진단하고 변화 관리에 활용할 수 있는 프레임워크로, 조직문화 진단 및 조직 변화 관리 등 다양한 분야에서 널리 사용되고 있습니다[8]. 조직문화를 구성하는 주요 차원을 설명하는 7S 모델을 보안문화에 적용해 보면 아래와 같이 재해석할 수 있습니다. △공유가치(Shared value: 전사보안의 중요성, 보안지향적 사고와 행동) △구성원(Staff: 보안 관련 역할과 책임, 역량) △기술(Skill: 보안 프로그램/솔루션 운영) △구조(Structure: 보안부서의 위상과 편제, 업무분장) △전략(Strategy: 비즈니스 연계 보안전략) △제도(System: 보안평가 및 보상체계, 의사결정/소통 프로세스) △ 리더십 스타일(Style: 보안 거버넌스 및 리더십, 의사결정에 있어 보안이슈 반영) 등 7개의 차원(Dimension)에서 세부적인 진단 체크리스트를 개발해서 보안문화 수준을 측정할 수 있습니다[1].

10_7S Model.jpg [그림 3] 맥켄지의 7S 모델


(3) 구성요소 접근방식의 장단점

보안문화를 여러 핵심 구성요소로 분해하여 각 차원의 강점·약점, 상호작용을 진단합니다. 설문, 인터뷰, 행동데이터 등 다양한 방법을 통해 각 요소별 현황을 세밀하게 파악할 수 있습니다. 이 접근방식의 장점은 조직의 다양한 문화적 요인과 행동 양상을 다층적으로 분석할 수 있다는 점입니다. 각 차원의 취약점(예: 소통, 책임, 규범 등)을 구체적으로 진단할 수 있으며, 맞춤형 개선 전략(예: 교육, 리더십, 보상 등) 수립에 용이합니다. 정성·정량 데이터 혼합 분석도 가능합니다. 반면, 진단 결과가 복잡하게 도출되어 해석 및 실행이 까다로울 수 있고, 차원별 우선순위 결정이 모호할 수 있습니다. 또한, 전문적인 데이터 설계와 분석 역량도 필요합니다.


4.2 유형 기반 모델


이 접근법의 대표 모델은 Cameron & Quinn의 경쟁가치모델(CVF)을 응용한 L. Hayden 교수의 보안문화 유형 모델입니다. 경쟁가치모델은 조직 내에서 서로 상충하거나 모순될 수 있는 다양한 가치들이 동시에 존재하고, 이러한 상반된 가치들의 긴장과 균형에 주목합니다. 조직은 특정 가치만을 일방적으로 추구하는 것이 아니라, 상황과 맥락에 따라 다양한 가치들의 경쟁적 공존과 조화를 통해 효과적으로 대응할 수 있어야 한다고 봅니다[9].


텍사스 주립대 하이든 교수는 보안에서의 상반된 가치를 ‘보안 통제의 강도(약 vs 강)’와 ‘전략 초점(내부 vs. 외부)’을 기준으로, 네 가지 보안문화 유형으로 구분합니다[10].


‘프로세스’(Process)형: 강한 보안통제와 내부지향성을 특징으로 하며, 중앙통제, 표준화, 정책 집행을 핵심 가치로 합니다.

‘규정준수’(Compliance)형: 강한 보안통제와 외부지향성을 특징으로 하며, 법규 준수와 외부 평가 대응을 핵심 가치로 합니다.

‘신뢰’(Trust)형: 느슨한 통제와 내부지향성을 특징으로 하며, 소통, 참여, 권한 위임 등 조직 내 신뢰를 핵심 기차로 합니다.

‘자율’(Autonomy)형: 느슨한통제와 외부지향성을 특징으로하며, 유연성, 혁신, 민첩성, 환경적응력등을 핵심 가치로합니다.

10_Haden_CVF 유형모델.png [그림 4] 경쟁가치모델 기반 보안문화 유형

이 접근방식의 장점은 조직의 보안문화 특성, 부서별 문화까지 맥락적으로 진단할 수 있다는 점입니다. 변화관리, 커뮤니케이션 전략 수립에도 효과적입니다. 하지만 유형 경계가 모호하거나 혼재될 수 있고, 정량적 벤치마킹에는 한계가 있습니다. 글로벌 표준과의 직접 연계성도 다소 떨어질 수 있습니다.


4.3 성숙도 기반 모델


대표적으로 CMM 모델을 보안에 적용한 Perry Carpenter 와 Kai Roer의 Security Culture Maturity Model (SCMM), SANS의 Security Awareness Maturity Model, NIST 등에서 제시하는 단계별 성숙도 모델이 있습니다. 조직의 보안문화 수준을 1~5단계 등으로 구분해, 현재 위치와 목표를 진단하고 단계별 개선 과제를 도출할 수 있습니다. 벤치마킹과 개선 로드맵 수립에 적합합니다[2][4].


이 방식의 장점은 조직의 발전 단계와 목표를 명확히 설정할 수 있고, 산업·지역·규모별 비교가 가능합니다. 단계별 개선 전략 수립, 데이터 기반 진단 및 추적에도 유리합니다. 단점은 각 단계 정의와 진단 기준이 실제 조직 현실과 괴리될 수 있고, 하위문화·세대·부서별 상황 반영이 어렵다는 점입니다. ‘단계 상승’ 자체가 목적이 되면, 실질적 행동 변화나 문화 내재화와 괴리가 생길 수 있습니다.

10_SANS_성숙도모델.jpg [그림 5] SANS Institute의 보안 인식 성숙도 모델

결론적으로, 조직의 보안문화를 진단하고 개선할 때는 단일 모델에 의존하기보다 여러 접근법의 장단점을 고려하여 복합적으로 활용하는 것이 실질적인 효과를 거둘 수 있습니다.


참고 문헌


1. 김정덕 (2025), ‘V. 습관으로서의 보안’. 디지털 비즈니스 보안(브런치북), https://brunch.co.kr/@jdkimcau/44

2. Perry Carpenter & Kai Roer (2022), ‘The Security Culture Playbook’, Wiley.

3. KnowBe4 (2024), ‘Security Culture Report 2024’.

4. SANS (2024), ‘Embedding a Strong Security Culture, Security Awareness Report’.

5. NCSC (2025), ‘Cyber Security Culture Principles’, https://www.ncsc.gov.uk/collection/cyber-security-culture-principles

6. M.A, Polce (2023), ‘How Board Members Can Set the Tone for Cybersecurity Culture’. https://mapolce.com/blog/board-members-create-cybersecurity-culture/

7. Perry Carpenter (2019), ‘Transformational Security Awareness’, Wiley.

8. Tom Peters, Robert H. Waterman, Jr.(1982), ‘In Search of Excellence’, Harper & Row.

9. Kim S. Cameron, Robert E. Quinn (2011), ‘Diagnosing and Changing Organizational Culture: Based on the Competing Values Framework’, John Wiley & Sons.

10. L. Hayden (2015), ‘People-Centric Security: Transforming Your Enterprise Security Culture’, McGraw-Hill.
keyword
인간중심보안과 보안문화
인간중심보안과 보안문화
brunch book
전체 목차 보기 (총 13화)
이전 09화IX. AI시대, 행동보안 위험과 기회