항상 하는 말이지만 기업 정보보안조직이 힘없고 비인기 부서인 이유는 경영진과 직원들의 무관심이 원인이다. 그리고 그로 인한 기업의 가장 큰 위험은 보안 위협에 대한 대응력이 낮아진다는 것이다. 아는 만큼 보이고, 관심 있는 만큼 능숙해지는 법이 세상 이치이다. 알고 싶지 않고, 관심 없는 보안이라면 무엇이 보이겠으며, 어느 세월에 능숙해지겠는가!
정보보안조직에겐 이 문제를 해결하기 위한 방안이 절실하다. 이때 고려할 수 있는 방안이 바로 반복을 통한 습관화, 일상화이다. 습관이 되게 하고 일상으로 받아들여지도록 함으로써 결국은 기업의 문화로 흡수됨을 목표로 하는 것이다.
한번 두 번으로 그치는 활동이 아니라 잊을만하면 하고, 잊을만하면 마주치고, 잊을만하면 보이는 과정을 지루할 정도로 반복하는 것이 핵심이다. 그 반복의 과정을 통해 직원들이 원하든 원하지 않든 내용을 숙지하게 하고 절차에 익숙해지게 만드는 것이 목표다.
단, 주의할 점이 있다. 기업들이 자주 하는 모의메일훈련의 경우를 예로 들어 설명해 보자. 훈련은 반드시 필요하다. 그러나 무수히 반복되는 훈련을 통해 정보보안조직이 가장 중요시해야 할 것은 훈련을 통해 몇 명의 직원이 메일을 열어 감염되었는지 보다, 훈련 과정에서 얼마나 많은 직원들이 수상한 메일을 정보보안조직에 신고하였는지에 중점을 두는 인식의 전환이 필요하다.
훈련 목적을 감염률에 두는 순간 직원들은 반복되는 훈련을 통해 수상한 메일에 대한 회피를 습득하게 된다. 이는 본인이나 팀, 부서의 감염률 하락을 위해 훈련용 이상메일에 대한 정보를 주변 직원과 팀, 부서에 공유함으로써 훈련 효과를 저하시키는 상황을 만든다. 그리고 이러한 상황의 반복은 실제 이상메일이 기업 내부로 유입된 경우에도 정보보안조직이 유입여부를 파악하지 못하게 만드는 원인으로 작용하여 실제 훈련의 효과를 유명무실하게 만들 수 있다.
따라서 정보보안조직은 훈련의 목적을 단순 감염률 낮추기가 아닌 직원들의 신고와 같은 적극적 참여율을 높이도록 방향을 설정하는 것이 필요하다. 더불어 적극 참여자에 대한 적절한 보상의 반복을 통해 실제 이상메일의 유입 시 신속하게 정보보안조직으로 유입여부가 보고될 수 있도록 해야 한다.
즉, 반복하는 모든 과제에 대해 단순 효과보다는 직원들의 적극적 참여를 유도하는 방향으로 목적을 설정하는 것이 중요하다.
침해대응훈련의 경우도 마찬가지로 "훈련을 실전처럼, 실전을 훈련처럼"이라는 표현에 명심할 필요가 있다. 해킹 등을 통해 기업이 당면하게 되는 침해사고의 경우 대응조직의 빠른 판단과 일사불란한 조치가 피해의 규모를 결정하는 중요한 열쇠가 된다.
하지만 대부분의 기업은 형식적인 대응훈련만을 하고 있거나 아예 대응훈련을 하지 않는 경우가 다반사이다. 이래서는 개인정보 유출 등의 실제 침해사고 발생 시 가장 기민하게 움직여야 할 대응조직이 우왕좌왕하게 되고, 가장 중요한 황금시간을 낭비하게 되어 기업에게 악재로 작용하게 된다. 따라서, 평소 실제 사고와 유사한 시나리오를 개발해 반복 훈련을 함으로써 실제 사고 시에도 훈련 시의 과정대로만 대처하면 되도록 익숙하게 만드는 것이 필요하다.
자주 연습하고, 자주 마주치고, 자주 보이는 과정을 통해 싫든 좋든 습관이 되고 익숙해지도록 하고, 그 과정을 통해 결국엔 기업의 문화로 녹아드는 것. 정보보안조직이 임직원들을 변화시키기 위해 사용해야 할 전가의 보도다.
