임직원 모두가 함께하는 효과적인 보안실천 방안

조직의 정보보호는 물리적, 기술적, 절차적인 모든 사항에 대해 보안위협을 분석하고, 균형 있는 보안대책을 수립 및 이행함으로써 달성할 수 있습니다. 이론적으로는 ISO 27001, ISMS 등 보안인증 가이드라인의 보안통제 항목을 준수하고, 지속적인 운영현황 모니터링 및 보완을 통해 조직에 적합한 보안을 실현할 수 있습니다.

 

보안규정, 정책 및 절차는 보안팀 및 인증관련 부서 또는 몇몇 직원들을 제외하고는 접할 기회가 많지 않습니다. 따라서, 임직원은 보안을 이해하기 이전에 실천해야 한다는 부담감을 갖게 되며, 보안팀의 보안정책 준수와는 거리가 멀어지게 됩니다. 임직원들에 있어 보안은 여러가지 틀을 만들고 사용에 제한을 두며 번거롭기만 한 것으로, 꺼려지고 피하고 싶은 영역일 지도 모릅니다.

 

보안팀은 IT 서비스의 확대와 복잡해져 가는 IT 시스템의 보안위협을 효과적으로 대응하기 위한 업무증가는 물론, 수시로 변하는 보안규정의 이해와 적용 및 준수로 인한 업무부담에 대한 지속적인 도전을 받고 있습니다.

 

기업은 보안팀의 이러한 도전을 침해사고 예방 및 대응체계를 자동화하고, 인공지능과 위협 헌팅, 위협 인텔리전스 등을 통해 현대화함으로써 해결하려고 노력하고 있습니다. 보안팀의 이러한 보안시스템 현대화와 더불어, 임직원의 보안에 대한 관심과 참여도가 높아진다면 보다 효과적인 보안이 될 수 있을 것입니다.

 

최근에 발생하는 기업 이메일 사기나 랜섬웨어 등은 보안인식이 낮은 임직원을 우선 장악하고, 조직 내부로 전파하여 중요 자산을 탈취하는 upstreaming 방식으로 진행되고 있습니다. 보안위협 초기에 이를 탐지하고 제거하는 것도 중요하지만, 임직원이 보안정책을 준수함으로써 이를 예방할 수도 있습니다. 

 

어떻게 하면, 보안에 대해 임직원들이 쉽게 다가서고 스스로 참여할 수 있도록 할 수 있을까요? 우선적으로 보안에 대한 이해도를 높이며, 임직원과 함께 만들어 가는 보안이 되어야 합니다. 이를 위해, 다음과 같이 몇 가지 의견을 제시합니다.  

 - 조직문화 및 업무환경을 반영한 보안정책 개발로 거부감 없는 보안준수를 유도합니다.

 -  보안에 관한 절차를 임직원들과 상의하여 같이 설계하고 보완합니다.

 - 흥미롭고 재미있는 보안교육을 진행합니다. 

 - 칭찬과 포상에 기반한 동기부여식 침해사고 대응 모의훈련을 진행합니다.

 - 다양한 보안 캠페인 (스크린 세이브, 포스터 등)을 통해 친숙해지도록 합니다.

 - ( ____________________________________ )

 

임직원과 함께하는 보안활동을 위해, 또 어떤 실천사항이 있을 수 있을까요? 마지막 항목은 여러분들의 소중한 의견으로 채워 주시기 바랍니다. 어떤 의견이든 보내주시면 감사하겠습니다.

 

※ 참조: The Importance of Implementing an Information Security Policy That Everyone Understands