기업문화를 해킹하다! Hacking Enterprise Culture for Security

해외법인 중 하나를 #보안진단 하러 갔을 때였다. 

 

첫째날 원할한 보안진단이 이루어질 수 있도록 Kick-Off 미팅을 잡아 놓았고

진단과정에서 협조가 필요한 유관 부서도 함께 초대를 했다. 

 

미팅을 마친 후 들려온 피드백 중 하나가 눈에 들어왔다. 

여기에서는 보안은 보안부서가 하는 일로만 여깁니다. 
그래서 타부서에서 참석했던 인력 중 일부가
왜 보안진단 Kick-Off 미팅에 자신들을 초대했던 것인지 물어보더라구요.
너희도 같이 해야 하는 것이니 협조해 달라고 부탁을 해놓기는 했습니다만...

 

어떻게하면 보안에 대한 관심을 유도하면서 동시에 

보안은 단지 보안부서가 아닌 법인 전체 구성원이 챙겨야 할 사안으로 바꿔줄 수 있을까?

 

---

 

마지막 날이 되었다. 

 

진단 결과를 브리핑 하기에 앞서

잠시 영상 하나만 보고 가겠다며 주의를 돌렸다. 

 

영화에서나 볼법한 영상이 그들의 주의를 끌어냈고

재생이 끝난 후 한마디를 더했다. 

 

'설마 우리 회사에서 아직도 보안은 보안부서만의 일이라는 생각을 하고 계신 분은 안계시겠죠?

 이 영상을 통해서도 그것은 절대로 불가능한 일이라는 것을 아셨을 겁니다.

 보안은 우리 모두의 책임임을 잊지 말아주십시요!' 

 

이후 진행된 진단 결과 설명회는 당연히 잘 마쳤다. 

 

아래 내용이 바로 그때 보여준 영상의 전체 버전으로서

보안인식 개선을 위해서 영국의 NPSA(National Protective Security Authority)에서 만든 것이었다. 

 

당시에는 시간 관계상 처음부터 끝까지 모두 보여주기 어려워

8~9분 분량으로 압축 편집해 좀더 생동감있게 핵심적인 메시지 위주로 보여주었다.  

 

 

위 영상의 주요 내용을 정리하자면 아래와 같다. (By #ChatGPT)

ㆍ보안 사고 발생
보안 위반으로 인해 해당 지역의 물 공급에 영향을 미치는 심각한 사고에 대한 추측이 이어졌습니다.
보도에 따르면 차량이 정문을 뚫고 들어가 큰 폭발이 발생한 것으로 나타났습니다.
휴대폰 서비스 중단으로 인해 상황을 이해하는 것이 더욱 복잡해졌습니다.

ㆍ서버 문제에 대한 조사
메인 서버가 다운되었으며, 로그에는 단순한 결함을 넘어 잠재적인 보안 위협이 있음을 나타냅니다.
CEO는 철저한 보고와 조사가 필요하다고 강조하며 모든 것을 취소했습니다.

ㆍ개인의 책임
직원들이 비즈니스 보호에 있어서 자신의 중요성을 이해하는 것이 중요하다는 점을 강조합니다.
모든 사람이 정의된 보안 기준을 따라야 할 필요성을 강조합니다.

ㆍ비밀번호 및 접근제어에 대한 보안 인식
사용자가 비밀번호가 취약한 노트북을 빌리는 보안 실수를 보여주는 그림입니다.
패스워드를 비밀로 유지하고 노출되지 않도록 하는 것의 중요성을 강조합니다.

ㆍ일반 보안 조치
USB저장장치를 주의 깊게 취급하고 민감한 정보를 보호하며 이메일과 웹사이트에 주의하는 방법에 대해 조언합니다.
적극적으로 행동하고, 문제를 보고하고, 보안 조치 개선에 기여하도록 장려합니다.

 

영상과 그것을 정리한 메시지를 비교해 본다면 어떤가?

보안교육이라고 하면 따분함이 떠오르는가, 흥미진진함이 떠오르는가?

보안교육에 즐거움이 있으면 안되는 것일까? 마치 게임처럼? 

 

필립 코틀러가 그의 저서 '마켓 3.0'에서 인용한 중국 속담에서 힌트를 얻을 수 있다. 

내게 말해보라. 그러면 잊어버릴 것이다.
내게 보여주라. 그러면 기억할지도 모른다.
나를 참여시켜라. 그러면 이해할 것이다.

 

그 법인에서는 위 영상을 보여주었으니 최소한 기억할지도 모르는 수준이 된것인가?

 

그렇다.

이제는 보안도 단순히 따르세요! 식의 천편일률적인 '준수 교육' 수준을 넘어,

기업의 구성원 모두가 정보 보안에 대한 열정을 불태울 수 있는 '문화'로서 자리매김할 수 있도록 해야 한다. 

 

이를 위해서는...?

#전략적해커2 에서 만나 보도록 하시죠~

※ 아직 2권의 책 이름을 확정하지 못한 관계로다가....

 

여러분의 생각은 어떠신가요?