유해한 사이버보안 문화는 팀의 이직률과 생산성, 사기를 저하시킨다. 무엇보다 심각한 문제는 기업 시스템과 데이터를 위험에 빠뜨릴 수 있다는 점이다.
기업에 독이 되는 사이버보안 문화에서는 구성원이 보안을 다른 누군가의 책임으로만 여긴다. 사이버보안 리더십과 거버넌스 문제를 연구하는 CAMS(Cybersecurity at MIT Sloan) 이사 케리 펄슨은 “이런 환경에서는 기업의 보안을 유지하기 위한 노력이 전혀 가치 있게 여겨지지 않는다”라고 지적했다.
기업의 사이버보안 문화를 점검하고 올바른 방향으로 이끌어나가기 위해 어떤 점을 개선해야 하는지 살펴보자.
독이 되는 보안 문화의 경고 신호
사이버보안이 전략적 우선순위가 아닌 단순한 컴플라이언스 체크박스로 취급된다면 반드시 개선해야 한다. SANS 인스티튜트의 연구 책임자 롭 T. 리는 “이런 환경에서는 기업이 기술을 충분히 검토하고 강력한 접근 통제 기능을 구현하지 않고 기술을 서둘러 도입하는 경우가 많다”라고 말했다.
단순히 보안팀을 위험한 조직으로 분류하기보다는, 보안 책임자가 사이버보안을 실제로 우선시하는지 혹은 실수가 발생했을 때 책임을 회피하는지 평가해야 한다. 사이버보안 업체 포트라(Fortra)의 최고 보안 및 리스크 책임자 크리스 레프킨은 “피싱 훈련 성과가 낮거나 실수로 보안 사고를 일으켰을 때 이를 과도하게 처벌하려는 경향도 경고 신호다”라고 설명했다.
리더가 사이버보안을 우선시하지 않고 각자의 역할을 제대로 수행하도록 팀원에게 책임감을 부여하지 않을 때 문제가 발생한다. 펄슨은 “피싱 테스트에서 반복적으로 실패하거나 비밀번호를 서로 공유하고, 정책과 보안 지침을 무시하는 습관적인 실수가 계속된다”라고 덧붙였다.
사이버보안의 격언처럼 “사람이 가장 약한 고리다”라는 믿음도 독성 문화의 초기 신호일 수 있다. IANS 리서치의 볼프강 괴를리히는 “비난 중심의 사고방식이 대화에 스며들고 의사결정에 반영되기 시작하면, 문화가 잘못된 방향으로 가고 있다는 신호”라고 지적했다.
이 외에도 실수를 숨기거나 공공연히 비난하고, 섀도우 IT(Shadow IT)를 활용해 보안팀을 우회하려는 행동 등이 독성 보안 문화를 보여주는 징후라고 괴를리히는 덧붙였다.
NTT 데이터(NTT DATA) CISO 댄 글래스는 “실수를 처벌해야 할 때도 정도에 맞는 공정한 처벌이 이루어져야 한다. 과도한 처벌은 직원이 사이버보안 사고를 보고하거나 취약점을 알리는 것을 주저하게 만들어 결과적으로 보안의 투명성을 해친다”라고 경고했다.
건강한 보안 문화를 위한 해결책
IANS 리서치의 괴를리히는 CISO가 사이버보안 문제를 직원 전체와 협력하여 해결하려는 태도를 보여야 한다고 조언했다. 이는 “사용자 편의성을 개선하고 마찰을 최소화하면서 보안 의식과 강력한 기술적 보호 기능을 모두 제공하는 방법을 지속적으로 찾는 것”을 의미한다.
포트라의 레프킨은 CISO가 현장을 직접 돌아다녀야 한다며 “고위 경영진과 시간을 보내며 기업이 직면한 보안 위험을 설명하고 보안에 대한 인식과 사이버보안이 비즈니스 운영 연속성에 도움을 주는 방법을 논의해야 하며, 비즈니스 부서에 구체적인 지원을 제공해야 한다”라고 덧붙였다.
CISO가 고위 경영진의 일원으로 활동하지 않는다면 기업의 방향성과 보안 전략이 일치하지 않게 될 수 있다. NTT 데이터의 글래스는 이런 점에서 “비난하는 문화가 사이버보안 노력에 특히 해로울 수 있다”라고 언급했다.
사이버보안 문화를 개선하려면 CISO뿐 아니라 모든 C레벨 임원이 이를 강화하기 위해 적극 참여해야 한다. 펄슨은 “CISO는 모범을 보이고 올바른 행동을 보이는 직원을 격려하며, 그룹 간 우호적인 경쟁을 통해 나쁜 행동을 부드럽게 줄이는 등 효과적인 사이버보안 행동을 유도하도록 동기 부여 요소를 활용할 수 있다. 그러나 CISO가 할 수 있는 최선의 방법은 C레벨 임원이 사이버보안을 개인적인 우선순위로 삼도록 돕는 것이다. 그래야만 회사 경영진이 한마음 한뜻으로 움직인다는 인식을 기업 전반에 심어줄 수 있다”라고 말했다.
또한 CISO는 기업 전체에 걸쳐 개방성, 보안 인식, 교육을 장려해야 하며, 두려움을 조장해 규정 준수를 강제하는 것은 피해야 한다. 글래스는 “보안 조치를 엄격하게 설정하는 이유를 명확하게 설명하는 인식 캠페인은 모든 직원이 보안 성공에 기여하고 있음을 이해시키는 데 도움을 줄 것이다”라고 조언했다.
기업 전체의 협력을 통한 변화가 필수
사이버보안 문화는 CISO 혼자 만들어 나가는 것이 아니다. 인사팀, 직원참여팀, 그리고 다양한 부서와의 협력이 필수다. 사이버보안 문화는 더 넓은 기업 문화의 틀 안에서 연계될 때 가장 효과적이다. 괴를리히에 따르면, 의료 분야에서는 사이버보안을 환자의 건강과 안전에 연결하고, 제조 분야에서는 안전 문화와 결합했을 때 사이버보안도 강화될 뿐 아니라 부수적인 이점도 얻을 수 있다.
모든 최고 경영진은 강력한 사이버보안 문화를 조성하는 데 각자의 역할을 충실히 수행해야 한다. 펄슨은 “사이버보안에 대해 논의하고 올바른 행동을 실천한 팀원에게 보상을 제공하며, 각 팀원이 보안에서 맡을 수 있는 역할을 이해하도록 돕는 것이 중요하다”라며 이런 노력을 통해 경영진이 사이버보안을 개인적인 우선순위로 삼는다면, 이는 건강한 사이버보안 문화의 중요성을 강조하는 강력한 메시지로 작용할 것이라고 덧붙였다.
기업 전체의 경영진은 강력한 사이버보안 문화를 증진하기 위해 적극적으로 참여해야 한다. NTT 데이터의 글래스는 “CISO와 다른 고위 경영진이 협력해 전달하는 메시지는 기존에 무시되던 사이버보안 문제를 기업의 핵심 우선순위로 전환할 수 있다. 또한 내부 커뮤니케이션 채널을 최대한 활용하면 사이버보안 메시지를 더 효과적으로 확산시킬 뿐 아니라, 주요 의사 결정권자에게도 확실히 전달할 수 있다”라고 말했다.
사이버보안 문화의 변화를 이끄는 것은 쉽지 않으며 지속적인 노력이 필요하다. SANS 인스티튜트의 리는 “지속적인 학습을 통해 사이버보안이 직원, 고객, 그리고 기업 전체에 미치는 영향을 모든 구성원이 명확히 이해하는 것이 중요하다. 직원에게 권한을 부여하고 이를 적극적으로 실천할 수 있도록 독려해야만 변화하는 위협 환경에 맞춰 발전할 수 있는 탄력적인 사이버보안 문화를 구축할 수 있다”라고 덧붙였다.
지속적인 개선이 핵심
유해한 문화가 나타나거나 지속되지 않도록 막는 가장 효과적인 방법은 철저한 보안 통제를 구축하는 것이라고 NTT 데이터의 글래스는 강조했다. 글래스는 “이런 통제 기능은 일반 사용자에게 투명해야 하며, 셀프서비스 옵션이 널리 제공되어야 한다. 또한 보이지 않는 기기 보안, 모든 애플리케이션에 대한 단일 로그인, 사용자 친화적이고 피싱 방지 기능을 갖춘 인증 토큰을 포함한 잘 설계된 제로 트러스트 보안 전략을 구현하면 일상적인 보안 상호작용에서 불필요한 마찰을 줄일 수 있다”라고 조언했다.
건강한 사이버보안 문화를 유지하기 위해서는 지속적인 개선 노력이 필요하다. 포트라의 레프킨은 “기업에는 조직 문화에 항상 영향을 주는 신입사원과 퇴사자가 존재하기 마련이다. 과거의 잘못된 행동이 반복되지 않도록 관리하는 지속적인 프로그램이 필요하다”라고 강조했다.
앞서 강조한 것처럼 사이버보안 문제에는 모두가 동착해야 한다. 사이버보안은 단순한 공격 방어가 아니라 전쟁에 비유할 정도로 중요하기 때문이다. 펄슨은 “강력한 사이버보안 문화는 논리적이고 체계적으로 시작해야 할 핵심 요소다. 사이버공격의 전조가 될 수 있는 비정상적인 상황을 경계하는, 동기가 잘 부여된 혁신적인 직원 기반을 마련하는 것이 승리의 열쇠”라고 덧붙였다.
dl-itworldkorea@foundryco.com
John Edwards editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.