한 사이버 보안 관련 보고서에 따르면, 데이터 유출의 82%는 인적 요소 즉 사람과 관련이 있다.
사람이라면 누구나 실수를 하고 실수를 완전히 없앨 수 없기에 사람으로 인한 보안 사고를 100% 예방할 수는 없다. 하지만 사이버 보안 인식에 대한 적절한 교육을 통해 사고 가능성을 줄일 수는 있다.
특히 비즈니스 운영을 위한 디지털 도구의 사용이 증가하고, 보안에 있어 사람에 대한 의존성이 늘어남에 따라 이제는 새로운 보안 대책이 필요하다.
사이버 보안 교육은 대부분 컴퓨터를 기반으로 이뤄진다. 사이버 보안 교육 시에는 어떤 교육 방법이 가장 효과적인지 아는 것이 중요하다. 특히 사이버 보안에 대한 배경 지식이 없는 사용자도 이해할 수 있어야 한다.
이에 최근에는 게이미피케이션이 새로운 사이버 보안 교육 방법으로 떠오르고 있다. 게이미피케이션은 사이버 보안 교육을 게임화하는 것으로, 직원들이 사이버 보안 교육에 더 재밌게 참여할 수 있도록 돕는다.
다음은 사이버 보안 교육을 게이미피케이션할 때 고려해야 할 주요 사항들이다.
적절한 시각 자료 활용
게이미피케이션의 기본 요소는 시각적 보조 도구다. 그래프, 차트, 그림, 비디오 등 시각적 보조 도구는 텍스트 형식으로 이해하기 어려운 보안에 대한 정보를 쉽게 전달할 수 있다.
통계 및 수치 데이터는 시각적 형식으로 쉽게 변환이 가능하며, 다른 정보도 이 컨텍스트로 변환할 수 있다. 또한 시각적 보조 도구는 직원이 콘텐츠에 계속 참여하도록 돕는다.
보상을 통한 동기 부여
성취에 대한 보상을 제공하는 것은 매우 중요하다. 보상이 게임 내 포인트이든 실제 상품이든, 열심히 일한 것에 대한 보상은 직원들에게 동기를 부여한다.
이전에는 보안 조치를 준수하지 않는 것에 대한 조치만 있었지만, 보상을 통해 동기를 부여하는 것도 중요하다. 적절한 보상은 기업의 보안 능력 향상에 도움을 주게 된다.
재밌는 퀴즈 형식
퀴즈를 통해서도 사이버 보안 교육을 재밌게 진행할 수 있다. 퀴즈 점수를 잘 맞으면 보상을 주는 등 새로운 형태로 교육을 하면, 직원들은 사이버 보안에 좀 더 흥미를 느낄 수 있다.
시뮬레이션
사이버 보안 인식 교육에서 또 중요한 것 중 하나가 시뮬레이션이다. 피싱 이메일이든 데이터 유출이든, 실제 공격과 유사한 상황을 경험하면 대응 방법을 더욱 실감나게 연습할 수 있다.
이는 재난 예방 등 소방 훈련과 유사하다. 위급 상황에서의 대응 방법을 알려주고 실제 대응 과정을 경험하게 한다. 또한 직원에게 교육이 단순한 이론이 아니며, 실제 공격에서 무엇을 해야 하는지 인식시키는 데도 도움이 된다.
팀 훈련
팀 훈련도 사이버 보안 교육에서 좋은 방법 중 하나다. 평소에 소외감을 느끼는 직원은 팀 훈련을 통해 구성원들에 대한 신뢰를 갖게 되고 동시에 능률을 높일 수 있다.
또한 팀 훈련은 사이버 보안 교육뿐 아니라 비즈니스의 모든 측면에서 중요하다. 팀에서 자신의 역할을 이해하고, 협력해 문제를 해결하는 방법을 알고 있는 직원은 사이버 보안 또한 더욱 잘 수행할 수 있다.
반복 훈련
디지털 환경이 변화함에 따라 사이버 위협도 계속 진화하고 있다. 이에 앞서 얘기한 모든 방법을 반복해서 할 필요가 있다. 반복 교육과 숙달을 통해 직원들은 사이버 보안이 멀리 떨어져 있는 문제가 아니라, 항상 자신과 관련 있다는 것을 인식하게 된다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
