사이버 보안 분야에서는 기술, 특히 사이버 범죄자가 이를 사용하여 공격을 수행하는 방법과 조직이 시스템과 데이터를 안전하게 유지하는 데 사용할 수 있는 툴에 초점을 맞추는 경우가 많습니다. 하지만 이는 사이버 보안 위험위험에서 가장 중요한 요소인 인적 오류를 간과하는 것입니다.
Proofpoint의 2024 Voice of the CISO 보고서에 따르면, 최고 정보 보안 책임자(CISO) 4명 중 3명(74%)이 인적 오류를 가장 큰 사이버 보안 위험으로 꼽았습니다. 이는 지난해 같은 의견을 밝힌 CISO 비율(60%)에서 크게 증가한 수치입니다. 이 연구는 또한 CISO와 이사회 간에 중요한 격차가 있음을 발견했습니다. 이사회 구성원은 CISO보다 인적 오류를 주요 원인으로 지목하는 비율이 낮았으며(63%), 이는 CISO가 직원뿐만 아니라 경영진 교육에도 집중해야 함을 시사합니다.
설문조사 결과, 데이터 손실 사건의 주요 원인 중 상당수가 직원과 직접적으로 관련되어 있었습니다. 가장 많이 꼽힌 원인(42%)은 데이터 오용과 같은 내부자의 부주의나 직원의 실수였습니다. 그 외의 원인으로는 악의적이거나 범죄 의도를 가진 내부자(36%), 직원 자격 증명 도용(33%), 장치 분실 또는 도난(28%) 등이 뒤를 이었습니다.
IBM 2024 위협 지수는 이 결과를 뒷받침하며, 공격의 30%가 피싱에서 시작됨을 나타냅니다. 하지만 피싱 공격은 2022년에 비해 그 규모와 초기 공격 벡터 모두 감소했습니다. 보고서는 이러한 감소의 원인 중 하나로 피싱 방어 기법 및 전략의 지속적인 채택과 재평가를 지적합니다.
유출 사고를 유발한 실수를 실제로 사람이 저질렀더라도, 범죄 내부자 사례를 제외하면 이러한 사고를 개인의 책임으로만 돌릴 수는 없습니다. 조직은 사이버 보안에 대한 사전 예방적 접근 방식을 취해야 하며, 여기에는 직원이 안전한 보안 관행을 학습할 수 있도록 교육을 제공하고 위험을 줄이는 프로세스를 마련하는 일이 포함됩니다.
인적 사이버 보안 위험을 줄이는 일은 간단하지 않습니다. 단 하나의 프로그램이나 교육만으로 해결되는 문제가 아니기 때문입니다. 대신 조직은 사이버 보안 문화를 조성하고 모든 직원이 사이버 보안을 자신의 역할로 인식할 수 있도록 독려하는 종합적인 접근 방식을 취해야 합니다.
AI 도구는 인간이 무엇을 할 가능성이 있는지 예측할 수 있기 때문에 사이버 보안에서 인적 위험으로부터 보호하는 데 특히 효과적일 수 있습니다. Proofpoint 보고서에 따르면 전 세계 CISO의 87%가 인적 오류와 지능형 인간 중심 사이버 위협으로부터 보호하는 데 도움이 되는 AI 기반 기능을 배포하려고 합니다.
많은 기업이 교육을 제공하고 있지만, 행동을 실질적으로 변화시키거나 사이버 보안을 항상 염두에 두게 하지 못하는 형식적인 교육에 그치는 경우가 많습니다. 교육 프로그램을 설계할 때는 종합적인 관점에서 접근하고, 어떤 직원에게 어떤 유형의 교육이 필요한지 고려해야 합니다.
먼저 과거 사고를 검토하여 직원들이 최근 과거에 반복적으로 피싱 시도를 클릭하는 등 가장 중요한 주제를 파악합니다. 기업은 연례 교육 대신 정기적인 월간 미니 모듈을 고려하여 주제를 마음에 새겨야 합니다. 또한 신입 사원 온보딩의 일환으로 사이버 보안 교육을 포함하여 모든 직원이 동일한 정보로 회사에서 경력을 시작할 수 있도록 하세요.
직원들은 사이버 보안이 다른 누군가의 일이라고 느끼기 쉽습니다. 하지만 인적 위험을 줄이는 것은 이러한 인식을 바꾸고 각 직원이 사이버 보안에 대한 책임감을 느끼게 하는 것에서 시작됩니다. 교육은 이러한 변화의 핵심 요소이지만, 조직 전반에서 항상 사이버 보안을 중요한 우선순위로 두는 환경을 조성하는 것도 필요합니다. 사이버 보안 문화는 경영진이 먼저 모범을 보이며, 사이버 보안안에 대해 이야기하고 그 중요성을 꾸준히 강조하는 것에서 시작됩니다.
사이버 보안의 시작과 끝은 사람입니다. 즉, 공격을 만드는 것도 사람이고, 이를 막을 능력이 있는 것도 사람입니다. 사이버 보안의 인적 요소에 집중함으로써 조직은 위험을 크게 줄일 수 있습니다. 그러나 변화는 단 한 번의 교육 세션이나 몇 달의 노력만으로 이루어지지 않습니다. 조직은 이 전략을 장기적인 관점으로 바라보고, 각 직원이 조직의 사이버 보안에 변화를 가져올 수 있는 힘을 가지고 있음을 스스로 인식하게 하는 것을 목표로 삼아야 합니다.
