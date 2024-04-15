IBM® X-Force Threat Intelligence Index 보고서의 최신 조사 결과에 따르면 공격자들의 전술이 변화하고 있습니다. 범죄자들이 유효한 자격 증명을 악용하여 시스템에 침입하는 기존 해킹 방법을 사용하는 공격이 71% 급증했습니다. 정보 도용자의 활용도가 무려 266% 증가했으며, 이러한 자격 증명을 획득하는 데 있어 역할이 강조되고 있습니다. 이들의 목표는 간단합니다. 의심하지 않는 직원을 통해 저항이 가장 적은 경로를 악용하여 유효한 자격 증명을 획득하는 것입니다.
조직은 이러한 위협에 대한 방어력을 강화하기 위해 최첨단 기술을 개발하고 구현하는 데 수백만 달러를 지출했으며, 많은 조직이 이미 보안 인식 캠페인을 실시하고 있습니다. 그런데도 왜 우리는 이러한 공격을 막지 못하고 있을까요?
오늘날 대부분의 보안 인식 프로그램은 데이터, GDPR 규칙 및 피싱과 같은 일반적인 위협 처리에 대해 필요한 정보를 직원에게 제공합니다.
그러나 이 접근 방식에는 한 가지 큰 약점이 있습니다. 프로그램이 인간의 행동을 고려하지 않는다는 것입니다. 일반적으로 직원들은 매끄러운 애니메이션과 짧은 퀴즈를 통해 매년 일반적인 컴퓨터 기반 교육을 이수하는 획일적인 접근 방식을 따릅니다.
이러한 교육은 필요한 정보를 제공하지만, 급하게 진행되는 교육과 개인과의 연관성이 부족하기 때문에 직원들은 4~6개월 이내에 해당 정보를 잊어버리는 경우가 많습니다. 이는 Daniel Kahneman의 인간 인지 이론으로 설명할 수 있습니다. 이 이론에 따르면 모든 개인은 시스템 1이라고 하는 빠르고 직관적이며 자동적인 사고 과정을 가지고 있습니다. 사람들은 또한 시스템 2라고 불리는 느리고 신중하며 분석적인 사고 과정을 가지고 있습니다.
기존의 보안 인식 프로그램은 정보를 합리적으로 처리해야 하므로 주로 시스템 2를 대상으로 합니다. 그러나 충분한 동기 부여, 반복, 개인적인 의미가 없다면 정보는 대개 한 귀로 듣고 다른 귀로 흘려보내게 됩니다.
인간의 사고와 의사 결정의 거의 95%는 우리의 습관적인 사고 방식인 시스템 1에 의해 제어됩니다. 인간은 하루에 수천 가지의 작업과 자극에 직면하며, 편견과 휴리스틱을 통해 무의식적으로 자동적으로 많은 처리가 이루어집니다. 평균적인 직원은 자동 조종 장치로 일하기 때문에 사이버 보안 문제와 위험을 일상적인 의사 결정에 반영하려면 직원의 직관적인 업무 방식을 진정으로 이해하는 프로그램을 설계하고 구축해야 합니다.
인간의 행동을 이해하고 이를 변화시키는 방법을 이해하려면 COM-B 행동 변화 휠의 지원을 받아 평가하고 측정해야 하는 몇 가지 요소가 있습니다.
이 세 가지 영역을 이해하고 평가하면 행동 변화를 위한 영역을 정확히 찾아내고 직원의 직관적인 행동을 목표로 하는 개입을 설계할 수 있습니다. 궁극적으로 이 접근 방식은 조직이 사이버 인식이 더 높은 직원을 개발하여 첫 번째 방어선을 구축하는 데 도움이 됩니다.
행동 문제의 근본 원인이 파악되면 자연스럽게 보안 문화 구축으로 관심이 이동합니다. 오늘날 사이버 보안 문화에서 가장 큰 문제는 오류와 잘못에 대한 두려움에 기반하고 있다는 점입니다. 이러한 사고방식은 종종 사이버 보안에 대한 부정적인 인식을 조장하여 교육 이수율이 낮고 책임감을 최소화하는 결과를 낳습니다. 이러한 접근 방식에는 변화가 필요하지만 어떻게 이를 달성할 수 있을까요?
무엇보다도, 이니셔티브에 대한 접근 방식을 재고하여 인식 중심의 규정 준수 중심 모델에서 벗어나야 합니다. 보안 인식 교육은 여전히 중요하며 간과해서는 안 되지만, 보다 긍정적인 문화를 조성하기 위해 교육 방법을 다양화해야 합니다. 광범위한 조직 교육과 함께 IBM X-Force에서 제공하는 사이버 레인지 훈련과 같은 체험 학습과 게임화를 통합한 역할별 프로그램을 수용해야 합니다. 또한 조직 전반의 캠페인은 사이버 보안 챔피언 네트워크를 구축하거나 다양한 이벤트를 통해 인식 개선의 달을 주최하는 등의 활동을 포함하여 긍정적인 문화의 개념을 강화할 수 있습니다.
긍정적이고 강력한 사이버 보안 문화를 조성하기 위해 이러한 이니셔티브를 선택하고 구현한 후에는 고위 경영진부터 초급 전문가에 이르기까지 조직의 모든 수준에서 지원을 받아야 합니다. 통합되고 긍정적인 메시지가 있을 때만 조직 내 문화를 진정으로 변화시킬 수 있습니다.
이제 행동상의 문제를 파악하고 긍정적인 문화 조성을 목표로 프로그램을 구현했으니, 다음 단계는 성공을 위한 지표와 매개변수를 설정하는 것입니다. 프로그램의 효과를 측정하기 위해서는 인간의 오류로 인한 사이버 보안 사고의 위험을 어느 정도 완화했는가라는 근본적인 질문을 해결해야 합니다. 위험 감소와 전반적인 프로그램 성공을 측정할 수 있는 포괄적인 지표를 설정하는 것이 중요합니다.
전통적으로 조직은 피싱 캠페인 및 숙련도 테스트와 같은 방법에 의존해 왔지만 결과는 혼합되었습니다. 최근의 접근 방식 중 하나는 특정 시나리오와 관련된 인적 위험에 재정적 가치를 부여하는 방법인 위험 정량화입니다. 지표를 보안 문화 프로그램에 통합하면 성공을 평가하고 시간이 지남에 따라 지속적으로 개선할 수 있습니다.
변화하는 사이버 보안 환경에서는 중요한 인적 요소를 다루는 포괄적인 접근 방식이 필요합니다. 조직은 리더십 참여와 혁신적인 이니셔티브를 통해 긍정적인 사이버 보안 문화를 조성해야 합니다. 이를 효과적인 지표와 결합하여 진행 상황을 측정하고 가치를 입증해야 합니다.
IBM은 고객이 인식에서 인간 행동에 초점을 맞추도록 프로그램을 전환할 수 있도록 다양한 서비스를 제공합니다. 조직의 개입을 직원의 동기와 습관에 맞게 평가 및 조정하고, 모든 개인이 사이버 보안의 선제적 수호자가 될 수 있도록 권한을 부여하여 새로운 위협에 대한 탄력적인 1차 방어선을 구축할 수 있도록 도와드릴 수 있습니다.
