보안 담당자로서 가장 힘든 순간은 언제일까요? 정교한 해킹 공격을 막아낼 때일까요, 아니면 밤샘 장애 대응을 할 때일까요? 제 대답은 "아무리 외쳐도 벽을 보고 이야기하는 듯한 무관심을 마주할 때"입니다.
오늘은 이 포스팅을 통해, 많은 보안 담당자가 고민하고 있는 '임직원 보안 인식 제고 교육'에 대한 저의 솔직한 생각과 현실적인 방안을 정리해보려 합니다.
1. 보안 교육의 최대 적: "관심 없음"과 "딴짓"
온라인 교육은 배경음악처럼 틀어만 두고 다른 업무를 보시고, 전사 오프라인 교육을 해도 실제로 집중하는 분은 30%가 될까 말까 합니다. 10명 이내의 소규모 팀별 교육을 해봐도 그때뿐, 다음 날이면 어제 했던 내용을 다시 물어보시는 분들을 보며 허탈함을 느끼기도 합니다.
결국, 보안은 기술의 문제가 아니라 '태도와 습관'의 문제라는 것을 매번 체감합니다.
2. 포상과 재교육 사이의 딜레마: 예산과 지속 가능성
피싱 모의 훈련을 진행하면 속아 넘어가는 분들이 꼭 생깁니다. 마음 같아서는 잘 대처한 분들께 멋진 포상을 드리고 싶지만, 현실은 '예산 부족'이라는 장벽에 부딪힙니다.
개인 사비로 커피 쿠폰이라도 돌릴까 생각도 해봤지만, 그건 정답이 아니라고 결론 내렸습니다. 제가 퇴사한 후에도 후임자가 사비를 들여야 하는 잘못된 관행을 만들 수는 없으니까요. 그래서 지금은 '재교육'을 강조하는 방향으로 운영하고 있습니다. 이는 벌을 주기 위함이 아니라, 보안 사고가 발생했을 때 그 책임의 무게를 간접적으로나마 경험하게 하기 위함입니다.
3. 새로운 숙제: 생성형 AI와 정보 유출
요즘 가장 큰 고민은 생성형 AI(ChatGPT 등)의 무분별한 사용입니다. 업무 효율을 위해 권장은 하지만, 내부 데이터가 밖으로 새어 나가는 것을 기존의 DLP(데이터 유출 방지) 솔루션만으로는 막기 역부족입니다.
다양한 보안 솔루션을 PoC(기술 검증) 해보고 있지만, 우리 조직에 딱 맞는 정답을 찾기란 쉽지 않습니다. 기술이 발전하는 속도를 보안 정책이 따라잡아야 하는 피 말리는 경주가 계속되고 있습니다.
4. 그럼에도 불구하고, '맞춤형 사고 사례 교육'이 답이다
수많은 시행착오 끝에 얻은 결론은 '남의 일이 아닌 내 일'로 느껴지게 하는 교육이 가장 효과적이라는 것입니다.
- 부서별 맞춤 교육: 인사팀에게는 '이력서 피싱', 재무팀에게는 '송금 요청 스미싱' 등 실제 업무 현장에서 발생할 수 있는 시나리오를 제시할 때 집중도가 가장 높았습니다.
- 사고 사례 공유: 이론적인 설명보다 "우리와 비슷한 기업에서 이런 식으로 당해서 이만큼의 피해를 입었다"는 실제 사례가 임직원들의 경각심을 깨우는 데 가장 강력한 도구가 되었습니다.
마치며: 보안은 '나를 보호하는 수단'입니다
보안 담당자인 제가 귀찮게 교육을 강요하는 이유는 회사를 위해서이기도 하지만, 결국 임직원 여러분 개개인을 보호하기 위함입니다. 한 번의 클릭 실수가 개인의 커리어는 물론, 가정의 평화(스미싱 등)까지 위협할 수 있기 때문입니다.
언젠가 보안 교육이 '틀어놓기만 하는 영상'이 아니라, '나를 지키는 팁'으로 받아들여질 날을 꿈꾸며 글을 마칩니다.
'보안 이야기' 카테고리의 다른 글
| [보안관점] 정보보호 공시 대상 확대, 누구를 위한 개정안인가? (0) | 2026.01.14 |
|---|---|
| ISMS-P 인증심사 강화, 제도의 취지와 현장의 현실 사이 (0) | 2025.12.17 |
| IT 스타트업, 보안조직 구성의 현실과 이상 (1) | 2025.08.31 |
| '체크리스트 보안'을 할수밖에 없는 중소기업 보안담당자의 현실 (3) | 2025.08.09 |
| SKT 가명처리 정지 소송 대법원 판결에 대한 보안담당자의 우려 (0) | 2025.07.21 |
ligilo
행복한 하루 되세요~