[디지털경제뉴스 박시현 기자] 포티넷은 최근 발표한 ‘2024 보안 인식 및 교육’에 대한 글로벌 조사 보고서에서 사이버보안에 대한 인식을 갖춘 직원들이 기업의 위험을 관리하고 완화하는데 중요한 역할을 한다고 밝혔다.
이 보고서는 보안 인식 및 교육을 주제로 전세계 29개국의 다양한 조직의 임원 및 관리자급 전문가 1,850명 이상을 대상으로 실시된 설문조사에 바탕을 두고 있다. 이번 보고서의 주요 내용은 다음과 같다.
먼저 AI를 기반으로 악의적인 공격의 규모와 속도가 증가하면서 기업의 리더들은 직원들이 이러한 위협을 발견하는데 더욱 어려움을 겪을 것으로 예상하고 있다. 응답자의 60% 이상이 AI를 사용하는 사이버 공격으로 인해 더 많은 직원들이 피해를 입을 것으로 예상했다. 그러나 다행히도, 대부분의 응답자들이(80%) 조직 전반에서AI-증강 공격에 대한 인식을 갖고 있어 ‘보안 인식 및 교육’에 열린 태도라고 답했다.
또 기업의 리더들은 직원들이 조직의 1차 방어선이 될 수 있으나, 그들의 보안 인식이 부족하다는 점을 우려하고 있다. 응답자의 약 70%가 직원들이 중요한 사이버 보안 지식이 부족하다고 답했으며, 이는 2023년 56%보다 증가한 수치이다.
그리고 기업의 리더들은 보안 인식 교육의 중요성을 인식하고 있으며, 특정 요소들이 교육 프로그램의 효과를 높이는데 중요한 역할을 한다고 확신하고 있다. 75%의 리더들은 보안 인식 캠페인을 계획해 매월(34%) 또는 분기별로(47%) 콘텐츠를 제공한다고 답했다. 또한, 경영진들은 양질의 콘텐츠가 프로그램의 성패에 중요한 역할을 한다고 강조했다.
사이버 범죄자들이 AI를 사용하는 대표적인 방법 중 하나는 피싱 사기를 더 정교하게 만들어 탐지를 어렵게 만드는 것이다. 피싱은 개별 사용자를 직접 표적으로 삼기 때문에 기업들은 직원들에게 이러한 공격을 인식시키고 피할 수 있는 방법을 교육하는데 집중하고 있다.
이번 설문조사 결과, 지난해 80% 이상의 조직이 멀웨어, 피싱, 비밀번호 공격 등 개별 사용자를 직접 겨냥한 공격을 경험했다. 또 거의 모든 응답자들은(96%) 리더십 팀이 보안 인식을 위한 직원 교육을 지원하고 있다고 답했다. 그리고 98%의 응답자는 ‘피싱 예방’을 교육 프로그램 및 계획의 우선순위로 꼽았으며, ‘데이터 보안(48%)’과 ‘개인정보 보호(41%)’가 그 뒤를 이었다.
보안 및 IT 팀은 사이버 위협으로부터 조직을 보호하는데 결정적인 역할을 한다. 그러나 기업의 직원들도 침해 사고를 방지하는데 중요한 역할을 하고 있다. 설문조사 결과, 대부분의 리더들은(86%) 직원들이 보안 인식 및 교육을 긍정적으로 보고 있다고 답했다. 또 대다수의 리더들은(89%) 보안 인식 및 교육 실시 이후, 조직의 보안 태세가 일정 부분 개선되었다고 답했다. 전혀 개선되지 않았다고 답한 응답자는 없었다.
대부분의 조직은 보안 침해를 당한 경험이나 해당 산업 또는 분야를 겨냥한 위협에 대한 지식을 바탕으로 보안 인식 및 교육을 도입하고자 한다. 대다수 의사결정권자(96%)들은 경영진이 사이버 보안 인식을 높이기 위한 직원 교육을 지지한다고 답했다.
설문조사 결과, 97%의 리더들이 ‘직원의 인식이 높아지면 조직의 사이버 보안 태세가 강화될 것’이라고 답했다. 또한, 응답자들은 교육 프로그램의 효과를 높이는데 중요한 요소가 있다는데 동의했다.
▪참여형 콘텐츠가 가장 중요하다: 의사결정권자의 86%가 현재 보안 인식 및 교육 솔루션에 만족한다고 답했으나, 만족하지 않는다고 답한 응답자 중 가장 큰 불만요소는 참여형 콘텐츠가 부족하다는 점이었다.
▪교육에 꼭 필요한 시간을 고려해야 한다: 학습자에게 꼭 필요한 시간을 고려하여 교육 피로를 최소화해야 한다. 직원들에게 너무 많은 시간을 요구하면 과도한 부담을 느낄 수 있다. 가장 일반적으로 제안되는 시간은 66분에서 2시간 사이이고, 평균 시간은 3시간이다.
단 한 번의 보안 침해 사고도 비즈니스에 막대한 영향을 끼칠 수 있다. 포티넷은 이 보고서에서 ▲모든 직원을 위한 보안 인식 및 교육, ▲IT 및 보안 담당 직원을 위한 테크니컬 사이버보안 기술, ▲네트워크를 위한 지능형 보안 솔루션 등 3가지 측면의 방어 전략을 구축하는 것이 중요하다고 강조했다.
보안 인식 및 교육은 개별 사용자가 위협에 직면했을 때 무엇을 해야 하는지 교육하는 것 외에 조직 전체에 사이버 보안 문화를 조성하기 위한 토대를 구축한다. 포티넷은 직원들에게 사이버 인식을 교육하고자 하는 기업들을 위해 ‘보안 인식 및 교육 서비스’를 제공하고 있다. 세계적 수준의 포티넷 트레이닝 인스티튜트 강사들이 설계한 이 서비스는 광범위한 주제를 다루고, 콘텐츠 맞춤화 기회를 제공하며, 주기적인 알림과 점검을 통해 학습을 강화시킨다. 이 서비스를 이용하는 조직들은 다양한 대시보드에 액세스해 학습자들의 진도 점검 및 보고서 작성 등을 수행하고, 사이버 보험 및 규정 준수 요구 사항을 해결할 수 있다.
