빠르게 변화하는 위협 환경에서 직원 보안 교육을 제공하기 위해 인적 자원에만 의존하면 기업이 취약해진다. HR은 내부 규정 준수를 기업하고 감독하는 데 탁월하지만, IT와 보안팀은 피싱, 데이터 유출, 소셜 엔지니어링 등 다양한 위협에 대처하는 데 필요한 전문 지식을 제공한다.

이 두 부서가 협력하면 요구 사항과 실무 기술을 포괄하는 포괄적인 프로그램을 개발해 직원이 개인과 기업을 보호할 수 있도록 잘 준비할 수 있다.

겉으로 보기에는 인사부가 직원에게 교육 이니셔티브를 제공하는 것이 합리적일 수 있다. 결국 인사부는 기업 리더십과 회사 인력 간의 관계를 관리하는 전문가이기 때문이다. 그리고 보안팀은 즉각적인 기술 요구에 집중하는 경향이 있으며, 수백 또는 수천 명의 직원에게 가르칠 기술이나 도구를 항상 갖추고 있는 것은 아니다.

그러나 이러한 프로그램(자체 개발 또는 서드파티)을 도입할 때 HR과 보안 부서 간의 의사소통이 원활하지 않은 경우가 너무 많다. 이로 인해 일관성이 결여되어 나중에 큰 비용을 지불해야 하는 상황이 발생할 수 있다.

보안 위협은 끊임없이 변화한다

보안팀이 HR 교육을 담당해서는 안 되는 것과 같은 이유로 HR이 보안 교육을 전담해서도 안 된다. 보안팀과 HR은 서로 다른 역할을 맡고 있으며, 각기 초점과 배경이 달라 전문화가 필요하다. RSA 시큐리티의 CISO 롭 휴즈는 “보안은 항상 변화하고 있다. 사이버 공격자는 새로운 전술을 사용하고 새로운 캠페인을 시작함으로써 생계를 유지한다. 인사팀은 이러한 변화에 대한 최신 정보를 파악하거나 보안 교육이 이러한 진화에 어떻게 기여해야 하는지에 대한 최신 정보를 파악해야 한다”라고 말했다.

휴즈는 교육 및 온보딩이 어떻게 이루어지는지 설정하는 데 도움을 주고, 직원이 교육을 받지 않을 경우 어떻게 되는지에 대해 보안팀과 협력하는 것이 인사팀에 유익하다고 덧붙였다. 그러나 보안팀은 교육 내용과 교육 이수 중요성에 대해 주도적인 역할을 해야 한다.

또한 “동시에, IT 팀은 보안팀과 협력해 데이터 작업 및 피싱 이메일과 같은 위협 관리에 대한 모범 사례 메커니즘을 설명해야 한다”라고 말했다.

휴즈에 따르면, HR 주도 보안 교육 프로그램에는 여러 가지 제한 사항이 있다.

첫 번째는 가시성이다. 휴즈는 “HR은 모르는 것이 많다. 현재 기업의 사용자를 대상으로 하는 전술이나 사용자들이 속아 넘어가는 전술에 대해서도 알지 못한다”라고 말했다. 보안팀은 최전방에 있으며, 팀이 도움을 필요로 하는 사이버보안 위험을 알고 있다. HR은 그렇지 않을 가능성이 크다.

전문적 보안 지식은 어느 팀 담당?

또 다른 한계는 기업의 보안 교육이 특정 인증, 규정 준수, 계약, 고객 기대치를 유지하는 데 중요한 요소가 될 수 있다는 것이다.

휴즈는 “기업에 중요한 문제라면, 보안, IT, 규정 준수 팀은 다루어야 할 주제를 알고 규정 준수의 중요성과 규정 미준수의 위험에 대해 안내할 것”이라고 말했다.

넷 헬스의 보안 담당 부사장 케이비 머피도 HR이 주도하는 보안 교육 프로그램이 보안 위협에 대한 전문 지식이나 최신 지식이 부족해 한계를 겪는다는 데 동의한다.

머피는 “HR 부서는 현재의 사이버 위협이나 기업의 특정 위험을 완전히 인식하지 못할 수 있다.”라고 말했다. 이로 인해 지나치게 광범위하거나 일반적인 교육이 이루어질 수 있으며, 이는 교육의 효과를 감소시킨다. 이러한 프로그램은 보안 관행의 실제 적용을 강조하지 못하거나 보안 및 IT 팀과의 협력이 부족해 위협에 대처하기에 충분한 지침을 제공하지 못할 수도 있다.

머피는 HR은 기업의 산업별 위협에 맞게 교육을 효과적으로 조정하지 못할 수도 있다고 지적했다. 보안 부서의 참여가 없으면 교육 콘텐츠에 초점이 부족하고 회사의 고유한 위협을 다루지 못해 직원이 무엇을 주의해야 할지 알지 못하게 된다.

예를 들어, 금융 서비스 부문에서 가장 위험한 것은 결제 카드 정보와 관련된 데이터 유출이다. 머피는 따라서 훈련이 민감한 의료 데이터 유출과 같이 가능성이 낮은 시나리오가 아니라 그 부분에 초점을 맞춰야 한다고 강조했다.

렉스마크(Lexmark) CISO 브라이언 윌렛도 HR 전문가가 사이버보안 분야에서 일상적인 운영 경험이 부족하기 때문에 HR이 직원 보안 훈련을 전적으로 책임져서는 안 된다는 데 동의한다.

윌렛은 “인사팀은 직원 관리와 광범위한 직원 기반과의 광범위한 커뮤니케이션 관리에 능숙하다”라고 말했다. 그러나 보안 인식의 복잡성이나 사용자에게 보낼 필요가 있는 보안 경보 같은 문제는 인사팀의 일상 업무가 아니다.

윌렛은 반면, 보안팀은 이러한 도전 과제를 매일같이 겪으며 살아가고 있다고 말했다. 보안팀은 업무에서 비롯되는 구체적인 위험을 이해하고 있으며, 누군가 사이버보안과 관련된 실수를 저지르면 어떤 일이 일어날지 더 잘 설명할 수 있다. 보안 전문 지식은 또한 기본적인 규정 준수 메시지뿐만 아니라 더 집중적이고 유용한 교육을 만드는 데 도움이 된다.

협업은 더 효과적인 교육으로 이어진다

HR이 직원 보안 교육을 운영하면 안 되지만, 그럼에도 윌렛은 HR 팀을 핵심 파트너로 간주한다. 윌렛은 HR과 보안팀이 각자의 강점을 활용해 함께 협력하는 협업적 접근 방식을 제안했다. HR이 복잡한 기술 정보를 이해하기 쉬운 언어로 번역하는 데 도움을 줄 수 있고, 보안팀이 핵심 콘텐츠와 기술 전문 지식을 제공할 수 있기 때문이다.

휴즈도 이 평가에 동의했다.

휴즈는 “대규모 변화나 교육 이니셔티브는 성공을 위해 협력이 필요하다”라고 말했다. RSA에서는 HR, IT, 법률, 보안팀이 모두 협력해 연례 규정 준수 교육을 실시함으로써 우리 팀이 안전하게 업무를 계속할 수 있도록 필요한 것을 갖추도록 한다.

휴즈에 따르면, 인사부는 직원 온보딩, 규정 준수, 회사 정책 및 관행 준수 등과 관련해 중요한 역할을 담당하고 있다. 그러나 인사부는 IT, 법률, 보안팀의 전문가와 협력해 법률 문제 및 개인정보 보호와 관련된 보안 인식 및 규정 준수 문제를 적절하게 처리해야 한다.

휴즈는 각 부서가 필요한 만큼 깊이 있게 훈련할 수 있도록 구분짓는 것의 중요성을 강조했다. 휴즈는 자신의 분야가 아니므로 HR 정책에 관여하지 않는 것처럼, 다른 부서 리더도 보안 훈련을 정의하지 않는다며 각 모듈을 서로 독립적으로 유지함으로써 모든 팀이 자신이 가장 잘 아는 것에 집중할 수 있다고 말했다.

마찬가지로, 유비코의 CISO 채드 툰버그는 HR이 직원 교육에 중요한 협력자이지만, 교육 콘텐츠에 대한 책임은 보안 기업이 져야 한다고 말했다.

보안팀은 회사와 관련된 위협에 대한 심층적인 이해, 과거에 성공한 공격 유형에 대한 통찰력, 알려진 우려 영역 또는 취약성 카탈로그를 보유하고 있다.

툰버그는 “보안 교육을 담당하는 사람이 실무자가 아니거나 실무자가 직접 교육을 개발하지 않으면, 관련성이 떨어지거나 실행 가능성에 대한 의구심을 갖게 될 위험이 있다”라고 경고했다.

보안 전문가는 직원 교육에 적극적으로 참여해야

크로노스피어(Chronosphere) 정보 보안 책임자인 할린 립먼은 보안팀이 전문 지식과 중요성 증가를 바탕으로 매우 전문화된 역할과 부서로 성장하고 있다고 말했다. 따라서 HR에만 직원 보안 교육에 대한 전적인 책임이 있는 것은 아니다. HR이 주도하는 보안 교육 프로그램에는 몇 가지 주요 문제점과 한계가 있기 때문이다.

립먼은 교육 내용이 금세 구식이 되거나, 관련성이 없거나, 기업의 위험 프로필과 일치하지 않는다는 것이 일반적 문제라고 지적했다. 또한 보안 위협은 빠르게 진화하고 있으며, 보안 전문가의 의견이 없다면 교육 자료가 현재의 위험을 효과적으로 해결하지 못할 수도 있다고 덧붙였다.

또 다른 문제는 직원의 전폭적인 지지를 얻는 것이다.

립먼은 “맞춤형이 아닌 기성 교육 자료가 제공되는 경우, 사용자들이 기업의 특정 프로세스와 정책(예 : 보안 사고를 구체적으로 보고하는 방법, 기업에 어떤 유형의 정책이 있는지 등)을 인식하지 못할 위험이 있다”라고 말했다. 이는 종종 간과되는 부분이고, 내부적으로 혼란을 야기한다.

그렇기 때문에 보안 전문가가 이러한 교육 프로그램의 설계와 제공에 적극적으로 관여하는 것이 필수적이다.

또한 립먼은 “HR, IT, 보안 부서가 긴밀하게 협력해 교육을 개발하고 제공해야 한다”라고 말했다. 구체적으로, 각 부서는 어떤 유형의 콘텐츠가 기업에 적합한지 평가해야 한다. 또, 누가 특별히 발표하고 교육을 제공할 것인지 결정하기 위해 협력해야 한다. 그리고 전담 보안 부서가 있다면 직접 직접 교육을 제공하는 것이 좋다.

전통적인 교육 방법으로는 충분하지 않아

이머시브(Immersive) 사이버 훈련 및 복원력 담당 수석 이사 댄 포터는 성공적인 보안 교육 프로그램은 직원이 일상 업무에서 직면할 수 있는 실제 시나리오를 묘사하는 최신 사이버보안 시뮬레이션을 자주 배포한다고 말했다.

포터는 “위협 환경의 급격한 변화로 인해, 전통적인 교육은 너무 자주 실시되지 않으며, 교육이 실시될 때쯤이면, 그 자료는 기업이 직면한 최신 위협에 더 이상 관련이 없거나 영향력이 없다”라고 말했다. HR은 다양한 교육 및 개발 프로그램에서 중요한 역할을 하지만, 강력한 보안 교육 프로그램을 개발하는 데 필요한 특이성과 속도를 제공할 수는 없다.

포터에 따르면, 기업의 보안팀이 제공하는 통찰력을 활용하면, 각자의 고유한 역할을 염두에 두고 교육 프로그램을 개발할 수 있다. 운영팀 구성원의 업무 흐름은 커뮤니케이션 팀 구성원의 업무 흐름과 매우 다르기 때문에, 교육과 사이버 훈련도 달라야 한다.

심화 교육은 직원이 잠재적인 사이버 공격을 처리할 수 있도록 할 뿐만 아니라 기업 내에서 보다 광범위한 보안 문화를 조성할 수 있게 해준다. 포터는 직원 보안 교육과 관련해 HR이 교육의 물류, 일정, 기업적 시행을 담당할 수 있으며, IT와 보안 부서가 콘텐츠를 제공하고 회사의 특정 위험과 기술에 맞게 조정되도록 해야 한다고 말했다.
dl-itworldkorea@foundryco.com