네트워킹과 보안 융합 솔루션 시장을 주도하는 글로벌 사이버 보안 리더인 포티넷 코리아(조원균 대표)는 오늘, ‘2024 보안 인식 및 교육’에 대한 글로벌 조사 보고서(2024 Security Awareness and Training Global Research Report)를 발표했다. 포티넷은 보고서를 인용해 사이버보안에 대한 인식을 갖춘 직원들이 기업의 위험을 관리하고 완화하는데 중요한 역할을 한다고 강조했다.
이 설문조사는 보안 인식 및 교육을 주제로 29개국 다양한 조직의 임원 및 관리자급 전문가 1,850명 이상을 대상으로 실시되었다. 이들은 제조(17%), 금융 서비스(13%), 기술 및 전문 서비스(11%) 등 여러 산업에 속해 있다.
이번 보고서의 주요 내용은 다음과 같다.
•AI를 기반으로 악의적인 공격의 규모와 속도가 증가하면서 기업의 리더들은 직원들이 이러한 위협을 발견하는데 더욱 어려움을 겪을 것으로 예상하고 있다. 응답자의 60% 이상이 AI를 사용하는 사이버 공격으로 인해 더 많은 직원들이 피해를 입을 것으로 예상했다. 그러나 다행히도, 대부분의 응답자들이(80%) 조직 전반에서AI-증강(AI-augmented) 공격에 대한 인식을 갖고 있어 ‘보안 인식 및 교육’에 열린 태도라고 답했다.
•기업의 리더들은 직원들이 조직의 1차 방어선이 될 수 있으나, 그들의 보안 인식이 부족하다는 점을 우려하고 있다. 설문조사 응답자의 약 70%가 직원들이 중요한 사이버 보안 지식이 부족하다고 답했으며, 이는 2023년 56%보다 증가한 수치이다.
•기업의 리더들은 보안 인식 교육의 중요성을 인식하고 있으며, 특정 요소들이 교육 프로그램의 효과를 높이는데 중요한 역할을 한다고 확신하고 있다. 75%의 리더들은 보안 인식 캠페인을 계획하여 매월(34%) 또는 분기별로(47%) 콘텐츠를 제공한다고 답했다. 또한, 경영진들은 양질의 콘텐츠가 프로그램의 성패에 중요한 역할을 한다고 강조했다.
직원들이 직면해야 하는 최신 위협
사이버 범죄자들이 AI를 사용하는 대표적인 방법 중 하나는 피싱 사기를 더 정교하게 만들어 탐지를 어렵게 만드는 것이다. 피싱은 개별 사용자를 직접 표적으로 삼기 때문에 기업들은 직원들에게 이러한 공격을 인식시키고 피할 수 있는 방법을 교육하는데 집중하고 있다.
•최종 사용자는 여전히 중요한 공격 대상이다. 지난해 80% 이상의 조직이 멀웨어, 피싱, 비밀번호 공격 등 개별 사용자를 직접 겨냥한 공격을 경험했다.
•공격이 점차 진화됨에 따라 보안 인식과 교육은 더욱 중요해질 것이다. 설문조사에 참여한 거의 모든 응답자들은(96%) 리더십 팀이 보안 인식을 위한 직원 교육을 지원하고 있다고 답했다.
•거의 모든 응답자(98%)들이 ‘피싱 예방’을 교육 프로그램 및 계획의 우선순위로 꼽았으며, ‘데이터 보안(48%)’과 ‘개인정보 보호(41%)’가 그 뒤를 이었다.
직원들이 공격에 대한 강력한 1차 방어선 역할 수행
보안 및 IT 팀은 사이버 위협으로부터 조직을 보호하는데 결정적인 역할을 한다. 그러나 기업의 직원들도 침해 사고를 방지하는데 중요한 역할을 하고 있다.
•직원들은 사이버 보안 인식 및 교육 기회에 열린 태도를 갖고 있다. 대부분의 리더들은(86%) 직원들이 보안 인식 및 교육을 긍정적으로 보고 있다고 답했다.
•기업들은 보안 인식 및 교육 프로그램 시행 시, 긍정적인 결과를 얻는 것으로 보고 있다. 대다수의 리더들은(89%) 보안 인식 및 교육 실시 이후, 조직의 보안 태세가 일정 부분 개선되었다고 답했다. 전혀 개선되지 않았다고 답한 응답자는 없었다.
사이버 인식 교육은 중요하나, 모든 프로그램이 똑같이 구성되지는 않아
대부분의 조직은 보안 침해를 당한 경험이나 해당 산업 또는 분야를 겨냥한 위협에 대한 지식을 바탕으로 보안 인식 및 교육을 도입하고자 한다. 대다수 의사결정권자(96%)들은 경영진이 사이버 보안 인식을 높이기 위한 직원 교육을 지지한다고 답했다.
올해 설문조사에 의하면 97%의 리더들이 ‘직원의 인식이 높아지면 조직의 사이버 보안 태세가 강화될 것’이라고 답했다. 또한, 응답자들은 교육 프로그램의 효과를 높이는데 중요한 요소가 있다는데 동의했다.
•참여형 콘텐츠가 가장 중요하다. 의사결정권자의 86%가 현재 보안 인식 및 교육 솔루션에 만족한다고 답했으나, 만족하지 않는다고 답한 응답자 중 가장 큰 불만요소는 참여형 콘텐츠가 부족하다는 점이었다.
•교육에 꼭 필요한 시간을 고려해야 한다. 학습자에게 꼭 필요한 시간을 고려하여 교육 피로를 최소화해야 한다. 직원들에게 너무 많은 시간을 요구하면 과도한 부담을 느낄 수 있다. 가장 일반적으로 제안되는 시간은 1.1시간(66분)에서 2시간 사이이고, 평균 시간은 3시간이다.
포티넷 보안 인식 및 교육 서비스를 통해 사이버 인식을 갖춘 직원 양성
단 한 번의 보안 침해 사고도 비즈니스에 막대한 영향을 끼칠 수 있다. ▲모든 직원을 위한 보안 인식 및 교육, ▲IT 및 보안 담당 직원을 위한 테크니컬 사이버보안 기술, ▲네트워크를 위한 지능형 보안 솔루션을 포함해 3가지 측면의 방어 전략을 구축하는 것이 중요하다.
보안 인식 및 교육은 개별 사용자가 위협에 직면했을 때 무엇을 해야 하는지 교육하는 것 외에도, 조직 전체에 사이버 보안 문화를 조성하기 위한 토대를 구축한다. 직원들에게 사이버 인식을 교육하고자 하는 기업들을 위해 포티넷은 ‘보안 인식 및 교육 서비스(Security Awareness and Training service)’를 제공하고 있다. 세계적 수준의 포티넷 트레이닝 인스티튜트(Fortinet Training Institute) 강사들이 설계한 이 서비스는 광범위한 주제를 다루고, 콘텐츠 맞춤화 기회를 제공하며, 주기적인 알림과 점검을 통해 학습을 강화시킨다. 또한, 이 서비스를 이용하는 조직들은 다양한 대시보드에 액세스하여 학습자들의 진도 점검 및 보고서 작성 등을 수행하고, 사이버 보험 및 규정 준수 요구 사항을 해결할 수 있다.
포티넷의 CMO(최고마케팅책임자) 존 매디슨(John Maddison) 부사장은 “위협 행위자들은 AI 등의 새로운 기술을 활용해 보다 정교한 공격을 감행하고 있다. 이에 기업의 일선 직원들이 강력한 1차 방어선 역할을 해주는 것이 점점 더 중요해지고 있다. 포티넷의 이번 조사는 사이버보안 문화 조성의 중요성과 조직 전반의 보안 인식 및 교육의 필요성을 잘 보여주고 있다. 또한, 전세계 초등학교 및 중학교에 무상 제공되는 교육용 버전을 비롯해, 포티넷의 기업용 보안 인식 및 교육 서비스(Security Awareness and Training service for enterprises)의 중요성과 사이버 복원력 강화를 위한 포티넷의 역할을 강조하고 있다”라고 말했다.
[안재후 글로벌에픽 기자/anjaehoo@naver.com]
