Awareness Security 어떻게 수행해야 하는가?

안녕하세요.
지니네트웍스 컨설팅팀 김민규 팀장입니다.
이번 포스팅은 'Awareness Security 어떻게 수행해야 하는가?'에 대해 말씀을 드리려고 합니다.

<출처: http://resources.infosecinstitute.com>

얼마 전, 게임 회사의 개발자인 지인과 Awareness 장비의 자동화 조치에 대한 이야기를 나누었습니다.
지인은 Awareness 장비라면서 자동화나 강제화에 대한 기능이 왜 필요한지 모르겠다고 하소연을 하였습니다.
제 개인적인 생각으로도 일리가 있는 말인 것 같습니다.

하지만... 현실은 어떨까요?
실제 사내에 Awareness 장비를 운영하면서 자율 참여 정도를 보면 어떨까요?

이상과 현실은 다르다는 것을 느낄 수 있습니다.
이상이 실현되기 위해서는 많은 노력이 필요하다고 생각합니다.

만약, Awareness 장비를 도입해서 그냥 놔두기만 한다면,
어린 아이가 스스로 장래를 대비해서 공부하고, 책을 읽기를 바라는 것과 무엇이 다를까요?

앞선 포스팅에서 언급한 것 같이 몰라서 못하고, 귀찮아서 다음에 하다 보면,
사고는 이미 터진 후에나 조치가 필요하다는 것을 깨닫게 됩니다.

그렇다면, 정보 보안에 대해 이상과 현실의 차이를 줄이기 위해서 어떤 것부터 해야 할까요?
(이전 포스팅에서 많이 언급했으므로 시스템에 대한 얘기는 생략하겠습니다.^^)

아이들을 키우는 과정에 빗대어 살펴보면 아래와 같습니다.
1. 자세히 지켜보기(관찰, 대화)
2. 부족한 점을 찾기
3. 부족한 점에 대해 알려주기
4. 스스로 고치도록 노력하기
5. 지켜봐 주기

이 과정들을 Awareness 보안 환경에 적용해보면, 다음과 같이 설명할 수 있을 것 같습니다.
1. 정보 수집 - 평가, 설문
2. 분석 - 채점, 원인 파악
3. 교육 - Guide, Awareness
4. 자가 채점, 자가 분석, 자가 교정
5. 지속적인 정보 수집

위에서 살펴본 바와 같이 개입의 필요성이 존재할 것입니다.
그러나, 그것이 자동화 조치나 일괄 조치의 방법은 아니라는 것이 저의 생각입니다.
자동화 조치, 일괄 조치는 "엄마가 다해줄게, 가만히 있어봐"랑 뭐가 다를까요...?

Awareness 장비의 방식은 위의 다섯 가지 방식에 대해 시스템화하고, 개입을 할 필요가 있다는 것입니다.

위의 과정에서 도출되는 개입의 방식은
1. 평가, 설문지 내용을 사용자 단말에 pop-up 하기
2. 이에 대한 결과, 원인 사용자에게 노출
3. 스스로 교정해 볼 수 있는 Guide 제시, 원인 알려주기
4. 교정 후, 스스로 자가 평가, 자가 교정 시스템화
5. 이 과정의 자동 반복, 콘텐츠 보완, 업데이트하기

좋은 Awareness 장비를 선별하는 법에 대한 명확한 정의는 없지만,
장비의 사용 목적이 사용자의 보안 수준을 높이기 위해서라면 이러한 과정은 어떨까 생각해 보았습니다.

<참고 : Gartner : Magic Quadrant for Security Awareness Computer-Based Traing. 08.oct.2015>