[아이티데일리] 지난해 조직의 80% 이상이 보안 침해 사고를 1회 이상 경험했다는 조사 결과가 나왔다. 랜섬웨어를 포함하는 사이버 위협이 이처럼 전 세계적으로 기승을 부리는 가운데, 공격의 대상인 직원들이 충분한 사이버 보안 의식을 가지도록 지원해야 한다는 지적 또한 제기되고 있다. 직원들이 1차 방어선 역할을 충분히 해낸다면  피해를 최소화할 수 있다는 것이다.

19일 포티넷 코리아(대표 조원균)는 ‘2023 보안 인식 및 교육에 대한 글로벌 조사 보고서(2023 Security Awareness and Training Global Research Brief)’를 발표하며 이 같이 밝혔다. 포티넷의 이번 보고서는 보안 태세를 강화하고 사이버 공격을 줄이기 위해 사이버 인식 교육이 얼마나 중요한지를 잘 보여주고 있다.

포티넷은 최근 전세계 29개 지역의 IT 및 사이버 보안 의사결정권자 1,855명을 대상으로 설문조사를 실시했으며, 응답자들은 기술(21%), 제조(16%), 금융 서비스(13%) 등 다양한 산업 분야에 종사하고 있다.

직원들이 조직의 가장 중요한 디지털 자산을 보호할 수 있도록 지원해야

기업들은 점점 정교화되는 위협 환경에서 고군분투하고 있다. 포티넷의 보안 연구소인 ‘포티가드랩(FortiGuard Labs)’이 최근 발표한 ‘글로벌 위협 환경 보고서(Global Threat Landscape Report)’에 의하면, 랜섬웨어 위협은 전 세계적으로 감소할 조짐 없이 최고 수준을 유지하고 있는 것으로 나타났다. 동시에 포티넷의 ‘2023 사이버 보안 기술 격차 글로벌 보고서(2023 Cybersecurity Skills Gap Global Report)’에 의하면, 조직의 84%가 지난해 한 번 이상의 보안 침해를 경험한 것으로 나타났다.

포티넷의 ‘2023 보안 인식 및 교육에 대한 글로벌 조사 보고서(Fortinet’s 2023 Security Awareness and Training Global Research Brief)’에서는 90% 이상의 리더들이 ‘직원들의 사이버 보안 인식이 높아지면 사이버 공격 발생을 줄이는데 도움이 된다’고 답변했다. 또한, 사이버 리스크가 점차 증가하는 가운데, 사이버 범죄로부터 조직을 보호하는 1차 방어선으로서 직원들의 역할이 얼마나 중요한지 강조하고 있다.

보고서의 주요 내용을 살펴보면, 먼저 직원들이 사이버 범죄자들의 타깃이 되고 있다는 사실을 확인할 수 있다. 이번 조사에 의하면 지난해 조직의 81%가 사용자를 주로 타깃으로 삼는 멀웨어, 피싱, 비밀번호 공격을 받은 것으로 나타났다. 이는 직원들이 조직의 가장 취약한 통로가 될 수도, 가장 강력한 방어 수단이 될 수도 있다는 점을 강조한다.

직원들에게 적절한 사이버 위생(cyber hygiene) 의식을 심어주기 위해 효과적인 교육 프로그램을 마련하는 것이 중요하다. 85%의 리더들은 조직이 보안 인식 및 교육을 위한 프로그램을 구비하고 있다고 답했으나, 50% 이상은 직원들의 사이버 보안 지식이 여전히 부족하다고 지적했다. 이러한 격차는 현재 시행 중인 교육 프로그램의 효과가 부족하고, 그 결과 직원들이 적절한 사이버 위생(cyber hygiene) 사례를 적용하는 방식에 일관성이 없거나 교육이 충분히 강화되지 않았음을 시사한다.

사이버 보안은 점점 더 이사회의 우선순위로 자리잡고 있다. 보고서에 의하면 93%의 조직들은 이사회에서 조직의 사이버 방어 및 전략에 대해 다루고 있다고 답했다.\

포티넷의 보안 인식 및 교육 서비스

포티넷은 직원 대상의 사이버 보안 인식 교육을 실시하고 싶거나, 시행 프로그램의 효과를 평가하려는 조직을 위해 사이버보안 인식을 위한 교육 프로그램인 ‘보안 인식 및 교육 서비스(Security Awareness and Training service)’를 제공하고 있다고 밝혔다. 이 서비스는 포티넷 교육 연구소에 속한 세계적 수준의 강사진들이 설계했다. 다양한 주제를 실용적인 방식으로 다루며 리마인더(reminders)와 점검(checks)을 통해 학습 내용을 강화함으로써 교육 효과를 높일 수 있다. 또한 이 서비스를 채택한 조직들은 대시보드 및 보고 기능에 액세스해 사이버 보험 및 규정 준수(컴플라이언스) 요구사항을 충족시킬 수 있다.

이 서비스는 포티가드랩(FortiGuard Labs)의 위협 인텔리전스를 활용해 위협 환경 전반에서 관찰된 사항에 따라 발빠르게 교육 서비스를 업데이트하고 있다. 또한 미국 국립표준기술연구소(NIST, National Institute of Standards and Technology)의 가이드라인(NIST 800-50/NIST 800-16)을 준수해 정보 보안, 데이터 개인 정보보호, 물리적 보안, 암호 보호 및 인터넷 보안을 비롯한 중요한 주제를 다룬다.

포티넷은 교육가들을 위해 이 서비스를 맞춤화하고 미국 전역의 교육구 및 시스템과 영국의 지역 교육구에 무상 제공했으며, 전 세계적으로 서비스를 확대할 계획이다.

포티넷 제품 총괄 존 매디슨(John Maddison) 선임 부사장은 “‘2023 보안 인식 및 교육에 대한 글로벌 연구 보고서’는 사이버 공격을 예방하는 데 있어 직원의 역할이 얼마나 중요한지 강조하고 있다. 기업들은 보안 인식과 교육 서비스에 우선순위를 둠으로써 직원들이 1차 방어선 역할을 잘 감당할 수 있도록 지원해야 한다”고 말했다.