사이버 보안 행동을 변화시키기 위해 ‘인적 요소’를 다루는 것, UK National Cyber Security Centre

by

사이버 보안, 사람에게 답이 있다: 영국 국가 사이버 보안 센터(NCSC)의 행동 변화 전략 (2025년 3월 13일)

2025년 3월 13일, 영국 국가 사이버 보안 센터(NCSC)는 사이버 보안의 핵심 과제인 ‘인적 요소(Human Factor)’ 를 해결하고 사이버 보안 행동을 근본적으로 변화시키기 위한 블로그 게시물을 발표했습니다. 이 글은 기술적인 방어 체계를 강화하는 것만큼이나, 조직 구성원들의 행동 변화를 유도하는 것이 중요하다고 강조합니다. NCSC는 단순히 교육이나 훈련을 넘어, 사람들이 사이버 보안 위험에 대해 생각하고 느끼고 행동하는 방식을 바꾸는 데 초점을 맞추고 있습니다.

왜 ‘인적 요소’가 중요한가?

대부분의 사이버 공격은 결국 인간의 실수나 부주의를 이용합니다. 피싱 이메일을 열어보거나, 취약한 비밀번호를 사용하거나, 보안 규정을 제대로 준수하지 않는 등의 행동은 공격자에게 문을 열어주는 것과 같습니다. 따라서 효과적인 사이버 보안을 위해서는 기술적인 보안 장치뿐만 아니라, 사람들의 행동을 변화시키는 전략이 필수적입니다.

NCSC가 제시하는 핵심 전략:

NCSC는 사람들이 사이버 보안에 대해 생각하고 행동하는 방식을 변화시키기 위해 다음과 같은 핵심 전략을 제시합니다.

  • 행동 과학(Behavioral Science) 기반 접근: 단순히 지식을 전달하는 것만으로는 행동 변화를 이끌어낼 수 없습니다. NCSC는 행동 과학의 원리를 활용하여, 사람들의 무의식적인 편향과 습관을 이해하고 이를 바탕으로 효과적인 행동 변화 전략을 설계합니다. 예를 들어, 기본값(default)을 안전한 설정으로 바꾸거나, 긍정적인 피드백을 제공하여 바람직한 행동을 강화하는 등의 방법이 있습니다.
  • 상황 인식(Situational Awareness) 강화: 사람들은 자신이 처한 상황에 따라 다르게 행동합니다. NCSC는 다양한 상황에서 발생할 수 있는 사이버 보안 위험을 인지하고 대처할 수 있도록, 상황 인식 능력을 강화하는 교육 및 훈련 프로그램을 개발합니다. 예를 들어, 재택근무 환경에서의 보안 위협, 공용 Wi-Fi 사용 시 주의사항, 특정 공격 유형에 대한 대응 방법 등을 교육합니다.
  • 공감대 형성 및 동기 부여: 사이버 보안은 개인의 책임일 뿐만 아니라, 조직 전체의 책임이라는 인식을 심어주는 것이 중요합니다. NCSC는 사이버 보안의 중요성을 강조하고, 각자의 역할과 책임을 명확히 제시함으로써 구성원들의 적극적인 참여를 유도합니다. 또한, 성공적인 사이버 보안 사례를 공유하고 긍정적인 문화를 조성하여 동기 부여를 강화합니다.
  • 맞춤형 접근 방식: 모든 사람이 동일한 방식으로 반응하지 않으므로, 획일적인 교육 방식으로는 효과를 보기 어렵습니다. NCSC는 각 개인의 역할, 책임, 기술 수준 등을 고려하여 맞춤형 교육 및 훈련 프로그램을 제공합니다. 예를 들어, IT 담당자를 위한 고급 기술 교육, 일반 직원을 위한 피싱 방지 교육, 경영진을 위한 사이버 리스크 관리 교육 등을 제공합니다.
  • 지속적인 평가 및 개선: 행동 변화 전략은 일회성으로 끝나는 것이 아니라, 지속적인 평가와 개선을 통해 효과를 극대화해야 합니다. NCSC는 다양한 지표를 활용하여 행동 변화 전략의 효과를 측정하고, 그 결과를 바탕으로 전략을 개선합니다. 예를 들어, 피싱 시뮬레이션 결과, 보안 사고 발생 건수, 직원 설문 조사 등을 활용하여 전략의 효과를 평가합니다.

결론:

NCSC의 블로그 게시물은 사이버 보안의 미래는 기술적인 방어 체계뿐만 아니라, 사람들의 행동 변화에 달려 있다는 점을 강조합니다. 행동 과학 기반 접근, 상황 인식 강화, 공감대 형성 및 동기 부여, 맞춤형 접근 방식, 지속적인 평가 및 개선을 통해, 조직은 사이버 보안 위협으로부터 더욱 안전해질 수 있습니다. 이제 사이버 보안은 단순히 기술적인 문제가 아니라, 조직 문화의 핵심 요소로 자리매김해야 합니다.

사이버 보안 행동을 변화시키기 위해 ‘인적 요소’를 다루는 것

AI가 뉴스를 제공했습니다.

다음 질문이 Google Gemini에서 답변을 생성하는 데 사용되었습니다:

2025-03-13 11:22에 ‘사이버 보안 행동을 변화시키기 위해 ‘인적 요소’를 다루는 것’이(가) UK National Cyber Security Centre에 의해 게시되었습니다. 관련 정보를 포함한 상세한 기사를 쉽게 이해할 수 있도록 작성해 주세요。


144

Post Views: 28

Leave a Comment