보안에 있어 참 다사다난했던 2025년의 끝이 다가왔습니다. 이제 정말로 한 해를 마무리하고 내년도 계획을 확정해야 할 시기인데요. 매년 이맘때 각 기업의 보안 담당자라면 반복해서 하는 고민이 있죠. “올해 진행한 보안 교육은 과연 효과가 있었을까?”, “우리 회사 임직원들은 실제 위협 상황에서 올바르게 행동할까?”, “내년엔 뭘 어떻게 다르게 해야 할까?”

올해 국내외를 막론하고 작은 기업은 물론 큰 기업까지 수많은 보안 사고들이 있었습니다. 철옹성같이 보안을 단단히 했을 거라고 믿었던 기업들에서 해킹, 정보 유출이라는 말이 오르락내리락하니 대중들엔 조금 황당하게 느껴지기도 했던 한 해였습니다. 그 이면을 들여다보면, 정교한 피싱 공격과 내부자의 사소한 실수가 결합된 경우가 많았습니다. 이는 더 이상 형식적인 ‘컴플라이언스 준수’만으로 기업과 중요한 정보들을 보호할 수 없음을 시사합니다. 이러한 시대적 흐름에 맞춰, 이제 단순 보안 교육에서 지속적인 보안 인식·훈련·교육으로 패러다임을 전환하는 것이 필요합니다.

그럼, 다가올 2026년 보안 담당자는 글로벌 표준에 맡게 어떻게 또 무엇을 준비해야 할까요?

 

미국 국립표준기술연구소가 20여 년 만에 개정한 보안 교육 가이드라인

지난 2024년 9월, 미국 국립표준기술연구소(NIST)는 20여 년 만에 보안 교육 가이드라인(NIST SP 800-50 Rev.1: Building a Cybersecurity and Privacy Learning Program)을 대폭 개정해 발표했습니다. 이는 미 연방정부와 공공·민간 조직의 보안 교육 체계를 현대화하기 위해 발표한 가이드로 그 내용의 핵심은 용어의 변화에서 시작됩니다. 기존의 ‘인식 및 훈련(Awareness and Training)’이라는 용어 대신, ‘사이버 보안 및 개인정보 보호 학습 프로그램(CPLP, Cybersecurity and Privacy Learning Program)’이라는 개념을 새로 도입해 단순히 지식을 전달하고 시험을 보는 ‘이벤트’가 아니라, 조직 전반의 위험 관리 전략과 통합된 ‘지속적인 프로그램’이어야 한다는 점을 강조했습니다.

이번 가이드라인은 사이버 보안 사고의 상당수가 기술이 아닌 ‘사람의 행동’에서 비롯된다는 문제의식에서 출발했는데 단순히 규정 준수를 위한 연례 교육으로는 실제 위험을 줄이기 어렵다는 한계를 인식하고, 보안 인식(Awareness), 훈련(Training), 교육(Education)을 하나의 지속적인 학습 프로그램(CPLP)으로 설계하도록 안내합니다. NIST와 미 국토안보부(CISA), NASA, IRS 등 여러 공공기관 전문가들이 공동으로 참여해 만들었으며, 조직 규모와 성숙도에 상관없이 적용할 수 있도록 전략 수립부터 실행, 성과 측정, 개선까지의 전 과정을 체계적으로 정리한 것이 특징이니 어떤 규모의 기업 담당자라도 참고하기에 좋습니다.

 

패러다임의 대전환: ‘일회성 훈련’을 넘어 ‘지속적 학습 프로그램(CPLP)’으로

출처: 미국 국립표준기술연구소(NIST),
NIST SP 800-50 Rev.1: Building a Cybersecurity and Privacy Learning Program (2024)

NIST 가이드라인 내용을 살펴보면 CPLP가 성공하기 위해서는 순환적인 구조를 갖춰야 한다는 것을 가장 먼저 강조합니다. 우선 1) 비즈니스 목표와 위험 요소를 분석하여 교육의 방향성을 설정하는 전략적 기획이 선행되어야 하며, 이를 바탕으로 2) 대상별 역량 차이를 분석하고 역할에 맞는 콘텐츠를 맞춤형으로 설계해야 합니다. 설계된 프로그램은 단순 이론이 아닌 실제 상황을 모방한 시나리오를 통해 실전적으로 구현되어 경험적 학습을 제공해야 합니다. 마지막으로 3) 단순 수료율이 아닌 실제 행동 변화 데이터를 측정하는 데이터 기반 평가를 거쳐, 그 결과를 바탕으로 4) 프로그램을 고도화하는 지속적 개선이 이루어져야 합니다. 그리고 더 중요한 것은 이 순환 구조는 멈추지 않고 지속해야 한다는 것입니다. 위협 환경과 기술은 끊임없이 변화하므로, 학습 프로그램 역시 한 번 만들고 끝나는 것이 아니라 계속해서 진화해야 한다는 것이죠. 즉, 보안 교육은 이제 ‘연례행사’가 아닌, 365일 작동하는 보안 프로세스로 진화해야 합니다.

그리고 이 순환 구조는 단순히 교육을 완료했다는 기록을 남기기 위해 진행하는 것이 아니라 규정 준수를 달성하는 것을 넘어, 문화적·행동적 변화를 통해 조직의 사이버 보안 및 개인 정보 보호 위험을 줄이는 것이 목표입니다. 그렇기 때문에 순환 구조로 프로그램을 진행하면서 막연한 추측이 아닌 ‘데이터’를 기반으로 해야 합니다. 이때 ‘데이터’란 단순한 수료율뿐만 아니라 실제 구성원들의 변화한 행동(악성메일 신고율 증가, 취약점 패치 속도 개선 등)을 보여주는 정량적 지표와 학습자의 태도 변화를 보여주는 정성적 지표를 모두 일컫습니다. 그리고 수집된 데이터를 바탕으로 ‘CPLP 평가 보고서’를 작성하고 경영진과 검토하여, 다음 단계의 예산과 전략을 결정하는 근거로 삼는 것이 포인트입니다.

 

대상별 맞춤 전략: ‘모든 사용자’와 ‘특권 계정’의 분리

출처: 미국 국립표준기술연구소(NIST), NIST SP 800-50 Rev.1: Building a Cybersecurity and Privacy Learning Program (2024)

또 한 가지 NIST 가이드라인에서 강조하는 내용은 위험 노출도에 따라 대상별 맞춤 전략을 세우는 것입니다. 여태까지 대부분의 보안 교육이 그랬듯 모든 임직원에게 똑같은 내용의 온라인 강의를 듣게 하는 방식의 접근을 지양하고, 역할과 권한에 따른 차별화된 교육을 해야 합니다. 여기서 핵심은 ‘특권 액세스 계정 보유자’가 ‘모든 사용자’의 부분집합이라는 점을 이해하는 것입니다. 즉, 특권 계정 보유자는 일반 사용자와 분리된 별개의 집단이 아니며, 모든 사용자가 이수해야 할 기본 보안 교육을 선행한 후 자신의 권한과 책임에 맞는 심화 교육을 추가로 이수하는 ‘포함과 심화’의 구조로 설계되어야 합니다.

대상별로 그러면 어떤 것을 목표로 하고 교육과 훈련을 해야 할까요? ‘모든 사용자’ 그룹은 보안 문해력 확보와 인적 오류 감소를 목표로 합니다. 패스워드 관리, 피싱 식별 등 기본적인 보안 정기 교육과 상시 캠페인을 진행해 올바른 보안 문화를 형성해야 합니다. 반면, ‘특권 액세스 계정 보유자’ 그룹은 기술적 숙련도와 책임감 고취가 목표입니다. 이들은 시스템에 치명적인 영향을 줄 수 있는 영향력을 쥐고 있으므로, 단순 교육을 넘어 부서 간(HR, IT 등) 협력을 통해 클라우드 등 시스템 특성에 맞는 전문 교육과 고도화된 시나리오 훈련을 받아야 합니다. 이러한 대상 분리가 선행되지 않으면 자원의 낭비는 물론, 관리자 계정의 보안 불감증으로 인한 심각한 위협이 초래될 수 있습니다. 따라서 보안 담당자는 우리 조직의 ‘특권 보유자’가 누구인지 식별하는 것이 그 시작이 될 수 있습니다.

 

NIST 표준을 이행하는 가장 스마트한 도구, Mind-SAT

NIST 가이드라인이 제시한 지속적 학습 프로그램을 짜는 것과 대상별 맞춤 전략을 짜는 것은 이상적이지만 담당자가 직접 구현하기에는 많은 어려움이 있습니다. 거기다 측정 가능한 전략적 목표를 세우고, 세부 목표를 설정하며, 세부 실행 계획을 수립하면서 예산도 확보하며 우선순위도 짜야 합니다. 보안교육을 온라인으로 진행한다면 그 시스템을 구축하는 것부터가 어렵고 고민해야 하는 일입니다. 파수 Mind-SAT은 CPLP 관리자의 전략적 실행 파트너로서 이 간극을 메워줍니다. 가이드라인에 따르면 CPLP의 세 가지 주요 구성 요소로 인식 활동(Awareness activities) 경험 학습 및 실습(Experiential learning and practical exercises) 그리고 훈련 콘텐츠(Training content)가 있습니다. Mind-SAT은 악성메일 모의훈련과 보안교육 서비스를 토대로 이 세 가지 구성 요소를 모두 제공합니다. 이때 단순한 훈련 도구 제공에 그치지 않고, 상담 단계에서부터 NIST CPLP 기준을 적용해 조직의 현재 수준을 진단하고 훈련 로드맵을 설계하는데요. 풍부한 경험을 가진 전문 컨설턴트가 고객사와 함께 NIST 표준에 맞춰 계획을 수립하고, 실행 및 평가까지 전 과정을 밀착 지원하는 것 또한 장점입니다.

예를 들어 인식 활동의 경우 악성메일 모의훈련 플랫폼을 통해 보안 관련 뉴스레터를 제공합니다. 월 1회 발송되는 뉴스레터를 통해 구성원들은 최신 보안 사고와 트렌트를 인지하며 보안 인식을 높일 수 있습니다. 경험 학습 및 실습은 악성메일 모의훈련 대행 서비스를 통해 진행됩니다. NIST 가이드라인은 ‘경험적 학습’과 ‘시의적절한 콘텐츠’를 강조하는데, Mind-SAT은 악성메일 전문 컨설턴트가 최신 위협 트렌드와 고객사 산업군 특성을 반영한 맞춤형 시나리오를 제공합니다. 또, 정밀 분석 리포트를 제공해 단순 오픈율을 넘어 링크 클릭이나 개인정보 입력까지 다양한 위험 행위 데이터를 다각적으로 분석하기도 합니다. 특히 컨설턴트가 설계한 고객 최적화 시나리오는 NIST가 또 별도로 제공하는 악성메일 난이도(Phish Scale) 관점에서 여러 난이도의 시나리오를 제공해 객관적인 지표로 활용할 수 있습니다. 악성메일 모의훈련과 같이 운영하는 신고센터 서비스를 통해서 신고하는 습관을 만들 수도 있습니다. 마지막으로 훈련 콘텐츠에 있어서는 보안교육과 보안 퀴즈를 제공합니다. 고객사의 상황에 맞게 대상별 보안 교육을 나눠서 온라인 또는 오프라인으로 진행하고, 보안 퀴즈도 진행할 수 있습니다. 이 세 가지 활동을 통해 NIST 가이드라인의 궁극적 목표인 ‘행동 변화’를 만들고 최종적으로 ‘일상적 보안 문화’의 정착을 함께 만들어갑니다.

 

2026년, ‘규제 준수’를 넘어 ‘실질적 보안’으로

내년도 보안 계획을 확립하는 지금, 보안 담당자는 단순한 솔루션 도입이나 형식적인 교육 횟수 채우기에 머물러서는 안 됩니다. 보안 위험은 2026년에도 더욱 커질 것이지만 잘 설계된 보안 인식 훈련은 조직의 보안 위험을 최대 70% 이상 감소시킬 수 있습니다. 지금 도입문의를 남기시고 전문 컨설턴트와 상담해 보세요.

NIST 가이드라인이라는 검증된 글로벌 표준을 반영한 파수 Mind-SAT과 함께한다면 단순히 보안 규제를 준수하는 것을 넘어 임직원의 ‘마인드셋(Mindset)’을 변화시키고 실질적 보안 문화를 만드는 큰 계기가 될 수 있을 것입니다.