무엇이든 처음은 쉽지 않습니다. 보안 교육과 악성메일 모의훈련도 그렇습니다. 해야 하는 것은 알고 있으나 실질적으로 사고가 나기 전에는 내 일처럼 와닿지 않는 경우가 허다합니다. 내부의 반대도 있습니다. “귀찮다”라는 구성원들도 있을 것이고, “그만큼이나 리소스와 비용을 써야 하는지” 의문을 제기하는 결정권자도 있을 것입니다. 그런 배경 속에서도 기업 또는 단체의 담당자들은 우리 조직에 어울리는 방법을 찾아서 시작해야 합니다. 계속되는 보안 사고 소식에 “우리도 해야하는데…”라고 고민만 하는 것이 아니라 이제는 마음을 먹고 시작할 때입니다.
강동문화재단은 사내 구성원들의 사이버 보안 의식을 높이기 위해 새롭게 보안 교육과 훈련을 시작한 좋은 예 중 하나입니다. 2020년에 출범한 아직은 신생 단체라고 할 수 있는데요. 전산 담당자가 마음을 먹고, 다양한 서비스를 리서치한 다음, 내부 보고를 통해 처음으로 훈련과 교육을 시작했습니다. 그 과정과 결과가 어땠는지, 전산 담당자의 목소리를 들어봤습니다.
| ‘문화의 힘’을 믿는 강동문화재단*
안녕하세요. 강동문화재단 경영지원팀 심미섭 책임입니다. 저희 재단은 강동구에서 서울 동남권을 대표하는 내실 깊은 공연장으로 자리 잡은 강동아트센터와 8개 구립 도서관을 운영하는 곳으로 2020년도에 출범했습니다. ‘그림책’으로 창작 메이커 역할을 견인하는 성내도서관부터 ‘독립 출판’을 통해 책 문화 사업 저변 확대에 앞장서고 있는 해공도서관까지 강동구립도서관은 복합문화공간으로써 지역 주민의 삶에 가장 가까이 다가가고 있습니다. 문화로 상생하고 예술로 사회적 가치를 실현하는 강동문화재단의 사업에 많은 관심 부탁드립니다.
*기관명: 재단법인 강동문화재단
| 악성메일 모의훈련을 시작한 이유
재단이 출범한 이후 기본적인 정보보안에 대한 대비와 시스템은 준비돼 있었습니다. 그러나 다양한 보안 사고 뉴스를 보면서 내부 구성원들의 사이버 보안 의식을 높이고 경각심을 키울 필요가 있겠다는 생각이 들었습니다. 사이버 보안 훈련을 매년 진행해야 한다는 법적 근거를 통해 근거를 마련했고, 보안 의식을 높이기 위한 방법으로 사이버 위기 대응 훈련을 생각하고 알아보고 있었습니다. 그러던 중에 참석한 정보보안 세미나에서 파수의 Mind-SAT 서비스를 알게 됐습니다. 타사의 서비스와 비교했을 때 파수 Mind-SAT이 가장 효율이 좋을 것 같다는 생각에 도입을 결정했습니다.
도입을 결정한 다음에는 기존에는 없었던 훈련이기에 내부에 보고를 진행했지만, 의사결정 단계에서도 악성메일 모의훈련과 추가적인 보안 교육이 필요하다고 판단되어 어렵지 않게 2025년 7월, 훈련을 시작할 수 있었습니다. 보안 사고의 가장 약한 고리가 ‘사람’인 만큼, 내부 구성원들의 경각심을 높일 필요가 있다는 것이 주요한 판단 이유 중 하나였습니다.
| 두 번의 악성메일 모의 훈련과 한 번의 보안 교육
가장 먼저 7월에 악성메일 모의훈련을 처음으로 진행했습니다. 처음 해보는 훈련인 만큼 내부 공지 후 진행했습니다. 한 번의 훈련을 진행한 다음 내부 구성원을 대상으로 파수의 전문 컨설턴트분이 방문해 보안 교육도 진행해 주셨습니다. 현장에서 교육을 듣지 못하는 구성원의 경우 Zoom 동시 송출을 통해 온라인으로도 들을 수 있게 진행했습니다. 기존에 동영상으로 진행되는 필수 법정 보안 및 의무 교육을 온라인으로 진행했었으나, 이렇게 오프라인에서 진행한 적이 없었는데 오프라인에서 컨설턴트와 구성원들이 직접 대면해 교육을 진행하니 사이버 보안에 대한 인식이 뚜렷하게 향상되는 계기가 됐습니다. 교육 이후로 피싱 메일을 의심하는 구성원이 전체적으로 늘었습니다. 메일 확인 후 전산팀에 전달하거나 전화로 문의하는 사례도 생겼습니다.
1회의 훈련과 오프라인 교육을 진행한 다음 11월에 또 한 번 훈련을 진행했습니다. 2회차 훈련에서 링크 클릭률이 약 25%나 감소했습니다. 전산 담당자의 입장에서 정보보안 교육까지 포함된 구성이라 아주 그 결과가 만족스러웠고 훈련의 효과는 기대 이상으로 느껴졌습니다. 필요성을 담당자인 저부터 사내 구성원들까지 모두 느끼는 계기가 돼 앞으로 매년 진행하게 될 것 같습니다.
이렇게 두 번의 훈련과 한 번의 교육을 끝내고 느낀 파수 Mind-SAT의 특장점은 다양한 사례가 담긴 정보보안 교육을 진행해 준다는 점이었습니다. 악성메일 모의훈련의 경우 타사에서도 다양하게 제안했지만, 알찬 내용의 보안교육을 오프라인으로 해준다는 점이 가장 좋은 포인트였습니다. 솔직히 말씀드리면 비용 대비 훈련과 교육 구성이 타사와 비교할 수 없을 만큼 효과적이었고 합리적인 비용으로 진행할 수 있어 만족스러웠습니다. 큰돈을 들여 정보보안 솔루션을 운영하는 것 이상으로 큰 효과를 볼 수 있는 좋은 기회이니 아직도 고민하고 있는 담당자분들께 추천해 드리고 싶습니다. 감사합니다.
