보안 인식 교육

보안 인식 및 교육은 Akamai 직원이 일하는 첫날부터 마지막까지 함께합니다. 다음에서 프로그램에 대한 요약 설명과 한 직원의 개인 교육 환경을 실제로 보여드립니다.

보안 인식 교육

목적:

Akamai는 기존의 교육 노력과 더불어 보안을 최우선시하면서 보안 정보에 대해 논의하면 이에 대한 인식이 개선된다는 사실을 인식하고 있습니다.

범위:

이 정책은 모든 Akamai 직원들에게 적용됩니다. 

정책:

직원들은 입사 후 처음 한 달 내에, 이후에는 1년에 한 번씩 일반 보안 교육을 이수해야 합니다. 첫째 날 오리엔테이션에서 신규 직원들은 40분 동안 Akamai InfoSec 팀원들이 직접 진행하는 Akamai 보안 절차에 대한 간략한 교육을 받게 됩니다.

역할 및 책임:

모든 직원들은 매년 Akamai 정보 보안 프로그램을 이수하고 보수 교육을 받아야 함을 인정합니다. 보수 교육은 주로 비디오 프레젠테이션 및 설명서 형태로 제공됩니다. Information Security 그룹은 직원들이 교육을 받았는지 추적해 Akamai 직원들의 교육 이수율이 항상 96%가 넘을 수 있도록 조치하고 있습니다. 

Product Management 부서는 주요 제품을 출시할 때마다 보안 요구 사항을 중요 안건으로 논의하고, 모든 솔루션의 카드 소지자 정보 및 기타 민감 정보가 관련 보안 표준에 따라 안전하게 관리되도록 하고 있습니다.

임원진은 다음을 비롯한 Akamai의 보안 체계를 정기적으로 검토하고 있습니다.

  • 보안 위험 및 취약성의 파악과 완화에서 이루어진 진척 상황 
  • 보안을 위한 관행 및 인식을 강화하기 위한 전사적인 커뮤니케이션 기회 
  • 기업 보안을 위한 Akamai의 지속적인 기타 노력과 네트워크 보안 업계에서 Akamai의 입지 

사례 연구:

다음은 Akamai의 직원 빌 브레너(Bill Brenner)가 Akamai의 보안 교육에 참가한 소감을 1인칭으로 기술한 것입니다. Senior Program Manager인 브레너(Brenner)는 기사, 팟캐스트, 비디오, 블로그 등 각종 미디어를 통해 Akamai의 보안을 위한 노력을 알리는 일을 하고 있습니다.

지난 10년 동안 InfoSec에 대한 내용을 기고하고는 있지만 아직도 부끄러운 순간들이 있습니다. 작년에 저는 오래된 소셜 미디어 사기 한 가지에 속아 넘어간 적이 있었어요. 제가 저에 대해 악의적인 욕을 적은 트윗을 봤는지를 한 동료가 트위터 쪽지로 물어봤고, 그 메시지에 동봉된 링크를 클릭하고 만 겁니다. 알고 보니 그 동료의 트위터 계정이 해킹당해 그의 연락처에 있는 사람들에게 비슷한 메시지가 일괄적으로 보내진 것이었죠. 링크를 다시 클릭하고 나서 저는 제 계정과 제 컴퓨터에 손상을 줄 수 있는 일을 했다는 사실을 알게 되었습니다. 링크를 클릭한 순간, 저는 제 컴퓨터와 트위터 계정에 문제가 일어날 수 있겠다고 느꼈습니다.

몇 년 후, 비슷한 실수로 옛 친구를 가장한 어떤 사람으로부터 이메일로 받은 공상과학 관련 사이트 링크를 클릭한 적도 있었습니다. 그날 5백 개에 달하는 맬웨어가 제 노트북에 다운로드되었고, 대부분은 포르노 애드웨어와 허위 주식 정보 팝업 창을 화면에 계속 띄우는 것들이었죠. 그 일을 수습하느라 몇 시간을 보냈고 우리 사무실 사람들에게 큰 웃음을 주었습니다. 

두 사건 모두 근무하던 회사에서 보안 교육을 전혀 받지 못해서 발생한 일이었습니다. 보안 관련 글을 기고하는 저 역시 이러한 점에선 예외가 아니었죠. 회사 치원의 보안 인식에서 보면, 공격이 진행되고 있을 때는 보안 경고가 발송되지만 정작 보안 유지를 위한 기본적인 모범 사례에 대한 교육은 없었습니다.

Akamai에 출근한 첫날, 오리엔테이션에서 거의 한 시간 정도를 이 주제에 대해서만 다루었습니다. 수년간 직원들을 대상으로 보안 교육의 중요성에 대한 글을 여러 차례 쓰긴 했어도 실제로 교육을 받은 것은 처음이었죠.

기업의 보안 교육이란 천편일률적으로 시행할 수 있는 것이 아닙니다. 각 기업마다 필요한 내용이 다르며, Akamai 역시 마찬가지입니다. 우리는 구체적인 내용으로 교육을 실시했고, 이에 대해서는 여기서 다루지는 않겠습니다. 하지만 대다수의 지침이 기업과 업계를 불문하고 적용할 수 있는 매우 기본적인 것들이었습니다. 

예를 들어, 

친구 및 가족들과 소통할 때는 IM(인스턴트메신저) 앱을 사용해도 괜찮다고 합니다. 그러나 업무와 관련된 내부 의사소통용으로는 보호 기능이 강화된 별도의 특정한 IM 도구를 사용해야 합니다. 

정기적으로 다양한 프로그램용 보안 패치를 배포하고, 가끔은 화면에 새 업데이트를 설치하라는 버튼을 누르라는 상자가 나타나기도 합니다. 교육 세션에서 업데이트 요청이 있으면 주의를 기울여 신경 써야 한다는 점이 분명히 교육되었습니다. 또한 권위 있는 출처로부터 업데이트하라는 교육도 시행됩니다. 결론은, 화면에 나타나는 팝업 창은 위험한 존재라는 것입니다.

컴퓨터를 두고 자리를 비울 때는 타인이 데이터나 애플리케이션에 액세스하지 못하도록 화면을 잠가야 합니다. 둘째 날, 컴퓨터에서 애플리케이션을 몇 개 실행한 상태에서 자리를 비운 적이 있었는데 돌아와 보니 모니터에 포스트잇으로 "화면 보호기 사용 권장(Screen savers FTW)"이라는 메모가 붙어 있었습니다.

포스트잇 메모와 관련해서도 암호 또는 기타 권한과 관련된 데이터는 메모에 적어두지 말라는 지시를 받습니다.

ID 카드를 소지하지 않은 사람이 회사 건물이나 기타 보안 구역으로 들어오는 것을 목격할 경우 우리는 상호 연락, 기업 보안 팀 또는 인증 도구(동료, 직원 전화번호부 등) 중 하나를 통해 신원이 제대로 파악되었는지 확인해야 할 책임이 있습니다. 

이 밖에도 당사의 교육 프로그램에서 제공하는 정보는 매우 많으며, 이러한 정보는 다른 기업에서도 채택한다면 이점을 누릴 수 있는 기본 보안 지침의 훌륭한 본보기라 할 수 있습니다.