[보안맨] 정보보호 교육

안녕하세요, 보안맨 입니다.

이번에 소개해 드릴 주제는 ‘정보보안 임직원 인식 교육’ 입니다. 보통 보안 실무자 분들께서 임직원 보안 인식 향상의 주된 방안으로 정보보호 교육을 생각하시는데요. 그 밖에 보안 포스터 게시, PC 보안 화면 보호기 설정, 임직원 사무공간 점검, 스팸 메일 모의 훈련, 상벌 규정 등 다양하고 체계적인 방안을 통해 정보보호 인식 향상을 이끌어 내는 기업이 많아지고 있습니다.

정보보호 교육은 현재 코로나 바이러스 19 사태에 따라 직원 집체 교육이 어려워져 온라인 교육으로 많이 전환하여 운영하실 것 같습니다. 금융권의 경우, ‘금융보안원’이라는 전문 보안 기관의 회원사로 가입하시면, 양질의 교육 프로그램을 온라인으로 임직원들에게 제공할 수 있습니다.

ISMS-P (정보보호 및 개인정보보호 관리체계) 에서 정의하는 ‘정보보안 임직원 인식 향상’의 목표는 아래와 같습니다.

임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립/운영하고, 그 결과에 따른 효과성을 평가해야 한다.

이번 글에서는 정보보호 교육을 크게 두 가지 관점으로 다루고자 합니다.

• ●교육 계획 수립 및 경영진 승인

필자는 전자금융감독규정 하위 교육 관련 조문 근거에 따라, 임직원의 직무 특성을 고려해 양질의 교육 프로그램을 제공해야 했습니다.

최소 연 1회 직원 직무 별 특정 이수 시간을 충족해야 하므로, 교육 시행 수 개월 전부터, 예산 관련 부서, 다른 교육 주관 부서 등과 예산, 교육 시기 등을 논의 했었습니다.

이는 정보보안 교육 외, 장애인 인식 교육/성희롱 교육 등 전사 단위로 진행하는 교육 일정과 서로 겹치지 않게 해 직원들에게 부담이 되지 않고자 했기 때문 입니다.

Figure1. 정보보호 연간 활동 계획서 (예)

관련 연간 활동 계획서는 연초 1회 경영진에게 보고 되었습니다.

한 가지 아쉬웠던 점은, 필자의 회사에서는 정보보호 교육 예산이 생각보다 많이 편성되지 않은 점이었습니다. 최신 보안 위협, 당사 IT (보안) 규정, 법적 요구사항 등을 고려해 직무별 별도 교육 프로그램을 제공하고 싶었지만, 다른 IT 투자 아이템에 밀려, 적절한 예산이 책정되지 못했습니다. 임직원들의 정보보호 인식 중요성은 아무리 강조해도 지나치지 않으므로, 경영진 / IT 의사결정권자 등 과 원만한 의사소통을 통해 교육 프로그램을 개선할 필요가 있겠습니다.

• ●정기적인 교육 실시

필자는 아래와 같이 두 가지 타입의 보안 교육 중 주로 연간 교육에 무게를 두고 업무를 진행했습니다.

a. 전 직원 대상 연간 교육 (정기)

정보보호 교육 관련 절차서, 위 유관 부서 협의 내용 등을 고려해, 보통 매년 교육 프로그램을 제공해주는 업체를 선정 했습니다. 내부 구매 절차 상, RFP (Request for Proposal)를 마련할 필요는 없었지만, 업체와 명확한 커뮤니케이션을 진행하고, 저희 측의 필요한 내용이 누락되지 않도록 간단히 요구사항 문서를 작성/정리 했었습니다. 이때 고려되었던 포인트는 아래와 같습니다.

- 정보보호 교육 진행 배경/목적

- 사업 기간 (또는 프로그램 제공 기간 incl. After Service)

- 추진 일정

- 요청 사항

(예시1) 시험 문제, 설문지 온라인 제공

(예시2) 수료증 제공

(예시3) 내부 직원 정보 (이메일, 성명) 제공에 따른 안전한 관리, 파기

(예시4) 임직원 교육 독려 기능 제공

- 산출물 목록

업체 선정 이후, 긴밀한 상호 협조를 통해 교육 프로그램(웹사이트)이 요구 사항대로 구축 되었는지 점검 했습니다. 최소 2주 전 구축을 마무리하는 것으로 목표로 했습니다.

교육 프로그램 시행 1주 전, 전 임직원에게 전사 공지 메일을 전송했습니다.

Figure2. 전사 정보보호 교육 실시 관련 공지 메일 (예)

한 달여 기간 동안 전 직원을 100% 교육 수강, 시험, 설문까지 모두 완료 시키는데 상당한 애로사항이 있었습니다. 이 때, 각 개인 직원에게 알림 문자, 이메일을 통해 지속적으로 안내하는 한편, 각 부서장님에게 부서별 현재 진척상황을 주기적으로 전달하여 부서원들을 독려하도록 안내 했습니다.

최종 100% 교육이 완료된 후, 정보보호실장님께 교육 완료 보고를 진행했습니다.

단순히, 전 직원이 수료했음에 그치지 않고, 설문 결과를 일괄 취합, 분석해 개선 필요한 경우, 간단한 향후 계획을 포함해 보고 했습니다.

필자의 경우, 주로 회사 사용자 보안 정책에 대한 쉬운 사례 중심의 교육이 진행되었으면 좋겠다는 형태의 피드백을 많이 받았습니다. 당시 망분리 구축 진행 중이서, 보완 추진 계획으로, 망분리 이해에 관한 웹툰을 전달해 긍정적인 반응을 얻었던 경험이 있습니다.

b. 신규 입사자 교육 (비정기)

신규 입사자 분들 중에는, 경력자 분들도 있지만, 사회 초년생인 분들도 많이 계셨습니다. 필자

의 경우, 타 부서 요청사항으로 집체 교육 방식으로 진행해야 했습니다. 따라서 딱딱하고 글이 많은 형태의 교육 자료보다는 흥미를 불러일으키며, 핵심 보안 규칙이 각인될 수 있도록 자료를 구성했습니다.

Figure3. 보안 교육 자료 중 일부 (예)

교육 주제 선정 시, 아래와 같은 포인트를 고려했습니다. 즉 회사 내/외부 정보에 대해 관리 책임은 교육을 듣는 본인에게 있음을 명확히 밝혔습니다.

- 정보보안이란?

- 정보보안이 중요한 이유

- 정보보안 활동에 책임이 있는 직원은 누구 인가요?

- 신규 입사자 준수 사항

e.g. 인터넷 사용 시 보안, 이메일 보안, 패스워드 및 ID 안전한 관리, 기밀 정보 보안 등

교육 진행 중간중간 Quiz를 넣고, 맞추신 분에 한해 소정의 상품을 제공해 교육 몰입도를 더욱 높일 수 있었습니다.

교육을 진행한 후, 교육 참석 인원들에 대해 참여 기록을 증빙으로 남겼습니다.

기고글이 도움이 되셨나요?

그 외에도 궁금하신 사항은 댓글을 남겨주세요.

긴 글 읽어 주셔서 감사합니다.