보안 교육의 필요성에 대해서 고민을 하게 되는데...
교육의 필요성에 대해서 두 가지 견해 중 무엇이 맞는지 고민을 해 보게 되었다.
(1) 보안은 기술력으로 지키는 것이 아니라 사람이 지키는 것이다.
- 기술력을 높이고 막기 위해서 돈을 투자하는 것보다, 그걸 이용하고 사용하는 사람들의 인식을 바꾸는게 효과적이다.
- 기술로 모든 것을 다 막을 수 없다. 따라서 사람들이 책임감을 가지고 보안을 지켜야 한다.
(2) 보안 교육의 효과가 낮다. 기술로서 막아야 한다.
- 아무리 교육을 한다고 해도, 사람이 할 수 있는 일에는 한계가 있다.
- 결국은 하지 말아야 하는 것은 아예 할 수 없게 기술적으로 막는 것이 효과가 있지, 사람에게 아무리 말로 해 보아야 어길 사람은 모두 어긴다.
보안 교육이 필요하다는 것은 사실 이번 보안 교육을 하면서도 많이 느꼈다.
구성원들이 무엇을 해야 하고, 무엇을 하면 안되는지 알고 있는것과 모르고 있는 것 중,
알고 있는 경우에는 하지 말아야 하는 행동은 확실히 하지 않고 해야 하는 행동은 확실히 하는 것을 보았다.
(그동안은 인식을 못해 몰라서 못하고 있었다고들...)
보안 일을 하는 사람들은 모두 다 비슷한 고민을 하고 있을지 모르겠다.
당장 눈에 보이는 공격이 들어올 때에는 보안 업무의 필요성에 대해서 그 어느 누구도 반박하지 않는다.
하지만 당장 눈에 보이는 공격이 없을 때의 보안이란...
그저 "내가 업무를 하는데 불편하게 하는 귀찮은 잔소리"정도로 구성원들이 인식을 하는 경우가 많다.
하지만, 보안은 "장마철 맑은 날에 들고 나간 우산"과 같은 존재라서,
우산 없이 나가서 비를 맞는 것을 대비하기 위한 일종의 보험과도 같은 것이라는 것을
지금 당장은 비가 오지 않아 우산을 들고 있는 것이 불편한 사람들에게 알려줘야 하는게 아닐까?
우산이 없으면 잠시 후에 비가 왔을때 크게 불편을 겪을 수 있다는 사실을 주기적으로 인식해 줘야 하는게 아닐까?
댓글 없음:
댓글 쓰기