넓은 의미에서 보안 인식 교육은 개인이 조직의 보안을 보장하는 데 도움이 되는 특정 관행을 이해하고 준수하도록 하는 것이라 여길 수 있습니다. 이러한 관점에서 보안 인식 교육, 특히 군사 응용 분야에서는 보안의 필요성을 고려할 때 사실상 아주 오랫동안 존재해 왔습니다.

오늘날 보안 인식 교육은 정보 보안, 특히 사이버 보안을 강조합니다. 정보 기술의 급속한 발전과 더불어 사이버 범죄자의 범죄 방법도 혁신했습니다. 이는 직원과 기타 최종 사용자가 안전하게 온라인을 이용하고 자신의 개인 정보와 기업의 정보를 보호하는 방법에 대해 정기적이고 구체적인 교육이 필요함을 의미합니다.

이 글은 보안 인식 교육과 그 중요성을 이야기합니다. 조직에서 보안 인식 교육을 실시하는 이유, 수년에 걸쳐 발전한 방법, 사이버 공격 및 기타 보안 위반의 위협을 줄이는 데 도움이 되는 법을 다룹니다. 마지막으로 효과적인 보안 인식 프로그램을 제작하기 위한 몇 가지 도구를 소개합니다.

조직에서 보안 인식 교육을 실시하는 이유는?

사이버 보안 인식 교육은 피싱 공격과 사회 공학으로 인해 최종 사용자에게 가해지는 심각한 사이버 보안 위협을 최소화하는 데 중요한 역할을 합니다. 주요 교육 주제는 일반적으로 비밀번호 관리, 개인 정보 보호, 이메일/피싱 보안, 웹/인터넷 보안, 물리적 보안 및 사무실 보안 등이 있습니다.

보안 인식 교육에 대한 비즈니스 사례도 있는데, Aberdeen Group의 보고서인 보안 인식 교육: 작은 투자, 큰 위험 감소에서 확인할 수 있습니다. 연구원들은 기업의 보안 책임자와 워크숍을 진행하여 보안 인식 및 교육에 투자하는 이유를 알아봤습니다. 발견한 사항은 다음과 같습니다.

  • 91%는 보안 인식을 통해 사용자 행동과 관련된 사이버 보안 위험을 줄임.
  • 64%는 보안 인식 교육을 통해 사용자 행동을 변경함.
  • 61%는 규제 요건 해결을 위해 보안 인식 교육을 실시함.
  • 55%는 내부 정책을 준수하기 위해 실시함.
사이버 보안 인식 교육 실시 이유

 

이러한 통계에서 알 수 있듯이 일부 조직은 단순히 외부 또는 내부 요구 사항을 준수해야 한다는 이유로 보안 인식 교육을 실시합니다. 그러나 이 교육은 재정적으로도 의미가 있습니다. 보고서는 “보안 인식 교육에 대한 투자를 늘리면 피싱 공격의 연간 위험이 약 50% 감소하고 연간 투자 수익이 약 5배 증가합니다.” 라고 밝혔습니다.

보안 인식 교육의 진화

사이버 보안 인식 교육의 핵심 개념은 새롭지 않지만 비교적 최근에서야 주류 의식이 되었습니다. 2004년 국가 사이버 보안 인식의 달이 시작된 것이 이러한 현상을 뒷받침하는 한 가지 증거입니다. 국가 사이버 보안 연합(National Cyber ​​Security Alliance)과 미국 국토안보부(US Department of Homeland Security) 이니셔티브는 사람들이 온라인에서 더 안전하게 보안을 유지하도록 돕고 바이러스 백신 소프트웨어 정기 업데이트 같은 실천을 장려하기 위해 조성되었습니다.

그 이후로 매년 사이버 보안 인식의 달은 다른 국가에서 유사한 행사를 행하도록 영감을 주었으며 주제와 콘텐츠를 확장하고 산업계와 정부, 대학, 비영리 단체, 일반 대중의 참여를 늘렸습니다.

보안 인식 교육의 초점, 방법, 효과는 수년에 걸쳐 크게 변했습니다. 2004년에는 대부분의 프로그램이 규정 준수의 필요성, 즉 단순히 규제 요구 사항을 만족시키기 위해 추진되었습니다. 오늘날에는 사이버 보안 인식 교육이 조직의 위험을 관리하고 완화하는 수단으로 여기도록 변화했습니다.

그 과정에서 훈련 방법도 성숙해졌습니다. 2004년에는 대면 교육 세션 또는 오랫동안 진행되는 PC 교육 같은 연례 프레젠테이션이 지배적이었습니다. 안타깝게도 이러한 긴 시간 동안 진행되고 드물게 행해지는 세션은 충분한 학습으로 이어지지 않습니다. 개별 주제에 대한 짧고 집중적인 교육으로 점진적으로 변화하며 개선되었지만 이러한 교육은 여전히 ​​자주 이뤄지지 않아 시간이 지남에 따라 배운 내용은 잊혀질 수 있습니다.

정보 보안 교육의 진화

 

2014년경 보안 인식 교육은 지속적인 교육 및 개선으로 전환되었으며 프로그램에는 지속적인 평가와 교육 주기가 포함됐습니다. 최근에는 “적시” 및 상황별 교육으로 발전되어 안전하지 않은 웹 브라우징처럼 낮은 수준의 사이버 보안 관련 행동을 보이는 최종 사용자에 대응하여 교육을 시작했습니다.

최종 사용자 교육 도구

오늘날 정보보안 전문가는 Proofpoint의 Phish™ 보고서 현황에서 확인할 수 있듯이 다양한 도구를 활용해 최종 사용자를 교육합니다. 컴퓨터 기반 인식 훈련은 지배적인 도구이자 계속해서 인기를 얻고 있습니다.

  • 79%가 컴퓨터 기반 인식 훈련을 사용함.
  • 68%가 피싱 시뮬레이션 연습을 사용함.
  • 46%가 인식 캠페인(비디오 및 포스터)을 사용함.
  • 45%가 대면 보안 인식 교육을 사용함.
  • 38%가 월별 알림 또는 뉴스레터를 사용함.

잘 설계된 교육 프로그램은 종종 이러한 도구 중 몇 가지를 사용합니다. 시간이 지남에 따라 진행 상황을 추적하고 측정할 수 있도록 체계적이고 조직적인 방식으로 이러한 도구를 배포하는 것 역시 마찬가지로 중요합니다.

Proofpoint의 매우 효과적인 교육 솔루션은 학습자를 참여시키고 행동을 변화시키기 위해 학습 과학 원리로 디자인된 지속적인 교육 방법론을 활용합니다.

Tools for Training End Users

 

카네기 멜론 대학교에서 수행한 연구는 학습 과학 원리 사용 방식이 효과적임을 입증했습니다.

보안 인식 교육의 효과

Proofpoint 자체 연구 및 결과 스냅숏은 다음과 같은 설득력 있는 결과를 보여줍니다.

95%

2년 동안 한 금융 기관은 멀웨어 및 바이러스가 95% 감소했으며 사이버 보안 위협에 대한 인식이 높아졌다고 기록.

90%

미국 북동부의 한 대학은 멀웨어 및 바이러스의 현저한 감소, 피싱 공격 성공률 90% 감소, 지원 요청의 현저한 감소, 보안 사고 및 공격을 보고하는 사용자 수 증가, 보안 문제에 대한 인식 증가를 보고함. 미국 북동부의 한 대학은 멀웨어 및 바이러스의 현저한 감소, 피싱 공격 성공률 90% 감소, 지원 요청의 현저한 감소, 사고 및 공격을 보고하는 사용자 수 증가, 보안 문제에 대한 인식 증가를 보고함.

89%

복리 후생 조직은 Proofpoint의 평가 및 교육 모듈을 보안 인식 및 교육 프로그램의 핵심 구성 요소로 활용하여 피싱 취약성을 89% 이상 낮췄다는 것을 인지함.

80%

보안 인식 교육을 통해 시 공무원은 1년 동안 평균 80%의 공격 메일 클릭률을 줄이고 정교한 전신 송금 사기 공격을 피할 수 있었음.

보안 인식 교육 프로그램 만들기

교육 담당 직원과 사이버 보안 전문가는 각각 고유한 전략을 취합니다. 사용자는 사이버 보안 전문가가 아니기 때문에 정보는 피싱을 시각화하고 이해하는 데 도움이 되는 매력적인 방식으로 전달되어야 합니다.

보안 인식 프로그램에는 다음과 같은 몇 가지 기능이 있어야 합니다.

  • 콘텐츠: 콘텐츠는 일반 청중이 쉽게 소화하고 이해할 수 있어야 하며 챕터, 강의 등 체계적인 방법으로 정보를 제공해야 함.
  • 경영진 지원: 경영진은 사용자가 절차를 따르도록 할 책임이 있으므로 교육 자료에는 부서 전체에 배포할 수 있는 콘텐츠가 있어야 함.
  • 잦은 프로그램 업데이트: 사이버 보안 환경은 변화하므로 프로그램 콘텐츠도 변화해야 함. 최신 위협을 다루기 위해 매년 콘텐츠를 검토하고 새로 고쳐야 함.
  • 테스트: 실제 피싱 이메일 및 사회 공학 시나리오로 사용자를 테스트하면 위협을 식별하는 데 도움이 됨. 예제 연습은 실제 공격을 모방해야 함.
  • 보고: 보고는 테스트와 통합된 것으로 링크를 클릭하여 중요한 데이터를 제출한 사람을 관리자에게 보고함. 보고서로 추가 교육이 필요한 직원을 식별함.
  • 설문 조사: 교육 후 관리자, 임원, 직원에게 설문 조사를 전송해 개선을 위한 피드백을 요청.

보안 교육을 조직하고 개발하는 방식에 따라 그 효과가 결정됩니다. 콘텐츠 작성 및 구성법에 대한 전략이 필요합니다. 개발을 위한 예시 모델은 다음과 같습니다:

  • 정식 콘텐츠10%: 기업 교육이지만 정식 콘텐츠는 교육 자료에서 최소한을 차지해야 함. 정식 콘텐츠는 읽거나 소화하기 어려울 수 있지만 특정 사실 및 사례에 중요할 수 있음.
  • 일상적인 콘텐츠20%: 웨비나, 비디오, 공동 작업 같은 일상적인 콘텐츠는 사용자의 참여를 더 잘 유도함. 이 콘텐츠는 대부분이 교육 소스가 아니어야 하지만 정식 콘텐츠 이상으로 사용자가 개념을 더 잘 이해하는 데 도움이 될 수 있음.
  • 실제 경험 70%: 이 섹션의 콘텐츠는 조직의 문화와 경험에 맞게 맞춤화되어야 함. 이러한 유형의 콘텐츠는 일반적으로 모든 직원이 교육을 최대한 활용할 수 있도록 타사에서 개발함.

보안 인식 교육 프로그램 만들기

교육 자료에 포함된 내용은 정보를 담고 있어야 하지만 피싱 공격을 경험한 적이 없는 사람들을 위한 내용도 포함해야 합니다. 피싱 공격에 대해 훨씬 더 많은 교육을 받은 사람들이 있더라도 초보자를 위한 내용이 있어야 합니다. 사용자가 세부 사항을 더 깊이 파고들어 더 많은 것을 배우고 싶어할 만큼 충분히 매력적이어야 합니다. 교육은 사람들이 기술을 구축하기 위한 것이며 이 기술은 피싱 및 사회 공학을 탐지하며 공격자가 비즈니스를 공격하는 캠페인을 만드는 다양한 방법을 알지 못하는 사용자를 위한 것입니다. 사용자는 심지어 피싱 및 사회 공학 기법으로부터 개인 계정을 보호하는 방법을 배울 수 있기 때문에, 기업 정보 보안 교육으로 추가적인 혜택을 누릴 수도 있습니다.

Proofpoint는 보안 인식 및 교육 프로그램에 대한 제품 세트를 제공합니다. 이 제품군은 지식 평가와 피싱 시뮬레이션부터 대화형 교육, 강력한 보고서 및 사용하기 쉬운 대시보드를 포함합니다.

피싱 방지 교육 세트

Anti-Phishing Training Suite

Proofpoint의 고객은 피싱 방지 교육 제품군과 지속적인 교육 방법론을 사용하여 피싱 공격 성공률 및 멀웨어 감염을 최대 90%나 감소시켰습니다. Proofpoint의 고유한 4단계인 평가, 교육, 강화, 측정 접근 방식을 피싱 인식 교육 프로그램의 기초로 만들어보세요.

모의 피싱 공격

Simulated Phishing Attacks

ThreatSim® 피싱 시뮬레이션을 통해 직원이 피싱 및 스피어 피싱 공격에 얼마나 취약한지 빠르고 효과적으로 평가해 보세요. 시뮬레이션 피싱 공격에 당한 최종 사용자에게는 자동으로 배움의 순간(Teachable Moment)이 제공됩니다. 이러한 “적시” 지침으로 사용자에게 자신이 무엇을 잘못했는지 알려주고 향후 위협을 방지하는 데 도움이 되는 팁을 제공할 수 있습니다.

보안 인식 교육

사이버 보안 교육

보안 인식 교육 프로그램에 전사적 피싱 방지 교육과 표적 피싱 방지 교육을 포함할 것을 권장합니다. Proofpoint의 고유한 접근 방식과 쌍방향 교육 모듈은 유연한 주문형 형식으로 일상에서 업무 중단을 최소화하여 효과적인 사이버 보안 교육을 제공하는 데 도움이 됩니다.

PhishAlarm® 이메일 리포팅 툴

PhishAlarm Email Reporting Tool

고객 유지를 개선하기 위해서는 모범 사례를 강화하는 것이 중요합니다. Proofpoint의 PhishAlarm® 이메일 리포팅 툴을 사용하면 최종 사용자가 마우스 클릭 한 번으로 의심되는 피싱 이메일을 보고하여 긍정적인 행동을 강화할 수 있습니다. 선택 사항인 PhishAlarm Analyzer 이메일 우선 순위 지정 도구는 PhishAlarm의 기능을 최대화하여 보고된 이메일에 대한 응답 및 수정에 드는 노력을 간소화합니다.

Proofpoint 보안 인식이 다른 제품과 다른 이유

보안 인식 교육은 사이버 보안의 인적 요소와 함께 작동하기 때문에 조직이 사용자와 연결될 수 있는 회사를 찾는 것이 중요합니다. Proofpoint의 교육은 피싱 공격을 탐지하고 중지하는 데 필요한 정보를 직원, 공급업체, 계약업체에게 제공하기 위해 개발되었습니다. Proofpoint는 여러 가지 요소에서 차별화 됩니다.

  • 입증된 결과. 보안 교육은 클릭률을 최대 50%까지 줄이는 것으로 나타남.
  • 실제 사례. 피싱 이메일을 보다 효과적으로 인식할 수 있도록 실제 사례로 직원을 교육함.
  • 더 나은 규정 준수. Proofpoint 교육은 고객 데이터를 작업할 때 적절한 감사 및 기록 보관에 대해 사용자를 교육하여 규정 준수를 향상시킴.
  • 사용자 참여. 모든 강의 및 교육 과정은 사용자가 세션을 최대한 활용할 수 있도록 사용자를 참여시키는 방식으로 만들어짐.

FAQ: 보안 인식 교육

보안 인식 교육이란?

보안 인식 교육은 직원들이 직장에서 사이버 위협을 식별하고 피할 수 있게 하는 전사적 이니셔티브입니다. 보안 인식 교육은 인적 오류와 내부자 위협으로 인한 데이터 침해가 발생하지 않게 하는 효과적인 사이버 보안의 구성 요소입니다.

보안 인식 교육 모범 사례는 어떤 것이 있나요?

서로 다른 사이버 보안 인식 수준을 가진 수백 또는 수천 명의 직원을 교육하려면 전략적 접근 방식이 필요합니다. 모든 조직에는 각자의 고유한 방법이 있지만 보안 인식 교육은 지속적인 프로세스로서 사이버 보안 환경의 변화를 고려하여 커리큘럼을 자주 검토하고 업데이트하는 것이 중요합니다.

보안 인식 교육의 주요 목적은 무엇인가요?

데이터 유출은 해결하는 데 비용이 많이 들며 주로 직원을 주요 타깃으로 하여 위협합니다. 위협을 감지할 수 있도록 직원을 교육하면 피싱 및 랜섬웨어의 위험을 최소화하여 개인 식별 정보(PII), 지적 재산(IP), 수익, 브랜드 평판, 고객 충성도의 손실을 방지할 수 있습니다.

보안 인식 교육의 이점은?

보안 지식으로 직원의 역량을 강화하면 데이터 유출 위험이 줄어들고 추가적인 이점을 누릴 수 있습니다. 위협을 식별하도록 직원을 교육하면 데이터 침해로 인한 업무 중단을 방지하고 조직이 규정을 준수하도록 보장하며 브랜드에 대한 고객 신뢰도를 높일 수 있습니다.

보안 인식 교육에 포함되어야 하는 사항은 어떤 것이 있나요?

보안 인식 교육 자료에는 읽기 모듈, 동영상, 실습, 효과 보장을 위한 테스트가 포함됩니다. 조직이 보안 인식 교육 프로그램을 구성하는 방식은 사용자 기반에 따라 고유할 수 있지만 누구나 자유롭게 액세스할 수 있어야 합니다.

보안 인식 교육은 얼마나 효과적인가요?

보안 인식 교육은 매우 효과적이며 오늘날에는 EU의 유럽 연합 일반 데이터 보호 규칙(GDPR)의 규정 준수 요구 사항이 되었습니다. 보다 나은 사이버 보안 교육 덕분에 수년 동안 조직에서 데이터 유출이 급격히 감소했습니다.

가장 중요한 보안 인식 교육 주제는 무엇인가요?

모든 보안 인식 교육은 피싱, 패스워드 보호, 안전한 SNS 사용, 사회 공학, 물리적 보안, 공용 Wi-Fi 안전, 원격 근무 지침과 같은 일반적인 주제를 포함해야 합니다. 조직은 보안 교육을 맞춤화하여 조직의 가장 큰 사이버 보안 위협에 대해 다뤄야 합니다.

보안 인식 교육 비용은 어느 정도 소요되나요?

모든 조직에는 자체 사이버 보안 전략이 있으며 많은 직원이 근무하고 있습니다. 일부 직원은 다른 직원보다 더 많은 교육이 필요합니다. Proofpoint는 특히 사이버 보안 요구 사항에 맞게 교육 자료를 사용자 맞춤화합니다. 자체 보안 인식 교육 비용은 당사에 문의하세요. Proofpoint를 체험해보고 싶다면 지금 무료 보안 인식 교육 체험판을 요청하세요!

보안 인식 및 교육 플랫폼의 핵심 기능과 이점

Proofpoint의 보안 인식 및 교육 플랫폼에 대해 알아보세요. 실시간 보고, 사용자 맞춤화 가능한 콘텐츠, 다국적 지원 등의 이점과 기능에 대해 알아보세요.

보안 인식 모듈, 동영상, 자료

직원을 위한 Proofpoint의 보안 교육으로 지식 유지를 개선하고 행동을 용이하게 하며 위험을 줄일 수 있습니다. 교육 동영상, 자료 및 모듈에 대해 알아보세요.

보안 인식 교육을 위한 비즈니스 인텔리전스 보고

Proofpoint의 최신식 모든 기능을 보유한 보고 기능을 통해 사용자 지식을 쉽게 벤치마킹, 추적, 추세화하고 진행 상황을 평가하며 보안 인식 교육 ROI를 측정할 수 있습니다.