사이버보안 솔루션 분야 글로벌 선도기업인 트렌드 마이크로(Trend Micro Incorporated)(TYO: 4704 / 도쿄증권거래소: 4704)가 원격근무 근로자들이 사이버보안에 어떻게 대응하는지를 보여주는 조사 결과를 1일 발표했다.
원격 근무자들의 거의 4분의 3(72%)이 제재가 시작된 이후에 자기 조직체의 사이버보안 정책을 더 인지하게 됐다고 응답했으나 많은 근로자는 제한된 이해 또는 자원의 제약 때문에 규칙을 어기고 있는 것으로 나타났다.
트렌드 마이크로는 ‘공상에 빠지다(Head in the Clouds)’ 제하의 연구에서 27개국의 원격근무 근로자 1만3200명을 대상으로 자기 회사의 사이버보안 및 IT(정보기술) 정책에 대한 자세에 관해 인터뷰한 내용에서 주요 골자를 추출했다. 조사 결과, 기업체들은 현재 직원들의 사이버보안에 대한 인지도가 높아서 과거 어느 때 보다 더 많은 혜택을 보고 있는 것으로 나타났다.
이 조사에서는 기업체들이 보안적으로 안전한 관행을 확실히 이행하려면 교육 훈련에 대한 접근방식이 매우 중요한 것으로 나타났다. 조사 결과, 응답자의 85%가 IT팀의 지시를 진지하게 받아들이고 81%는 조직체 내의 사이버보안은 자신들에게도 일부 책임 있다고 응답했다. 또한 응답자의 64%는 회사 기기로 업무와 무관한 애플리케이션을 사용하는 것은 보안 위험성이 있다는 것을 인정하고 있다. 하지만 대부분의 직원이 위험성을 이해한다고 해서 그들이 규칙을 준수한다는 것은 아니다. 구체적 내용은 아래와 같다.
직원의 56%가 회사 기기로 업무와 무관한 애플리케이션을 사용했다고 인정했으며 그들 중 66%는 실제로 그 애플리케이션에 회사 데이터를 업로드했다. · 응답자의 80%가 업무용 노트북을 개인적 인터넷 검색을 위해 사용했다고 털어놨으며 그들 중 36%만이 접속하는 웹사이트를 완전히 제한한 것으로 나타났다. · 응답자의 39%가 가끔 또는 항상 개인 기기로 회사 데이터에 접속한다고 답했는데 이는 거의 확실히 회사의 보안 정책을 위반하는 것이다. · 응답자의 8%가 업무용 노트북으로 음란물을 보거나 접속하고 7%는 다크 웹(dark web; 인터넷 지하세계)에 접속한다고 인정했다.
많은 사용자는 아직 보호보다 생산성을 우선시하고 있다. 응답자의 3분의 1(34%)은 하고자 하는 일을 완수하는 데만 열중해 그들이 사용하는 앱이 IT의 제재를 받고 있는 것인지 여부에 대해 깊이 생각하지 않고 있다고 인정했다. 또 29%는 회사가 제공한 솔루션이 ‘난센스’이기 때문에 업무와 무관한 애플리케이션의 사용을 면할 수 있다고 생각하는 것으로 나타났다.
에지 힐 대학교(Edge Hill University) 사이버심리학 아카데믹(Cyberpsychology Academic)의 린다 K 케이(Linda K. Kaye) 박사는 “직원들은 개별적으로 여러 자기 차이점들이 있다.
개별 직원의 가치관과 조직 내에서의 책임감은 물론 개성의 여러 측면 등 이 모든 것들이 직원들의 행동을 유발하는 중요한 요소들이다. 사이버보안 교육 훈련과 관행을 더 효과적으로 개발하기 위해서는 이러한 요소에 더 많은 관심을 기울여야 한다. 결국 이렇게 하면 기업이 직원들에게 더 효과적일 수 있는 맞춤형 교육 훈련을 도입할 수 있게 될 것”이라고 말했다.
바라트 미스트리(Bharat Mistry) 트렌드 마이크로 수석 보안전략가는 “오늘날과 같이 서로 연결된 세계에서 직원들이 사이버보안 지침을 뻔뻔스럽게 무시하는 것은 더 이상 생존 가능한 옵션이 될 수 없다”며 “그처럼 많은 직원들이 회사 IT팀의 지침을 진지하게 받아들이는 것은 고무적인 일이다. 그렇지만 사이버보안을 속 편하게 무시하든가 자기에게는 적용되지 않는다고 생각해 규칙을 자주 어기는 직원들이 있다. 이 때문에 널리 적용되는 보안 인지도 프로그램은 부지런한 직원들이 가끔 처벌을 받게 되므로 애당초 가망이 없는 일이다. 직원들에게 맞게 설계된 맞춤 교육 프로그램이 더 효과적일 것”이라고 말했다.
‘공상에 빠지다’ 연구에서는 직원들의 위험성에 대한 태도를 포함해 사이버보안 측면에서의 그들의 행동 심리를 조사했다. 이 연구는 조직체들이 적합한 직원에게 올바르게 맞춘 사이버보안 전략을 세울 수 있도록 하기 위한 몇 가지 공통 정보 보안 ‘외적 인격’을 제시한다.