사람들은 오랫동안 정보 보안에서 ‘가장 약한 고리’라는 비난을 받아왔지만, 사용성과 정보 보안 교육의 부족이 실제로 문제의 핵심이라면 어떨까요? 웬디 M. 그로스먼이 조사합니다 정보보안교육.
“나는 실수를 하는 것이 인간이라는 것을 알고 있습니다.” 아가사 크리스티의 분신인 아리아드네 올리버는 1969년 저서 할로윈 파티에서 이렇게 말했습니다. “하지만 인간의 실수는 컴퓨터가 시도하면 할 수 있는 일에 비하면 아무것도 아닙니다.” 훌륭한 대사였지만, 한 가지가 있었습니다. 아무리 규모가 크더라도 모든 컴퓨터 오류 뒤에는 한 명 이상의 인간이 있다는 것입니다.
ISACA 컨퍼런스 위원회 위원이자 First Base Technologies 설립자인 Peter Wood는 “보안 관점에서 볼 때 고전적인 인적 오류가 내가 방문한 대부분의 조직에서 여전히 가장 큰 취약점입니다.”라고 말했습니다.
우드는 사회 공학과 직원 교육을 전문으로 합니다. “동전의 반대편”입니다. 그가 대화한 많은 조직이 사용자의 어리석음을 비난하지만, 그는 이에 동의하지 않습니다. “그들은 제대로 훈련받지 못했거나, 옳은 일을 함으로써 잘못을 저지르고 있기 때문에 일을 하는 방법을 이해하지 못합니다.”
예를 들어, 정보 보안 관점에서 사용자가 내부 기밀 이메일을 개인 웹 이메일 계정으로 전달하거나 내부 데이터를 암호화되지 않은 플래시 드라이브나 노트북으로 집으로 가져가는 것은 나쁜 일이지만, 이러한 사용자는 업무를 마무리함으로써 좋은 직원이 되려고 노력하고 있습니다. 한편, 사용자는 정보 보안 정책을 이해하지 못하거나 적용되지 않는다고 생각하거나 너무 어렵다고 생각하여 정보 보안 정책을 올바르게 준수하지 못하는 경우가 많습니다.
예를 들어, 우드는 비밀번호에 대한 자주 구현되는 표준 정책을 살펴보자고 말합니다. 30일 변경 요구 사항은 메인프레임의 구식 모델을 기반으로 하며, 비밀번호를 해독하는 데 걸리는 예상 시간이 30일이었던 때(현재 Windows 컴퓨터에서는 2분도 채 걸리지 않음)에 만들어졌습니다.
“일반적으로 보안 정책을 설정하는 사람들은 규칙에 따라 8글자, 대문자와 소문자 혼합, 숫자, 기호를 사용하고 Microsoft에서 Windows에서 시행하도록 하지만 사람들이 실제로 기억하기 위해 어떻게 적어야 할지, 그런 종류의 실수에 대해서는 생각하지 않습니다.”
너무 어렵다
이것은 새로운 문제가 아닙니다. 런던 대학교 인간 중심 시스템 그룹의 정보 보안 연구 책임자인 앤젤라 사세는 1990년에 인간 요인 분야에서 경력을 시작했습니다. BT가 내부 헬프 데스크의 급속한 비용 증가를 막으려 했을 때, 회사 사용자가 비밀번호에 대해 왜 그렇게 많은 문제를 겪는지 조사해 달라고 요청했습니다. 사세가 자신의 논문 Users Are Not the Enemy에 작성한 결과에 따르면, 비밀번호 제도는 사용자가 대처하기 너무 어렵다는 결론이 나왔습니다.