조직 내 보안인식 제고를 위한 정보보호 퀴즈를 경험하며

현재 들어와 있는 고객사에서는 매달 정보보호의 날을 지정하여 임직원들의 정보보호 퀴즈를 독려하고 있다. 정답을 맞춘 사람 중 n명을 선정하여 소정의 상품을 전달하며 말이다.

 

7월, 8월, 9월까지 3번의 정보보호 퀴즈를 참여하며 개선사항에 대해 생각했는데, 문제와 개선점은 다음과 같다.

 

문제점1. 노션과 같이 모두가 공유 가능한 플랫폼에 정답을 '댓글'로 달게 함으로써, 임직원들이 문제를 제대로 보지도 않고 답을 다는 상황이 발생한다. 특히 이번 9월의 퀴즈를 보며 그걸 확신하게 되었다. 왜냐하면, 퀴즈 중 하나가 답이 분명 1번인데, 댓글에는 모두 3번이라고 도배되었기 때문이다. 이유는 첫번째 댓글을 단 사람이 3번이라고 적었기 때문이다.

 

아마 예측컨대, 초반에 퀴즈를 풀어 댓글을 다는 사람들 중 상당수는 ChatGPT 또는 Gemini 같은 생성형 LLM을 이용하여 답을 도출할 것이다. 문제는 그게 100% 맞다는 확신이 없다는 점이다. 그렇게 도출한 답을 모두가 Ctrl C,V를 하고 있으니 이런 상황이 발생한 것이다. 전형적인 확증 편향의 사례라 할 수 있다.

 

개선점1. 당연히 익명처리를 도입하는 것이 1순위일 것이다. 오답을 넣어도 부끄럽지 않고, 군중심리를 따르지 않도록 유도하는 것이다. 물론 그렇다 하더라도, 같은 팀 내에서는 오프라인으로 "이거 3번 답 뭐야?"라고 하겠지만 말이다. 그리고 여기에 아이디어를 하나 추가한다면, 실시간으로 정답 통계를 보이게 하는 등 게임화 요소를 추가하는 것도 방안일 수 있다. 아니면, 정답자 중 상품 선정하는 방식에 변화를 주는 것이다. 예를 들면, 정답자 중 10명에게 1만원씩 상품군을 준다고 가정하면, 5명은 기존 방식대로 랜덤으로 돌린다. 그래야 시간이 늦었다고 해서 포기하지 않을 테니 말이다. 하지만 다른 5명은 더욱 빨리 정답을 맞출 수록 확률을 높게 가중치를 부여하는 것이다. 그리고 그점을 홍보한다면 더욱 임직원의 관심을 끌어올릴 수 있지 않을까?

 

문제점2. 매달 퀴즈를 낸다는 것은 사실 은근 귀찮은 일일 수 있다. 기껏해야 2~3문제씩만 낸다고 해도 말이다. 근데 내가 볼 때는 이 고객사의 문제들은 보안인식 제고에 있어 적합하지 않다. 출제되는 문제들은 아래의 예시와 매우 흡사하다.

 

<예시1>

데이터 유출로 인해 획득한 사용자 이름 또는 이메일 주소와 해당 암호 목록으로 구성되는 도난당한 계정 자격 증명을 공격자가 수집한 다음, 해당 자격 증명을 사용하여 웹 애플리케이션을 대상으로 대규모 자동 로그인 요청을 통해 다른 시스템의 사용자 계정에 무단으로 접근하는 방식으로, 최근에도 계속해서 문제가 되고 있는 것은?

정답: 크리덴셜 스터핑

 

<예시2>

다음 중 옳은 것은?

① 개인정보 유출이란, ㅇㅇ~

② 개인정보 노출이란, ㅇㅇ~

③ 개인정보 유출 시, 조직은 ~

④ 개인정보가 유출될 경우, ㅇㅇ~

 

이런 형식의 문제가 주를 이루는데, 물론, 크리덴셜 스터핑과 개인정보 유노출은 정말 정말 정말 중요한 개념인 것은 맞다. 그런데 문제는, 저 문제들을 본 일반 임직원들의 입장은 어떠하냐는 말이다. '크리덴셜 스터핑'이라는 용어를 굳이 임직원들이 알아야 할까? 저걸 복사 붙여넣기 하면서 과연 저 단어를 기억할까? 기억할 이유는 있을까? 당연히 없다. 크리덴셜 스터핑이라는 문제를 제출할 때의 의도는 비밀번호 좀 통일하지 마라는 것이고, 그렇다면 저런 정답을 내놓아서는 안될 것이다.

 

객관식의 문제도 마찬가지다. 길면 안된다. 기본적으로 정보보안팀을 제외한 다른 임직원들은 유노출이라는 용어 자체에 관심이 없다는 점을 알아야 한다. 절대 보안 업계에서나 자주 쓰이는 용어를 사용해서는 안된다. 입장 바꿔서 우리가 마케팅 분야, 회계 분야의 용어를 이용한 퀴즈를 푼다고 해서 그걸 왜 기억하냐 이말이다.

 

개선점2. 원칙을 세워야 한다. 답은 항상 간결하게, 보안의 용어를 사용하지 않도록 해야 한다. 문제의 형태가 반드시 교과서, 수험서, 일반 시험에 나오는 것처럼 딱딱해야 할 필요도 없다. 결국 이 정보보호 퀴즈를 하는 목적은 흥미 유발, 인식 제고이기 때문이다.

 

그렇기에 크리덴셜 스터핑의 경우, 다음과 같이 문제를 바꿔보는 것도 방법이다.

 

내가 가입한 모든 서비스는 반드시 비밀번호를 잘 지킬 수 있을까요? (그렇다 / 아니다)

그럼 비밀번호를 모두 통일하면 어떻게 될까요? (언젠가 전부 해킹 당할 수 있다 / 안심할 수 있다)

그럼 비밀번호를 어떻게 관리해야 할까요? (통일한다 / 모두 다르게 한다)

 

물론, 논리의 비약이 있으나, 이 정보보호 퀴즈를 왜 내는지, 그 의도를 생각하며 내야 한다. 그래서 가능한 쉽게, 그들이 이해할 수 있는 언어로 문제를 내는 것이 중요할 것이다.

 

이해하기 쉬운 용어의 문제의 예시로 다음을 하나 더 제시한다.

 

1. 미국 상무부 산하기관에서 제시한 것으로, 2025년 기준 비밀번호는 적어도 몇 자리는 되어야 안전할까요?

① 8

② 10

③ 12

④ 14

 

취약점 진단을 수행해본 사람들은 알겠지만, 대부분의 조직은 비밀번호를 8, 9자리 이상으로 하도록 기준을 삼고 있다. 비밀번호를 길게 사용하는 것은 당연히 귀찮은 일이니 말이다. 그러나 현재 업계의 트렌드가 어떤지, 숫자로 알려줄 필요가 있다. 그게 훨씬 파괴적이고, 효과적일 것이다. 저 문제와 비슷하게, AI 크래킹 도구를 이용하면 특문+영문+숫자의 9자리 비밀번호가 털리는 데 어느 정도의 시간만 걸리는지를 문제로 내는 것도 좋다. 

 

결국 요지는, 정보보호에 무관심한 임직원들에게도 와닿는 정답을 제시하는 게 좋다는 것이다. 그러면 인식 제고라는 것에 있어 소기의 목적을 달성할 수 있을 것이다.