공부

개인적으로 MZ 세대라는 말 자체를 정말 싫어하지만, 논문 제목이 이러하니.. 어쩔 수가 없다. 이번 논문을 통해 상대적으로 젊은 직원들을 대상으로 하는 보안 교육에 대해서 고민해볼 수 있을 것이다. 젊은 세대의 컨텐츠라고 한다면 가장 먼저 떠오르는 단어는 개인적으로 Short다. 이른바 숏츠, 릴스, 틱톡 같은 것들이 유행하고 있으며, 굳이 그런 아주 짧은 영상이 아니더라도, 갈수록 젊은 사람들은 30분 보다는 20분, 20분 보다는 10분의 영상을 더 선호한다. 나는 개인적으로 유투브를 선호하는데, 확실히 10분 정도의 길이가 가장 대중적이지 않나 싶다. 왜냐하면, 길수록 따분하기 때문이다. 점점 사람들이 짧은 영상에 길들여지고 있다고 할 수 있다. 그리고 102030 세대가 그간 자의가 아닌 타의로..

실무에서의 환경 변화를 정책이 매번 바로바로 따라잡기란 요원한 일이다. 그렇기에 우리는 정책, 법안, 프레임워크에 지나치게 맹신을 해서는 안 되는 것이다. 그런데 단순히 변화를 따라잡지 못한다고 해서 그런 정책들을 맹신하면 안 된다고 하는 것은 아니다. ISMS-P가 2024.6.20에 새로 갱신되었다고 해서, 그것이 24년 6월의 실무적 환경을 모두 반영하는 것은 결코 아니기 때문이다. 결국 정책은 사람이 만드는 일이고, 구멍이 생길 수밖에 없다. 같은 이유에서 ISO 27001, GDPR도 마찬가지다.  그리고 여기서는 ISMS-P를 더욱 효과적으로 적용할 수 있는 방안에 대해 논의하도록 한다. 실무가 100이라고 했을 때, 기존의 ISMS-P가 50의 도움을 준다고 하면, 이를 60-70으로 올리는..

보안 사고의 유형을 분류하는 방법은 다양하다. 그러나 그중 가장 단순한 분류 중 하나가 ① 외부자의 공격으로 인한 사고 ② 내부자의 고의 또는 실수로 인한 사고일 것이다. 보통 70~80%가 ①에 속하고, 20~30%가 ②에 속한다. 무시하기에는 내부에서 발생하는 비율도 만만치 않은 것이다. 그렇기에 각 조직의 보안 담당자는 외부와 내부의 사고 가능성을 모두 고려해야만 한다. 그리고 여기서는 내부자로 인한 사고에 대해 집중한다. 조직원이 사고를 칠, 그러니까 부정적 행동을 하도록 만드는 동기는 무엇일까? 조직원이 불확실성을 느끼기 때문이다. 그리고 보안 컴플라이언스를 지키지 않는 조직원은 조직 중심이 아닌, 개인 중심의 행동을 할 가능성이 커지게 된다. 그렇기에 이 논문에서는 개인적인 행동을 하게 만드는..