최근 낮은 사용자 보안의식이 문제라는 기사들이 많이 보이더군요. 10여전 전부터 항상 사고가 발생하면 이런 기사들이 많이 나오더라구요. 사용자 보안의식이 정말 문제일까 생각해보았습니다.
사용자 보안의식을 높이기 힘든 이유는 무엇일까요? 많은 보안사고들이 발생하고 있지만 정작 기업의 업무현장에선 보안이란 ‘남의 일’이 되고맙니다. 직원들의 보안의식이 부족하다고 말을 많이 하지만 정작 직원입장에선 철저히 성과에 의해 평가받고 있기 때문에 일을 신속하게 처리해서 외적 성과를 내는 것만이 중요하게 인식됩니다. 대부분의 기업에 있어서 보안은 성과지표에 거의 영향을 미치지 않는다고 봐야합니다.
사용자 보안의식이 부족하다며 책임을 직원에 전가하기 보다는.. 경영자가 기업내 조직원들이 보안에 자발적으로 참여할 수 있도록 보안준수에 대한 성과지표를 제시하고 반영하는 것이 효과적인 지식정보보호가 가능해지는 지름길이란 생각이 듭니다. 물론 쉬운 일은 아니겠지만 ‘보안을 중요하다고 생각해라’라고 주입식으로 교육하는 것보다 ‘보안이 직원에게 의미가 있다’라는 것이 느껴질 수 있는 기반을 다지는 것이 더 중요하다는 생각이 듭니다.