전세계 기업들은 보안 사고를 막기 위해 악성 바이러스와 함께 소속 직원에게 주의를 기울여야 한다. 직원들의 부주의한 행동이 해커의 침입을 허용할 수 있기 때문이다.

뛰어난 해커들은 강도 높은 계획을 위해 맞춤형 악성 코드에 의존하지만 이런 공격은 대부분 가장 쉬운 진입점인 사람을 활용하여 시작한다. 조사에 따르면 작년에 기업을 대상으로 한 사이버 공격 3번 중 한 번은 피싱-소셜 엔지니어링을 근원지로 한다.

카스퍼스키랩 수석 보안 연구원 데이비드 엠은 “피싱 이메일, 쉬운 암호, 기술 지원부의 가짜 전화 등 모든 경우를 보았다. 사무용 주차장이나 비서실 근처에 떨어진 일반 플래시 카드조차도 전체 네트워크를 손상시킬 수 있다. 보안에 대해 알지 못하거나 신경쓰지 않는 내부 직원이 그 디스크를 이용해 네트워크에 허점을 만들 수 있다”라고 경고했다.

조사에 따르면 멀웨어가 우려되는 곳에서 직원의 부주의로 멀웨어 감염이 일어난 경우가 53%라고 한다.

직원들이 관련된 사건을 숨기면 전반적인 피해가 증가한다. 새로운 보고서에 따르면 전 세계 기업에서 IT 보안 사고를 숨기는 직원이 40%에 달한다.

회사가 엄격한 규칙을 도입하고 직원에 대한 추가 책임을 부과하는 경우 일부 직원은 실수에 대한 처벌이 두렵거나 실수했다는 사실이 부끄러워서 문제를 신고하기보다 그저 숨기는 바람에 조직을 위험에 처하게 만든다.

따라서 사이버 보안은 기술뿐만 아니라 조직의 문화와 훈련도 포함하는 문제다. 직원들의 공포심을 유발하고 직원들에게 단 하나의 선택권만 주는 정책은 전혀 도움이 되지 않는다. 그들이 처벌을 피하기 위해 무엇이든 할 것이기 때문이다.

대신 HR 및 경영진은 직원이 사고가 발생했을 때 조심스럽게 도움을 구하하도록 동기를 부여하고 권장해야 한다.

카스퍼스키랩의 보안교육 프로그램 관리자인 슬라바 보릴린은 “회사의 사이버 보안 문화가 긍정적이고, 제한적이 아닌 교육적인 접근 방식을 바탕으로 위에서 아래로 내려올 때 결과는 분명히 달라질 것이다”라고 말했다.

예를 들어, 테슬라 일론 머스크는 근로자 안전에 영향을 미치는 모든 사건을 CEO인 자신에게 직접 보고하도록 요청했다. 이로 인해 그는 변화에서 중심적인 역할을 할 수 있었다.

세계 각국의 기업들은 이미 직원들이 비즈니스에 취약한 문제를 일으키고 있다고 생각한다. 설문 조사에 참여한 기업의 52%는 직원이 IT 보안의 가장 큰 약점이라고 인정했다.

기업의 35%는 직원들에게 교육을 제공하여 보안을 향상시키고자 노력하고 있다. 이는 보다 정교한 소프트웨어 배포에 이어 두 번째로 널리 사용되는 사이버 보안 방법이다.