직장에서 제공되는 컴퓨터 안전 지침이 혼란스럽다면 혼자가 아닙니다. 최근 연구에서는 이러한 지침을 개발하는 데 있어 근본적인 문제를 강조하고 지침을 강화하여 잠재적으로 컴퓨터 보안을 향상시킬 수 있는 즉각적인 조치를 제안합니다.
기업과 정부 기관이 모두 직원에게 제공하는 컴퓨터 보안 프로토콜에 대한 우려가 있습니다. 이 프로토콜은 직원이 맬웨어 및 피싱 공격과 같은 위험으로부터 개인 및 조직 데이터를 보호하도록 안내하도록 설계되었습니다.
이번 연구의 교신저자이자 하버드 대학교 컴퓨터과학과 조교수인 브래드 리브스(Brad Reaves)는 “컴퓨터 보안 연구자로서 온라인에서 읽은 컴퓨터 보안 조언 중 일부가 혼란스럽거나, 오해의 소지가 있거나, 완전히 잘못된 것임을 발견했습니다.”라고 말했습니다. "어떤 경우에는 권장 사항이 어디서 왔는지, 무엇을 기반으로 하는지 모르겠습니다. 그것이 이 연구의 원동력이었습니다. 누가 이 지침을 작성합니까? 권장 사항은 무엇을 기반으로 합니까? 프로세스는 무엇입니까? 우리가 더 잘할 수 있는 것이 있습니까?"
연구를 위해 연구원들은 대기업, 대학, 정부 기관 등 조직의 컴퓨터 보안 가이드 작성을 담당하는 전문가들과 21번의 심층 인터뷰를 실시했습니다.
"여기서 중요한 점은 이 지침을 작성하는 사람들이 가능한 한 많은 정보를 제공하려고 노력한다는 것입니다"라고 Reaves는 말했습니다. "이론적으로 이것은 훌륭합니다. 그러나 저자는 가장 중요한 권장 사항의 우선 순위를 지정하지 않습니다. 또는 더 구체적으로 그들은 덜 중요한 사항의 우선 순위를 무시하지 않습니다. 포함해야 할 안전 권장 사항이 너무 많으면 지침이 압도적일 수 있으며 가장 중요한 사항은 혼란에 빠질 수 있습니다."
연구자들은 안전 지침이 그토록 압도적인 이유 중 하나가 지침 작성자가 다양한 권위 있는 출처에서 나온 가능한 모든 항목을 통합하는 경향이 있다는 사실을 발견했습니다.
"즉, 지침 작성자는 독자를 위한 안전 정보를 선별하기보다는 안전 정보를 수집하고 있습니다"라고 Reeves는 말했습니다.
인터뷰를 통해 배운 내용을 바탕으로 연구원들은 향후 안전 지침을 개선하기 위한 두 가지 권장 사항을 제시했습니다.
첫째, 지침 작성자는 보안 가이드가 사용자에게 알아야 할 사항과 해당 정보의 우선 순위를 지정하는 방법을 알려줄 수 있도록 정보 관리 방법에 대한 명확한 모범 사례 세트가 필요합니다. 둘째, 작가와 전체 컴퓨터 보안 커뮤니티에는 다양한 수준의 기술적 능력을 가진 청중에게 의미 있는 중요한 정보가 필요합니다.
Reeves는 "컴퓨터 보안은 복잡합니다."라고 말했습니다. "그러나 의학은 더 복잡합니다. 하지만 팬데믹 기간 동안 공중 보건 전문가들은 대중에게 코로나19 감염 위험을 줄이는 방법에 대해 매우 간단하고 간결한 지침을 제공할 수 있었습니다. 우리도 컴퓨터 보안에 대해서도 동일한 작업을 수행할 수 있어야 합니다."
궁극적으로 연구원들은 보안 조언 작성자에게 도움이 필요하다는 사실을 발견했습니다.
Reeves는 "저자들이 컴퓨터 보안 조사 결과를 실제 애플리케이션에 대한 실용적인 권장 사항으로 전환하는 데 중요한 역할을 하기 때문에 이러한 저자를 지원할 수 있는 연구, 지침 및 실무 커뮤니티가 필요합니다"라고 말했습니다. "또한 컴퓨터 보안 사고가 발생했을 때 직원이 따라야 할 수천 가지 보안 규칙 중 하나도 따르지 않았다고 직원을 비난해서는 안 된다는 점을 강조하고 싶습니다. 이해하고 구현하기 쉬운 지침을 개발하는 작업을 더 잘 수행해야 합니다."