2025-12-10
1일 1아티클
ITWORLD
공감 기반 정책 엔지니어링
기업의 IT 보안 문제
- 안전을 위한 행동은 단순 지식 전달만으로 형성되지 X → 개인의 위험 인식 및 구체적인 업무 상황에 달림
- 업무 목표, 시간 압박, 협업 필요성 등이 보안 요구사항보다 일반적으로 중요하게 인식됨
보안 관리자가 문제 해결을 위해 해야 할 것
- 이해관계자 분석 수행
- 왜 사용자가 안전하게 행동하지 않는가?
- IT 부서/현업 부서/경영진/행정 기업/생산 직원 등 각 이해관계자 그룹의 목표 충돌 식별 및 조정
- 보안 관리자가 기업 내 업무 현실과 각 부서의 목표에 깊이 이해할수록 조치 설계의 정교함과 수용성 증가
- 사용자 관점을 반영한 보안 지침 설계
- 기술적으로 타당할 뿐 아니라, 직원 관점에서 실용적인 보안 정책 구축
공감 기반 정책 엔지니어링: 보안 지침은 이해가 쉽고, 수용 가능하며, 업무 목표와 양립 가능하게 설계되어야 함- 직원의 초기 참여, 목표 충돌 파악, 실제 업무 제약 반영한 설계 → 파일럿 프로젝트를 통한 장애 요소 조기 식별 및 조정
- 혁신 수용력이 높은 초기 사용자 그룹을 먼저 참여하는 방식 → 피드백 수집 및 조치 개선 효과 증가
- 존중 기반 소통
- 지시형 커뮤니케이션, 표준 온라인 교육, 진지하지 않은 과도한 만화적 형식 → 직원 참여율 X
- 금지, 벌칙 중심 접근이 아닌, 동등한 수준의 소통을 바탕으로 효과를 냄
전술적 공감: 인정과 신뢰를 형성해 직원이 보안 메시지를 수용할 준비가 되도록 함NO대신도울 수 있도록 도와달라: 직원이 보안 요구사항에 대한 변경 요청 시, 단순 거절보다는 직접적 대안을 제안하도록 유도할 것 → 상호 수용 가능한 해결책 탐색 가능이론 중심대신실습 기반: 현실적인 피싱/랜섬웨어 등의 공격 시나리오를 기반으로 체험형 교육 진행 → 지속적인 보안 이해도 증가, 핵심은 교육 중심이 아닌 사람 중심 경험이라는 것!
오늘 배운 것
- SpringAI
내일 할 일
- SpringAI (con.)