공공 부문이 정교한 자동화 기술을 활용해 직원을 속이는 AI 기반 사회공학 공격이라는 새로운 위협에 직면했다. 기존의 연례 영상 시청이나 퀴즈 풀이 방식인 ‘체크박스형’ 컴플라이언스 교육은 이처럼 빠르게 진화하는 위협을 차단하기에는 역부족이라는 지적이 많다. 이에 대해 사이버 보안 기업 KnowBe4의 부사장인 데이비드 보슬러(David Bochsler)는 공공기관들이 보편적인 규정 준수에서 벗어나 개인의 행동 변화에 우선순위를 두는 ‘인간 위험 관리(HRM)’ 모델로 전환해야 한다고 강조한다.

HRM은 식별과 평가라는 순환 체계를 통해 직원의 역할과 구체적인 취약점에 근거한 ‘인간 위험 점수(Human Risk Scores)’를 부여하는 방식으로 운영된다. 이를 활용하면 직무별로 초개인화된 교육이 가능해진다. 예를 들어 재무팀은 비즈니스 이메일 사기를 식별하는 법을 배우고, 고위 경영진은 이들을 표적으로 삼는 정교한 공격인 ‘고래 사냥(Whaling)’ 방어에 집중하는 식이다. 이처럼 부서별 실제 위험에 맞춘 세분화된 대응은 직원을 조직의 잠재적 약점이 아닌 강력한 방어 계층으로 변화시킨다.

인간의 직관과 기계의 자동화가 결합된 시스템은 국가 안보를 위한 ‘선순환 피드백 루프’를 형성한다. 직원이 자동화 도구를 통해 의심스러운 이메일을 보고하면, 관련 정보가 즉시 보안 오케스트레이션 시스템에 입력되어 위협을 검증하고 중단시킨다. 실제로 이러한 하이브리드 접근 방식은 기술적 필터에만 의존하는 조직보다 침해 사고를 최대 108일 더 빠르게 억제할 수 있게 하며, 결과적으로 사이버 사고가 초래하는 재무적 및 운영적 타격을 현저히 줄여준다.

공공 부문이 정교한 자동화 기술을 활용해 직원을 속이는 AI 기반 사회공학 공격이라는 새로운 위협에 직면했다. 기존의 연례 영상 시청이나 퀴즈 풀이 방식인 ‘체크박스형’ 컴플라이언스 교육은 이처럼 빠르게 진화하는 위협을 차단하기에는 역부족이라는 지적이 많다. 이에 대해 사이버 보안 기업 KnowBe4의 부사장인 데이비드 보슬러(David Bochsler)는 공공기관들이 보편적인 규정 준수에서 벗어나 개인의 행동 변화에 우선순위를 두는 ‘인간 위험 관리(HRM)’ 모델로 전환해야 한다고 강조한다.

HRM은 식별과 평가라는 순환 체계를 통해 직원의 역할과 구체적인 취약점에 근거한 ‘인간 위험 점수(Human Risk Scores)’를 부여하는 방식으로 운영된다. 이를 활용하면 직무별로 초개인화된 교육이 가능해진다. 예를 들어 재무팀은 비즈니스 이메일 사기를 식별하는 법을 배우고, 고위 경영진은 이들을 표적으로 삼는 정교한 공격인 ‘고래 사냥(Whaling)’ 방어에 집중하는 식이다. 이처럼 부서별 실제 위험에 맞춘 세분화된 대응은 직원을 조직의 잠재적 약점이 아닌 강력한 방어 계층으로 변화시킨다.

인간의 직관과 기계의 자동화가 결합된 시스템은 국가 안보를 위한 ‘선순환 피드백 루프’를 형성한다. 직원이 자동화 도구를 통해 의심스러운 이메일을 보고하면, 관련 정보가 즉시 보안 오케스트레이션 시스템에 입력되어 위협을 검증하고 중단시킨다. 실제로 이러한 하이브리드 접근 방식은 기술적 필터에만 의존하는 조직보다 침해 사고를 최대 108일 더 빠르게 억제할 수 있게 하며, 결과적으로 사이버 사고가 초래하는 재무적 및 운영적 타격을 현저히 줄여준다.