2016년도 끝으로 달려가고 있다. 이맘때쯤이면 많은 기업과 기관들은 한해 계획 중 수행하지 못한 업무를 챙기기 바쁘다. 그 중 하나가 바로 보안교육이다. 연말이면 보안업체 강사는 쏟아지는 교육 요청에 여러 업체를 다니며 강의를 진행하느라 바쁘다. 하지만 전문강사를 초빙해 보안교육을 하는 업체는 많지 않다.

일반기업은 정보통신망법과 개인정보보호법에 따른 교육을 최소한 연 1회 이상해야 한다. 금융회사는 흔히 '3ㆍ6ㆍ9ㆍ12' 라고 표현하는 전자금융거래법에 따른 시간 기준을 만족하는 교육을 매년해야 한다. 

많은 기업이 이 기준에 따라 이수시간을 만족하고 있다. 문제는 이수시간만 만족시키는 경우가 대부분이라는 것이다. 본래의 취지는 보안교육을 통해 임직원의 보안의식을 고취시키는 것이다.

하지만 많은 기업 보안담당자는 보안교육 강좌를 구성하는데 투자하는 대신 특정기관에서 제공하는 온라인 동영상 교육으로 대체하는 쉬운 방법을 선택하고 있다. 

임직원은 동영상을 틀어놓고 다른 업무를 하는 경우가 많아 과정을 모두 이수했지만 정작 내용은 모르는 경우가 허다하다. 교육을 통한 보안의식 고취 효과를 기대하기 어려운 이유다.

통계에 따르면 1초에 1건씩 국민의 소중한 개인정보가 유출되는 것으로 조사되고 있다. 대기업이나 대형 금융회사는 정보유출을 막기 위한 보안솔루션을 이중삼중으로 구성하고 있다. 그러한 노력에도 불구, 정보는 유출된다.

많은 예산을 투자해 구축한 보안솔루션만으로는 정보유출을 차단할 수 없다. 그 방법은 사람에서 찾아야 한다. 보안솔루션도 사람이 운영한다. 보안솔루션을 열심히 운영해도 임직원이 호응하지 않는다면 역시 무용지물이다. 사람의 실수와 고의로 정보가 유출되는 것을 막아야 한다. 방법은 효과적인 보안교육을 통한 보안의식의 고취에서 찾을 수 있다.

연말이다. 개인은 1년을 어떻게 마무리하고 내년을 맞이할까 고민이다. 기업과 기관은 내년 사업계획 준비에 분주하다. 부디 그 사업계획에 보안교육이 꼭 포함되기를 바란다.

어쩔수 없이 하는 형식적 계획이 아닌 적극적으로 임직원의 의식을 고취시킬 수 있는 교육계획이 마련되기를 말이다.