FBI에 따르면 사이버 범죄자들은 2013년 10월부터 2019년 7월 사이에 260억 달러에 달하는 부정 이익을 거둬들였습니다. 내용을 조작하거나 사람을 속이는 소셜 엔지니어링을 이용해 기업 직원이나 불특정 개인이 인증서 등을 유출하고 허가되지 않은 자금 조성이나 이체를 실행하도록 속이는 기업 이메일 공격(Business Email Compromise, BEC) 수법을 통해서였죠. 2017년 캐나다 맥이완대학(MacEwan University)은 대학 직원을 사칭한 사이버 범죄자가 거래 업체 중 한 곳의 은행 계좌 정보 변경을 요청하는 데 속아 1180만 달러에 달하는 금액을 편취당했습니다. 또한 세계 인구의 60%, 세계 GDP의 85%에 해당하는 31개국의 상황을 조사한 다른 보고서에 의하면 온라인 사기로 인한 손실 금액은 2019년 기준 360억 유로에 이르는 것으로 추산됐습니다.
이러한 직접적 금전적 손실 외에도 보안 공격은 기업의 생산성과 평판에 균열을 일으킵니다. 2020년, 130개에 달하는 유명 트위터 계정이 해킹당한 일은 트위터에 아주 당황스런 한 방이었습니다. 기업의 보안이 17살짜리 해커의 로우테크 공격에 무너질 정도로 약하다는 것은 모두를 경악시켰죠. 트위터 사는 해커의 공격 앞에 바보가 되었고 주가는 곤두박질쳐 시총이 13억 달러나 증발했습니다. 이보다 더한 사태가 벌어질 수도 있죠. 이러한 보안 침해 사고에 동반되는 법적 책임이 임원들과 고위 간부들을 기다리고 있으니까요.
이러한 해킹 사례에 큰 일조를 하는 것은 개인적 수준의 행동 결함입니다. 해커들은 사람들이 특정한 요청을 신뢰하고 바이러스가 숨은 첨부 파일을 생각 없이 클릭하거나 여는 행동을 이용하죠. 사고로 이어지는 해킹 사례의 99%가 최종 공략 대상으로 삼는 것은 기계가 아닌 인간입니다. 연구자들은 5년간의 연구에서 인간 심리만을 이용하여 1000개 은행의 보안 시스템 중 96%를 성공적으로 뚫기도 했습니다.
그렇다면 비즈니스 리더들은 사람에서 비롯되는 이러한 약점을 어떻게 줄일 수 있을까요? 리더들은 조직의 정보 보호와 보안을 위한 정확한 도구를 마련하는 데 투자한다는 측면에서 으레 보안 부서에 의지할 것입니다. 하지만 이러한 방식은 너무 편협한 접근이죠. 커뮤니티의 모든 구성원이 진심으로 전력을 다해야만 진정으로 보안에 대한 인식이 높은 문화가 구축될 수 있습니다. 대다수 기업이 강제하는 하루 이틀짜리 훈련에 그칠 것이 아니죠. 이러한 보안 의식 문화를 실현하기 위해 리더들은 휘하 구성원들이 특정 사고방식과 행동을 체화하도록 해야 합니다.