임직원 보안교육 이수 관리, 자동 수료증·디지털배지로 무엇이 달라질까

임직원 보안교육, 왜 ‘진행’보다 ‘증빙’이 어려운가

임직원 보안교육의 실제 부담은 교육 진행이 아니라 이수 확인과 증빙 정리에서 발생한다. 개인정보보호법 제28조는 개인정보취급자 대상 교육을 의무화하고 있고, 교육 후에는 대상자·이수자·미이수자·교육 일자를 정리한 증빙 자료가 내부 보고와 고객사 점검 대응에 필요하다. 이 집계가 수작업으로 남아 있는 기업이 많다.

기업 고객 대상 복지·판촉 커머스를 운영하는 비즈마켓도 같은 고민을 갖고 있었다. 비즈마켓은 B2B·B2E 커머스 특성상 고객사 정보, 이용자 정보, 주문·정산 자료가 여러 부서의 업무에 걸쳐 있어, 특정 담당자만이 아닌 전 임직원의 기본 보안 인식이 필요한 환경이다.

기존 운영 방식은 두 갈래였다. 대면 교육은 부서 단위로 회의실에 모여 진행한 뒤 출석부 서명을 받아 수작업으로 집계했다. 온라인 교육은 무료 교육 사이트에서 기성 과정을 선정해 수강하게 하고, 관리자가 출석과 설문 정보를 모아 보고했다. 교육 자체는 돌아갔지만, 대면 교육의 결과 정리는 전부 담당자의 손을 거쳐야 했다.

여기에 외부 요구가 더해졌다. 비즈마켓은 최근 한 고객사로부터 개인정보 취급 담당자의 온라인 보안교육 이수를 요청받아 참여한 경험이 있다. B2B 거래에서 고객사가 협력사의 보안 관리 수준을 확인하려는 요구가 늘고 있다는 것이 비즈마켓의 진단이다.

업무 과실 유출의 세부 유형을 보면 게시판·단체채팅방에 개인정보 파일을 올린 경우 27건, 이메일 동보 발송 10건, 파일 오첨부 7건이다(개인정보보호위원회 2024년 유출 신고 동향). 임직원 한 사람의 메일 발송 실수가 곧 유출 사고가 되는 구조라, 전사 단위의 기본 보안교육과 그 이력 관리는 선택이 아니라 운영 요건에 가깝다.

비즈마켓이 선택한 방식: 보안컨설팅과 교육, 인증을 하나로

비즈마켓은 보안컨설팅과 온라인 보안교육, 칼리지스의 자동 수료증·디지털배지 발급이 하나로 묶인 패키지를 도입했다. 컨설턴트 PM이 비즈마켓의 업무 환경에 맞춰 작성한 교육 콘텐츠를 칼리지스 플랫폼에서 그대로 임직원 교육 자료로 쓸 수 있다는 점이 선택의 가장 큰 이유였다. 기성 과정 중에서 골라야 하는 기존 방식과의 차이가 여기에 있었다.

교육은 ‘개인정보보호와 정보보호 실무 교육’이라는 이름으로, 일반 임직원용 사고 사례 중심 프로그램으로 구성됐다. VOD 강의 2편, 약 1시간 분량이다. 법정교육 형식의 일반론이 아니라, 임직원이 실제 업무에서 마주치는 장면을 다룬 점이 특징이다.

교육 목표는 세 가지로 명확했다. 의심스러운 메일·링크를 구분하고, 개인정보 파일을 안전하게 처리하며, 사고 발생 시 즉시 신고하는 것이다. 다루는 사고 유형도 구체적이다. 이메일 오발송, 스미싱, USB 분실, 그리고 외부 생성형 AI에 회사 정보를 입력하는 상황까지, 일상 업무에서 가장 빈번한 네 가지 보안 사고를 교육에 담았다.

사고가 났을 때의 행동 절차도 STOP, DISCONNECT, PRESERVE, REPORT, FOLLOW의 5단계로 정리해 가르쳤다. ‘안다’에서 끝내지 않고 ‘행동할 수 있게’ 만드는 것이 교육의 목표였다.

이수자에게는 수료증과 디지털배지가 자동 발급됐다. 디지털배지는 1EdTech Open Badges 표준 기반의 검증 가능한 디지털 자격증명으로, 발급기관·기준·이수 정보가 데이터로 내장돼 위·변조가 어렵다.

자동 수료증·디지털배지로 실제 달라진 것

가장 큰 변화는 이수 확인과 수료증 발급이 칼리지스 시스템 안에서 연결된 점이다. 기존에는 교육 후 명단을 정리하고 수료 여부를 별도로 확인해야 했지만, 도입 후에는 이수 결과가 시스템상 확인되고 발급까지 자동으로 이어졌다. 이번 교육에서는 166건의 이수증이 발급됐고, 발급 현황은 관리자 화면에서 한눈에 확인됐다.

발급 관리 화면은 수령자, 인증서 종류, 발급번호, 발급일, 상태, 알림 채널을 한 줄로 보여준다. 각 이수증에는 BIZM-202606 형식의 고유 발급번호가 붙고, 영구 인증으로 관리되며, 발급 알림은 카카오톡으로 자동 전송됐다. 기존에 명단을 정리하고 수료 여부를 일일이 확인하던 수작업이, 목록을 내려다보는 일로 바뀐 셈이다.

비즈마켓 담당자가 꼽은 핵심 효용도 여기에 있다.

기존 대면 교육 방식과 비교하면 달라진 지점이 분명하게 보인다.

디지털배지는 발급에서 끝나지 않는다. 이수자는 본인 인증을 거쳐 자격증명을 검증받고, 링크드인 프로필에 등록하거나 카카오·인스타그램·블로그 등으로 공유할 수 있다. 회사가 시행한 교육이 임직원 개인의 이력으로 남고, 검증과 공유까지 한 화면에서 이어지는 구조다.

이 한 사례 안에 칼리지스가 지향하는 세 가지가 함께 담겨 있다. 이수 이력을 위·변조 어려운 데이터로 남기는 검증 가능한 인증, 166건을 자동 발급·관리한 운영 효율, 그리고 배지 공유로 이어지는 확산이다.

운영 현장의 평가와 앞으로의 기대

비즈마켓이 꼽은 효용은 명확하다. 이수 확인과 수료증 발급이 연결된 구조, 자사 업무 환경에 맞춘 교육 콘텐츠, 검증 가능한 이수 이력이다. 함께 나온 의견은 정착을 위한 과제에 가깝다. 디지털배지가 처음인 임직원을 위한 안내, 관리자 통계·리포트 기능의 확장이 더해지면 활용 폭이 넓어질 것이라는 기대다.

디지털배지는 모든 임직원에게 익숙한 개념은 아니다. 비즈마켓에서도 기존 수료증과 무엇이 다른지, 어디서 확인하는지에 대한 안내가 함께 제공되면 좋겠다는 의견이 있었다. 새로운 인증 방식을 처음 도입하는 기업이라면 교육 공지에 배지 안내를 한 줄 더하는 것만으로 정착 속도가 달라진다.

관리자 관점의 기대도 구체적이다.

비즈마켓은 이번 임직원 교육 운영 결과를 바탕으로, 개인정보보호·정보보안 교육뿐 아니라 신규 입사자 교육이나 내부 준법교육으로의 활용 가능성도 열어 두고 있다.

어떤 기업이 이 방식을 참고하면 좋을까

보안교육 이수 관리와 증빙 정리가 반복 업무로 쌓이는 기업, 고객사나 심사기관으로부터 보안 수준 확인을 요구받는 기업이라면 참고할 만한 모델이다. 비즈마켓은 모든 기업에 동일하게 적용된다고 단정하기보다, 기존 교육 운영 방식과 비교해 필요한 부분부터 적용해 보라고 조언한다.

PM은 이 모델이 맞는 기업 유형을 이렇게 정리한다.

비즈마켓의 다음 그림도 단계적이다. 우선 내부 임직원의 기본 보안교육과 이수 이력을 안정적으로 관리하고, 협력사·입점사 교육 확대는 내부 운영 결과를 확인한 뒤 검토한다는 입장이다. 위탁 업체 교육까지 같은 시스템으로 진행하는 방안도 장기 과제로 언급됐다.