악의적인 해커가 노리는 건 PC나 시스템 취약성에 국한되지 않고 인간의 심리적 틈이나 인위적 실수를 노린 소셜 엔지니어링 등도 중대한 보안 위협이 되고 있으며 한 조사에서는 데이터 침해 원인 68%가 휴먼 에러였던 것으로 밝혀졌다. 인간 존재가 사이버 보안 최대 약점이 되고 있는 문제에 대처하는 방법에 대해 인증 기술 전문가가 설명했다.
호주 멜버른 대학교 컴퓨팅 및 정보시스템학부 선임연구원인 종길 제이 정(Jongkil Jay Jeong)에 따르면 사이버 보안 분야에서 휴먼 에러는 크게 2가지로 나뉜다고 한다.
첫 번째는 스킬 베이스 에러로 이는 일상적인 작업 중 그 중에서도 주의력이 산만해졌을 때 자주 발생한다. 예를 들어 어떤 사람이 직장 PC 백업을 잊었다고 가정해보자. 그 사람은 백업 방법도 백업의 필요성도 알고 있었지만 빨리 귀가해야 하는 일이나 산더미처럼 쌓여있는 답장 대기 이메일 등으로 인해 백업까지 신경 쓸 여유가 없었다.
만일 이 시점에서 사이버 공격이 발생하면 데이터를 복구할 수단이 없다. 따라서 랜섬웨어 등으로 데이터가 인질로 잡히면 해커에게 협박당하게 된다. 이게 스킬 베이스 에러다.
2번째는 지식 베이스 에러로 이는 경험이 부족해 중요한 지식이 부족한 경우나 특정 규칙을 따르지 않았을 때 발생하는 사이버 보안상 실수다. 예를 들어 모르는 연락처에서 온 이메일을 부주의하게 클릭하면 그곳에서 멀웨어가 시스템에 침입해 해킹당하고 금전을 빼앗기거나 데이터를 도난당할 위험이 된다. 이게 지식 베이스 에러다.
이런 휴먼 에러를 방지하기 위해 정부와 여러 단체가 보안 교육에 많은 투자를 해왔지만 반드시 효과적이라고는 할 수 없었다. 그 이유 중 하나는 획기적인 기술 중심 접근 방식을 취했기 때문이라고 지적하고 있다.
기존 교육 프로그램 대부분은 패스워드 관리 개선이나 다중 인증 등 기술적 측면에 의존하는 경우가 많았다. 따라서 인간 심리나 행동 원리에 근거한 문제의 개선은 소홀히 되기 쉬웠다고 한다.
기술에 의존하지 않고 행동을 바꿔 큰 성과를 올린 사례로 호주와 뉴질랜드에서 전개된 일광화상 방지 캠페인(Slip, Slop, Slap 운동)을 들고 있다. 긴팔 셔츠나 래시가드를 입고(Slip), 자외선 차단제를 바르고(Slop), 모자를 쓰는(Slap) 3가지를 호소한 이 간단한 캠페인이 시작된 이후 40년 동안 양국 악성 흑색종 발생은 크게 감소했다.
인간 행동을 바꾸려면 의식을 높이기 위한 지속적인 투자가 필요하다는 원칙은 사이버 보안 교육에도 적용된다. 사람들이 베스트 프랙티스를 알고 있다고 해서 그게 실행되는 건 한정되지 않는다. 그 중에서도 우선순위나 시간적인 압박에 밀려있는 경우에는 더 그렇다고 말했다.
또 호주 정부는 2024년 10월 기업과 정부 기관 정보 공유를 강화하거나 스마트 기기 보안 기준을 정하는 걸 포함한 포괄적인 사이버 보안 법안을 발표했지만 이것도 기술적 측면과 절차적 측면에 초점이 맞춰져 있다.
반면 미국은 인간 중심 접근 방식에 주목하고 있으며 2023년 12월 국가과학기술위원회(NSTC)가 발표한 연방 사이버 보안 연구개발 전략 계획에는 정보 기술 시스템 설계, 운영, 보안을 결정하는 데 있어서는 사람들 니즈, 동기, 행동, 능력을 최우선으로 한 인간 중심 접근 방식을 더 중시할 필요가 있다고 기재되어 있다.
인간 중심 접근 방식을 채택해 사이버 보안에서의 휴먼 에러 문제에 대처하려면 어떻게 해야 하는지에 대해 3가지 전략을 밝히고 있다.
첫 번째는 인지 부하를 최소화할 것. 사이버 보안은 가능한 한 직관적이고 간단하게 실천할 수 있도록 설계할 필요가 있다. 또 트레이닝 프로그램은 복잡한 개념을 단순화해 보안 실천을 일상적인 워크플로에 원활하게 통합할 수 있도록 하는 데 중점을 둬야 한다고 한다.
2번째는 사이버 보안에 대한 긍정적인 자세를 기를 것. 보안 교육에서는 공포 전술이 아닌 우수한 사이버 보안 관행을 실천하는 것의 긍정적인 성과를 강조할 필요가 있다. 그렇게 해 사이버 보안에 관한 행동을 재검토하는 동기가 생긴다.
3번째는 장기적인 관점을 도입할 것. 행동이나 태도를 바꾸는 데 필요한 건 일회성 이벤트가 아닌 지속적인 프로세스다. 왜냐하면 사이버 보안 교육은 지속적으로 실시할 필요가 있으며 진화하는 위협에 대항하려면 정기적인 업데이트가 필수적이기 때문이다.
요컨대 진정으로 안전한 디지털 환경 구축에는 종합적인 접근 방식이 필요하다는 것. 로버스트한 그러니까 강력한 기술이나 건전한 정책도 중요하지만 가장 중요한 건 충분한 교육을 받은 보안 의식이 높은 인재 확보다. 휴먼 에러가 일어나는 배경을 깊이 이해할 수 있다면 인간 본질에 맞춰 기능하는 더 효과적인 트레이닝 프로그램이나 보안 계획을 설계할 수 있을 것이라고 말했다. 관련 내용은 이곳에서 확인할 수 있다.