보안컨설팅사업부 배지환 선임컨설턴트

우리를 힘들게 만드는 보안

2012년 IBM에서 정보시스템 운영자로 직장생활을 시작했다. 최적화되고 고도화된 프로세스를 가진 글로벌기업이었기 때문에 그 당시에도 보안에 대해서는 엄격하게 관리되었던 것으로 기억한다. 그러나 그 당시에도 느꼈고, 지금도 느끼고 있는 보안에 대한 부정적인 측면은 그때 많이 생겼던 것 같다. '보안은 귀찮다', '보안은 성가시다', '보안사고는 우리를 힘들게 한다' 이러한 생각이 마음 한 켠에 가진 채, 지켜야 할 내부 프로세스이기 때문에 따랐던 것 같다. 그것은 이후 국내기업에서 정보시스템 운영을 했을 때도 보안에 대해 긍정적인 마음을 갖지 못하게 해주었다. 왜냐하면 보안은 서비스 가용성의 반대편에 항상 서있었고, 2012년에서 5년이 지난 현재에도 보안에 대한 우리들의 접근 방법은 크게 달라지지 않았다고 생각하기 때문이다. 여전히 탑다운 방식으로 내려오는 강한 보안통제 그리고 많은 보안솔루션 도입을 통한 시스템적인 보안에는 집중하지만, 실제 보안통제를 겪는 사용자들의 입장은 크게 생각하지 못한 영향도 크다고  생각한다.

사용자 중심의 접근 사례 “애플 vs 소니”

개방, 공유, 참여가 모토인 웹2.0을 넘어 웹3.0까지 출현하는 새로운 패러다임 속에서 사용자 중심의 서비스는 한층 강조되고 있다. 집단의 능력을 활용하는 집단지성, 새로운 가치를 획득하는 빅데이터, 정보와 관계의 제한성을 보완해주는 소셜네트워크 모두 이러한 정신을 바탕으로 한 결과물이다.

지금은 기업의 명암이 극명하게 갈린 애플과 소니지만, 과거 소니는 애플은 비교할 수 없을 만큼 소니의 위상이 높았다. 두 회사는 2001년 모두 디지털-콘텐츠-서비스의 융합 플랫폼이 중요하다고 예측했을 만큼 미래전략에 많은 관심과 전폭적인 지원을 했다. 하지만 오늘날 결과를 보면 초라해진 소니에 비해 애플은 시가총액 9천억 달러(약 960조)에 달하는 공룡이 되었다. 그 이유 중 하나로 사용자 중심의 접근을 들고 싶다.

과거 소니의 CEO 안도 구니다케는 '미래의 브로드밴드 네트워킹은 더 고도화할 것이다. 우리는 기기와 콘텐츠가 언제, 어디서든 연결되는 유비쿼터스 밸류 네트워크를 만들 것이다'라고 말했다. 지금의 사물인터넷(IoT), 빅데이터, 클라우드 등의 기술을 보면 정확한 통찰을 발휘했다. 또한 그때 애플의 CEO 스티브 잡스 역시 맥(Mac)은 모든 디지털 기기를 아우르는 디지털 허브가 될 것이라고 할 만큼 애플과 소니의 전략은 큰 차이가 없었다.

하지만 현재 왜 결과는 판이하게 달랐던 것일까? 오히려 소니는 음악, 영화, TV, PC, 게임기, 휴대폰 등 다양한 제품에서 선두자리에 있었기 떄문에 더 유리해 보인다. 애플이 소니와 차별화된 점은 사용자 경험(UX; User Experience)을 강조한 경영 전략에 있다고 본다. 이는 최대한 사용자 입장에서 사용성, 심미성, 감성, 유용성 등을 구성요소로 하여 제품과 서비스의 기획, 디자인, 마케팅을 하는 것이다. 공급자 관점에서만 혁신하고 설계했던 소니 제품은 기능과 디자인은 우월했지만, 사용자 제품 경험 만족도는 애플에 뒤쳐질 수 밖에 없었다. 애플은 사용자와 콘텐츠의 접점 고도화에 총력을 기울였고, 심지어 고생하며 개발했던 첨단기능 마저 사용자가 불편하게 여겨질 수 있다면 기능에서 제외시키기도 했다.

애플은 말로만 외치는 사용자 중심이 아니라 실제적으로 사용자 관점에서 사용자 중심을 실천했다. 단순히 제품의 사용성과 효과성을 높이는 것이 아니라 사용자의 정서적 가치까지 고려하여 사용자 경험을 강조한 것이 지속성장을 가능하게 한 핵심이다.

사용자 친화적인 보안은 어떻게 가능할까? 

그렇다면 사용자 친화적인 보안은 어떻게 가능할까? 답은 사용자가 보안을 편리하게 느끼도록 집중하는 것이다. IEEE 심포지엄에서 발표된 'The Psychology of Security for the Home Computer User' 연구에 따르면, 현재 보안에 대한 접근방법은 사용의 용이성(ease of use)을 간과했기 때문에 사용자들에게 적절하지 않다고 했다. 또한 IEEE Security & Privacy 학술지에 발표된 'The Weakest Link Revisited' 연구에서는 기업의 보안 관점에서 가장 취약한 부분은 사용자라고 거론했다. 결국 사용자에게 보안을 편리하도록 만들면 기업의 보안수준은 크게 향상될 수 있다.

사용자 친화적인 보안은 어떻게 접근해야 할까?

그렇다면 사용자 친화적인 보안은 어떻게 접근해야 할까? 이에 대해 Netflix 기술임원과 미국 조지아공과대학교 교수가 IEEE Computer Society에서 발표한 'A Brief Introduction to Usable Security' Article에서는 사용자 친화적인 보안의 대표적인 분야 중 하나로 사용자 인증을 선정했다.

우리는 아침에 일어나는 순간부터 사용자 인증과 마주친다. 휴대폰이 우리의 생활에 들어오면서부터 그랬을 것이다. 또한, 매일 아침 회사로 출근하여 회사의 그룹웨어를 로그인할 때도 우리는 사용자 인증과 마주친다. 특히 여기서 직장인이라면 모두 익숙한 부분이 있을 것이다. '8자리 이상, 무작위, 대/소문자, 숫자, 특수문자'. 이와 같이 보안을 강화하기 위해서 우리는 더욱 더 복잡하고 긴 암호 사용이 권고된다. 이러한 방식은 실제적으로 보안 수준을 향상시킬 수 있겠지만, 더욱 더 기발한 암호를 발명해야 하는 우리를 고통스럽게 하고 있다.

하지만 사용자 친화적인 보안에 대한 많은 연구에서 사용자 인증은 비밀번호가 목적이 아닌 사용권한을 획득하는 것이 목적이라고 말하고 있으며, 이는 곧 사용자가 사용권한을 획득하기 위해서 비밀번호를 반드시 입력할 필요가 없다는 것이다. 다시 말해서 비밀번호 외에도 PIN(개인 식별 번호), 그래픽 인증(graphical authentication), 바이오 인증, 보안 토큰 등 다양한 방법을 통해서 충분히 목적을 달성할 수 있다는 것이다. 비록 모든 사용자 인증 방식이 보안성과 편의성 두 마리 토끼를 모두 잡을 수는 없겠지만, 보안성 뿐만 아니라 사용자의 편의성도 고려하여 다양한 인증 솔루션을 개발하는 노력을 하고 있다. 

사용자 친화적인 보안은 어떻게 실현할까?

그렇다면 사용자 친화적인 보안은 어떻게 실현할 수 있을까? 사용할 수 있는 보안(Usable Security)를 연구한'Guidelines for Usable Cybersecurity'에서는 사용자 친화적인 보안을 위한 가이드라인을 종합 및 분석했고, 최종적으로 19가지를 제시했다. 여기서 이를 모두 말하기는 어렵겠지만, 몇 가지만을 소개하고자 한다.

첫째, 사용자 친화적인 보안은 초기부터 고려되어야 한다. 시스템간의 상호작용에 대한 설계가 시작되는 프로젝트의 초기단계부터 논의되고 평가되어야 한다는 것을 의미한다. 이미 완성에 이르는 시스템에 보안을 적용한다는 것은 시스템 가용성, 성능 등에 해가 될 수 있기 때문에 결국 사용자 친화적인 보안은 간과되기 쉬울 수 있다. 이는 빠른 속도로 기업의 수 많은 신규서비스가 발생하고 사라지는 오늘날의 환경 속에서 더욱이 소홀하게 생각될 수 있는 부분이기 때문에 그 만큼 시기의 중요성을 말하고 있다.

둘째, 모든 사용자가 고려되어야 한다. 초보적인 사용자부터 전문적인 사용자까지 보안 서비스를 이용하는 사용자들은 매우 다양하기 때문이다. 스마트폰을 사용하는 연령대가 10대부터 60대 이상까지 다양하다고 생각하면 이해가 쉽다.

셋째, 유용한 정보를 주는 피드백을 제공해야 한다. 사용함에 있어 명확하고, 유익하고, 충분하면서도 너무 전문적이지 않은 내용을 사용자에게 제공해줘야 한다는 것이다. 앞서 언급된 모든 사용자가 고려되어야 한다는 것과 일맥상통하게 사용자 중심의 접근을 말하고 있다.

넷째, 시스템 활동과 관련된 인지 부하(cognitive load)를 최소화시켜야 한다. 인지 부하란 사용자가 무언가를 인식하는 과정에서 정신적 요구량의 정도라고 설명할 수 있는데, 보안을 위한 인터페이스가 사용자가 시스템을 이용하는 과정에서 보안에 대한 인지를 최소화 시켜주는 역할을 해야 한다는 것이다. 즉, 내가 하고 있는 행위가 보안이라는 프레임에 의해 제동이 걸린다는 느낌 없이 본연의 행위에 보다 집중할수록 사용자 친화적인 보안에 가깝다고 볼 수 있다.

이외에도 보안의 가시성, 사용자 만족도, 미학적 디자인, 미니멀리즘 디자인, 학습용이성을 위한 디자인, 기술 및 전문 용어의 사용 감소, 성능저하 없는 보안 설계 등이 모두 사용자 친화적인 보안을 실현시키는 요소들이라고 말하고 있다.

사용자 친화적인 보안의 사례 및 결론

최근 실제로 많은 기업들은 편의성이 높은 보안에 큰 관심을 갖고 있으며, 편의성을 제품 및 서비스의 세일즈 포인트 중 하나로 활용하고 있다. 대표적 사례로는 삼성페이, 네이버페이, 카카오페이 등 국내 간편결제를 들 수 있다. 2017년 9월 기준으로 국내 5대 간편결제를 활용한 결제금액이 10조원을 넘어서서, 3년전과 비교하면 17배 늘어났다. 간편결제의 비약적인 성장 뒤에 바로 사용자 친화적인 보안에 있다. 간편결제는 공인인증서 같은 불편한 절차 없이 온라인과 오프라인에서 바이오인증 등을 이용하여 신속하고 간단하게 결제가 가능하도록 도와준다. 이처럼 보안의 편의성을 높이니 사용자가 보다 빠르게 간편결제 시장으로 유입될 수 있었다. 물론 기업만 이를 외친다고 되는 일은 아니다. 2015년 금융위원회에서 공인인증서와 Active X 폐지를 비롯한 특정 인증수단 의무사용 조항 제거 등을 통해 기업들에게 다양한 방법을 활용할 수 있도록 한 것도 공이 크다. 이를 통해 그 동안 관심 밖이었던 사용자 친화적인 보안의 가치가 발견되고 실제 사용자들이 인식하는 계기가 되었다.

정보보호 전문서비스 기업 측면에서 고객에게 제공할 수 있는 사용자 친화적인 보안은 무엇이 있을까? 그 중 하나가 보안 진단 자동화 솔루션이 좋은 사례일 것이다. 지금까지는 보안 취약점을 진단하기 위해서는 다수의 IT자산에 사용자들이 일일이 접속하여 진단 프로그램을 실행해왔다. 이는 고객에게 업무부담뿐만 아니라, 장애가 발생할지도 모른다는 걱정까지 주었다. 이러한 불편함을 개선하기 위해 보안진단 자동화 솔루션은 IT자산에 설치된 에이전트와 통신하며 일괄적으로 보안 취약점 현황 및 총체적인 보안수준을 한눈에 보기 쉽게 보여줌으로써 안정적인 시스템 관리에 도움을 주고 있다. 이와 같은 자동화 솔루션 적용을 통해 사용자는 보안을 보다 편하게 느끼며, 보안에 대한 긍정적인 생각을 갖게 될 것이다.

사용자를 고려하지 않은 과도한 보안은 결국 사용자에게 보안에 대한 부정적 경험을 만들 것이고, 이는 시장의 성장에 제한을 줄 것이다. 앞으로 사용자에게 편리한 보안, 즉 사용 가능한 보안이라는 Usable Security는 점점 보안에서 필수불가결한 요소가 될 것이며, 효과적이고 효율적으로 활용하는 기관 및 기업만이 더 많은 사용자들과 교감하는 서비스를 지속할 수 있을 것으로 내다본다.

참고 자료

[1] 인터비즈, '16년 전 함께 웃으며 비전 밝혔는데… 소니는 몰락, 애플은 황제되다 | 비즈니스 인사이트, https://blog.naver.com/businessinsight/221114733773

[2] 조민희, '보안에 UX를 더하다_Usable Security', http://ces.yonsei.ac.kr/?people=minhee-cho

[3] 배지환, 정승렬, '엔터프라이즈 소셜 시스템: 결정요인과 효과', 한국인터넷정보학회 학술발표대회 논문집, May 2014

[4] 조선비즈, '삼성 페이, 국내 누적 결제 금액 10조원 돌파… 1년 새 4.6배 성장', http://biz.chosun.com/site/data/html_dir/2017/08/20/2017082000380.html

[5] 전자신문, '한국 5대  PAY, 결제액 10조 돌파… 삼성페이 시장 절반 ‘평정’', www.etnews.com/20171009000066

[6] 전자신문, '[2017 하반기 인기상품] 마케팅우수-이글루시큐리티 ‘스마트가드’', www.etnews.com/20171218000061

[7] Bryan D. Payne and W. Keith Edwards, 'A Brief Introduction to Usable Security', IEEE Computer Society, May/June 2008

[8] Hans-Joachim Hof, 'User-Centric IT Security: How to Design Usable Security Mechanisms', https://arxiv.org/abs/1506.07167

[9] Ivan Arce, 'The Weakest Link Revisited', IEEE Security & Privacy, March/April 2003

[10] A. Howe, I. Ray, M. Roberts, M. Urbanska, and Z. Byrne, 'The Psychology of Security for the Home Computer User', 2012 IEEE Symposium on Security and Privacy