하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

사이버 리질리언스는 IT 기술과 데이터 보호 능력에 심리학을 얹은 것
등록일 :
2022.08.30
사이버 리질리언스라는 건 보안 담당자 한두 사람이 구축할 수 없는 것이다. 구성원 전체의 보안 인식 향상과 관련이 깊기 때문이다. 보안 담당자들이 할 수 있는 건 기술적인 해결책을 제시하는 것에다가 교육과 훈련 코스를 제공하는 건데, 여기에 심리학적인 접근이 도움이 될 수 있다.

[보안뉴스 문가용 기자] 오늘 날의 사이버 위협들은 복잡하고, 지속적이며, 점점 더 파괴적으로 변하고 있다. 이 때문에 항상 경계심을 유지해야 하는데, 따라서 정신적인 소모가 적지 않다. 제대로 방어를 하려면 IT 기술력을 어느 정도 갖춰야 하지만 정신 건강도 받쳐줘야 하는 건 분명하다. 기술만 강조하다시피 한 지난 몇 년 동안 기술은 눈부시게 발전했지만, 그런 발전을 무력화시키는 각종 인간적 실수들을 우리는 얼마나 많이 보아 왔는가. 기술 무장에 더해 심리 무장까지 한다면 우리는 보다 온전한 방어 체계와 요즘 유행하는 ‘리질리언스’를 갖출 수 있을 것이다.

[이미지 = utoimage]


최근 보안 업체 이머시브랩스(Immersive Labs)는 사이버인력벤치마크(Cyber Workforce Benchmark)라는 보고서를 발표했다. 여러 산업에 걸쳐 기업 임직원들이 사이버 위협에 대응하기 위한 기술과 지식, 마음가짐을 얼마나 어떻게 갖추고 있는지 조사해 정리한 내용을 담고 있다. 그 중에서도 심리학적 관점에 따라 사이버 공격에 대비한 마음가짐이 어떤 차이를 만드는지가 집중적으로 다뤄졌다. 이 보고서의 내용을 일부 요약하자면 다음과 같다.

1) 사이버 보안 사고에 대비한 교육과 훈련을 실시하는 주기는 기업들마다 천차만별이다. 6400건이 넘는 위기 대응 결정 내용들을 분석했을 때 테크놀로지와 금융 분야의 준비도가 가장 높았는데, 연평균 9회(테크)와 7회(금융)의 훈련을 실시하는 것으로 조사됐다. 사회 기반 시설 분야의 조직들이 훈련을 가장 덜 하는 것으로 조사됐는데, 연평균 1회에 그쳤다. 의료 분야는 2회였다. 이 때문에 사건 대응 능력 점수를 의료 분야는 18점, 기술 분야는 80점 받았다. 훈련과 연습은 향상을 위한 가장 확실한 방법이다.

심리학적으로 이런 결과가 나오는 이유를 설명하는 것이 가능하다. 사람은 원래 특정 능력을 익힐 때, 보다 고차원적인 사고를 할 수 있기 전에 표면적인 지식을 습득하는 과정을 거친다. 표면적인 지식은 반복하지 않으면 쉽게 사라진다. 외국어 공부하던 것을 떠올려 보라. 주기적으로 말을 하거나 연습하지 않으면 할 수 있었던 외국어도 모르는 말이 되어 버린다.주기적으로 꾸준히 연습해야 사고 대응과 같은 보안 지식이 표면에서 사라지지 않고 남아 있게 되고, 그것이 보다 깊은 지식과 생각으로 이어진다. 

2) 사건 대응 전담 팀에 있어 랜섬웨어는 커다란 불확실 요소가 된다. 이번 연구에서 이머시브랩스는 사건 대응에 대한 자신감에 대하여 조사했다. 결정과 판단을 내리는 데 있어 가장 자신감을 잃게 하는 건 랜섬웨어인 것으로 나타났다. 일단 랜섬웨어 공격자들에게 돈을 내고 싶어 하는 대응 팀은 거의 없었다. 83%의 응답자가 돈을 내지 않겠다고 답했다. 하지만 그런 입장을 고수했을 때의 결과에 대해서는 큰 확신을 갖고 있지 않는 사람이 많았다. 결과적으로, 랜섬웨어에 당했을 때 돈을 낼 가능성이 높은 분야는 교육(25%), 컨설팅(23%), 전자상거래(20%)였다.

역시 심리학적으로 분석해 보고자 한다. 결과가 확실치 않은 선택지들을 검토해야 할 때, 우리는 보통 정보를 수집하고 분석한다. 그런데 정보가 너무 많고, 결정의 결과에 대한 압박이 지나칠 때 결정이 어려워진다. 그리고 이는 불안과 공포로 이어진다. 정보에 더해 온갖 감정들과 압박감까지 얹어질 때 뇌에는 과부하가 오고 우리는 자연스럽게 타협을 택하게 된다. 그리고 그러한 경험이 결정에 대한 불신과 자신감 부족으로 이어진다. 랜섬웨어는 결정에 대한 신뢰를 갉아먹기에 최적화 된 공격 도구라고 볼 수 있다. 그렇다면 우리는 여기에 어떻게 맞서고, 어떻게 결정에 대한 자신감을 강화할 수 있을까? 

3) 유명 취약점들의 경우 발견부터 실제 익스플로잇(및 익스플로잇 방어)에까지 도달하는 시간이 점점 줄어들고 있고, 이미 상당히 짧아진 상태다. 2021년 한 해 동안 가장 빠르게 개발된 익스플로잇 방어 기술 5개 중 4개는 로그4j(Log4j)에서 발견된 ‘역사상 최악의 취약점’인 로그4셸(Log4shell)과 관련되어 있다. 보안 업계가 로그4j의 취약점을 발견하고 방어하는 법을 파악할 때까지 걸린 시간은 이틀이었다. 일반적인 취약점에 대한 해결책이 나오는 데에 걸리는 시간보다 48시간이나 줄어든 기록이었다. 방어 방법을 결정하는 시간이 점점 줄어든다는 것으로 여기에는 양면성이 존재한다.

우리의 뇌는 지난 경험들을 바탕으로 항상 지름길을 선택하려는 성향을 가지고 있다. 이게 신속한 대응이라는 결과를 낳을 수도 있지만 오히려 사건을 악화시킬 수도 있다. 보통 이런 자동반사적인 지름길 선택 성향을 우리는 편견이나 편향성, 선입견 등으로 부르기도 하는데, 이 단어들에서도 비춰지듯 결과들이 대부분 좋지는 않다. 우리의 뇌가 긴급히 발동하고, 이는 선입견과 같은 판단을 내리게 한다는 걸 이해하면 뭔가를 결정해야 할 때 좀 더 조심스럽게 할 수 있게 된다. 

특정 공격 기법에 대한 공격법과 방어법이 점점 빨리 나온다는 건 대응의 측면에서 당연히 좋은 것이다. 하지만 모든 결정을 빠르게만 내릴 수 없는 게 사건 대응의 현실이다. 우리의 뇌가 본능처럼 제공하는 답이 선입견일 때가 많다는 걸 알고 한 번 더 검토하는 시간을 갖는다면 올바른 결정을 내릴 가능성이 높아지고, 이는 결정에 이르는 과정에 대한 자신감을 덧입혀 준다. 

결국은
좋든 싫든 모든 사람들은 사이버 공간에서 업무를 진행하고 생활을 한다. 따라서 모든 사람들이 이 공간에서 발생하는 위험의 종류에 대해서 끊임없이 인지하고 끊임없이 스스로를 훈련시켜야 한다. 아무리 뛰어난 보안 팀을 갖추고 있는 회사라고 하더라도 모든 구성원들의 일거수 일투족을 다 지켜보고 보호할 수는 없다. 그러므로 한 조직의 ‘사이버 리질리언스’라고 하는 건, 보안 팀의 도움 없이도 안전하게 행동할 수 있도록 하는 모든 구성원 개개인의 보안 의식 향상과 깊은 관련이 있다.

의식은 심리이기도 하다. 그러므로 사이버 리질리언스를 구축하는 건 막강한 IT 기술과 정보 보안에 튼튼한 심리학을 뒷받침하는 개념이어야 한다. 우리가 어떤 상황에서 어떤 결정을 내리는 지를 알고, 그 결정 과정을 보다 견실하게 만드는 방법을 이해하면 보안에도 도움이 된다. 보안은 가르치는 것이라기보다 훈련을 통해 생활 속에 녹아들게 만드는 것이어야 할 것이다.

글 : 벡 맥키오운(Bec McKeown), 인간과학 국장, 이머시브랩스
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top