2022.12.17.
정보 보안, 필요한 건 알지만 정말 귀찮다.
당장 일반적으로 회사에서 망은 분리돼있어 인터넷 검색을 맘껏하지 못하고, 문서 암호화 프로그램이라도 깔려있는 날에는 외부 업체와 문서를 주고 받을 때 암호화 해제도 해야하고, 집에서는 쉽게 옮기던 파일들도 온갖 인증을 받은 저장매체로 이동해야하는데다가 비밀번호는 무슨 매 달마다 바꾸라 하는지.
솔직하게 말하면 전공자인 나조차도 불편하다.
보안성(Security)은 가용성(Availability)과 상반되는 반비례 관계에 있다.
이러한 불편함은 조직을 운영하는 리더 입장에서는 사실 어쩔 수가 없을 것이다.
비즈니스적 관점에서 당연히 구성원의 불편함보다 회사의 정보자산을 지키는 게 우선시 되기에 보안은 불편하더라도 사용해야하는 친구고, 불편함을 당연시 여기고 구성원들에게 조금만 애써달라는 답변을 할 수밖에 없게 된다.
그럼 보안은 여전히 불편한 친구로만 남아있어야하는걸까?
보안성을 고려한다면 당연히 보안성은 유지하면서 가용성은 증대시키는 방안을 강구해야 한다.
보안 담당자는 사람이 보안성만 신경쓰면 되는거지 왜 가용성까지 신경써야하냐고 묻는다면, 난 놀랍게도 보안성을 유지하며 가용성이 증대된다면 자연스럽게 보안성도 덩달아 증대할거라 확신한다. (사실 하나의 부가적 요소가 더 필요하긴 한데 이건 뒤에서 설명하겠다)
사람은 기본적으로 귀찮으면 알면서도 잘 안 지킨다.
예를 들자면 과거 MP3 플레이어가 유행하던 2000년대 중반, 소리바다라는 사이트는 물론 각종 P2P 사이트들에서 불법 음원 다운로드가 정말 성행했다.
공짜라는 메인 장점도 있지만 일단 불법 다운로드가 정식 다운로드보다 방식이 간편했다(가용성).
소리바다는 음원을 검색하고 다운로드를 클릭하면 됐던 반면 기존 음원 사이트들은 곡을 선택하고 결제 Active X를 설치하고 휴대폰 번호를 입력한 다음 인증 문자를 받아 인증 번호를 입력하고 전송 프로그램을 추가로 설치한다음 구할 수 있었다.
심지어 이 중에서도 가격을 좀만 낮추면 DCF(DRM Contents File) 확장자로 된 복사 붙여넣기가 안되는 파일을 다운받게 됐다. 불법 다운로드라는 걸 알고 있었지만(보안성) 불편함과 무료라는 속성이 불법 다운로드로 사람들을 이끌었다.
불법다운의 편리성(검색-클릭) + 무료 + 적당한 품질 - 도덕적 불안
>>도덕적 만족감 + 양질의 콘텐츠 - 정식다운의 불편함(결제) - 유료
정식 음원이 아무리 양질의 콘텐츠라 하더라도 소리바다에서도 비슷한 품질의 음원은 구할 수 있었고, 돈도 양심도 없던 돈을 내고도 더 불편하게 다운을 받아야했던 정식 음원 사이트는 눈에 들어오기 어려울 수 밖에 없었다.
불법다운의 편리성(검색, 클릭) + 무료 + 적당한 품질 - 도덕적 불안
>>도덕적 만족감 + 양질의 콘텐츠 +정식다운의 편리함(정액제, 스트리밍) - 유료
그러다 스마트폰이 보급되고 정액제 결제와 간편 결제가 등장하며 음원 스트리밍이라는 서비스가 등장하자 시대는 빠르게 바뀌었다. 불법 다운로드보다 유료 스트리밍이 더 간편해진 것이다.
물론 시민의식의 증대도 한 몫했지만 적당한 가격에 도덕적 만족감과 편의성, 양질의 콘텐츠를 모두 획득할 수 있게 되자 사람들이 정식 서비스를 이용하기 시작했다.
실제로 토렌트로 불법다운이 성행하던 드라마, 예능, 영화도 OTT 서비스의 등장으로 불법 다운로드가 확연히 줄었다.
음원 스트리밍 서비스 확산에 따른 음원 불법 다운로드 감소
구독 서비스 확산에 따른 불법복제물 이용률 감소
KISA에서 나온 2020년 정보보호실태조사에 따르면 정보보호가 중요함은 90%가 넘는 사람들이 인식하고 있고, 사내 정보보호교육도 꾸준히 증가하여 평균 36%가 넘는 기업들이 수행하고 있다고 한다.
즉 이미 보안은 중요하고 필요하다는 '인지', 도덕성은 확보가 됐다.
그렇다고 사람들이 보안을 준수할까? 앞서 들은 예시처럼 쉽지 않다. 불편하기 때문에.
안타깝게도 정보 보안은 위 예시와 달리 일반 대중에게 더 뛰어난 콘텐츠를 제공하지도, 충분한 도덕적 만족감을 제공하지도 않는다. 현재의 보안은 그저 귀찮은 존재다.
앞으로 사람들에 의한 보안사고는 는 단순히 보안지식의 부족이 아니고 귀찮음, 어려움, 불편함으로 인한 보안의식결여로 이어질 확률이 높다. 이는 단순히 교육으로 해결될 문제가 아니고 왜 보안 교육을 받았음에도 의식결여가 발생하는가에 대한 구조적 문제를 들여다 봐야한다.
UX(User Experience)는 최근 몇 년전부터 현재까지도 IT 업계의 가장 뜨거운 화두다.
현재까지 우리나라 보안 시장에 있어 기술적 발전이 중점적으로 주목받아왔다면 이제 가능하다면 '편한 보안'을 만드는데 집중해야하지 않을까.
