보안 전문가, 여섯 가지 편향성으로부터 도움을 받자 2019.06.12

보안과 관련된 결정에 큰 영향을 미치는 편향성, 6가지 종류로 나뉘어
조직 내 편향성 파악하면 그에 맞는 보안 결정 과정 도울 수 있어


[보안뉴스 문가용 기자] 늘 반복되는 일이다. 기업 대표가 신문을 읽다가 다른 회사에서 발생한 유출 사고 소식을 접한다. 비슷한 일이 자기 회사에서도 발생할까봐 걱정이 된다. 그래서 어떻게 해야 하나 회의를 소집하고 조사를 시작한다. 그 과정에서 자신이 읽었던 사고 소식이 지금 회사와 전혀 다른 산업에 속한, 전혀 다른 규모의 회사에서 발생했다는 것을 깨닫는다. 이번에는 관심을 접지만 비슷한 일이 계속 일어나면 다른 결정을 내린다.

[이미지 = iclickart]


이는 가용성 편향(availability bias)의 한 사례다. 정보를 접하는 빈도수가 결정에 미치는 영향을 표현하는 방법 중 하나로, 실제로 많은 보안 팀과 운영 팀이 판단을 하고 결정을 내릴 때 작용한다. 그래서 국가 간 사이버전 공격 행위가, 처음에는 전혀 내 일처럼 느껴지지 않다가, 신문지 상에서 계속해서 읽으면 점점 내 일처럼 보이기 시작한다.

보안 업체 포스포인트(Forcepoint)의 수석 과학자인 마가렛 커닝햄(Margaret Cunningham)은 “오늘 날 조직들 내에는 수많은 결정권자들이 있고, 이들이 보안 투자액과 같은 중요한 사항을 결정하는데, 사실은 신문 매체 등에 등장하는 소식과, 그 소식을 개인 단위에서 접하는 빈도수에 따라 결정 내용이 좌지우지 된다”고 지적한다. 즉, 편향성에 의한 결정이 내려질 때가 대부분이라는 것.

“이런 편향성에 대해 이해하기 시작하면, 조직 내 구성원들이 어떤 식으로 결정을 내리는지도 이해할 수 있게 됩니다.” 그러면서 커닝햄은 “사이버 보안 업계에서 가장 많이 나오는 주제 중 하나가 사람의 실수”라고 짚었다. 그런데 그러한 이야기를 추적했을 때, 정말로 ‘실수’인 것은 거의 없었다고 한다.

“인간은 감정에 크게 휩쓸리는 경향이 있고, 그걸 로봇처럼 완벽하게 통제할 수 있는 사람은 거의 없습니다. 보안 업계가 정말로 인간의 실수를 이야기하고 지적하려면 이 부분을 이해해야 합니다. 그냥 ‘너 실수했으니, 줄여라’라고 할 수 없다는 겁니다. 인간은 과거와 현재의 경험에 의해 편향성을 가지고 있을 수밖에 없고, 이에 따라 올바른 결정이 무엇인지 모를 때가 더 많습니다. 우리가 실수라고 하는 건, 실수가 아니라, 이런 편향성 때문에 판단이 서지 않는 경우라고 봐야 합니다.”

인간의 인지적 편향은 비단 사이버 보안 산업에만 영향을 미치는 건 아니다. 어디에나 있고, 어디에나 작용한다. 그 원인이 명확한 것도 아니며, 언제 어디서 발동될지 예측할 수도 없다. “편향성이란 건 늘 유동적입니다. 정말 많은 요인들에 의해 변하죠. 과거의 경험, 현재의 피곤한 정도, 스트레스 수준 등 셀 수 없이 많습니다. 다만 사이버 보안의 경우 기술적으로 ‘하이테크’에 속하는 분야다 보니, 여기에 종사하는 사람들이 더 감정적으로 변하기도 합니다. 또한 사이버 보안은 전쟁 용어와 비슷한 말들이 상당히 많이 사용되는 곳이기도 하죠. ‘공격’, ‘침해’, ‘방화벽’ 등처럼 말이죠. 감정 소모가 있을 수밖에 없습니다.”

사이버 보안 전략에 영향을 미칠 수 있는 편향성에는 여섯 가지 종류가 있다고 커닝햄은 주장한다.
1) 가용성 편향

2) 총합적 편향(aggregate bias) : 보다 넓은 단위의 인구로부터 얻은 정보를 바탕으로 한 개인에 대해 추론하는 것.

3) 확증 편향(confirmation bias) : 자신의 믿음이나 상상을 입증하기 위해, 불리한 증거는 거들떠도 보지 않고 유리한 증거만 수집하는 것. 보안 사고 및 사건 수사를 진행하는 분석가들 사이에서 자주 나타난다. 큰 그림을 놓치게 한다.

4) 기준점 편향(anchoring bias) : 결정을 내려야 하는 초기 단계에 접한 일부 데이터나 특징에 집착하는 현상. 포렌식 수사 등을 하던 전문가가 초기에 찾아낸 데이터로부터 결과를 추출하고, 이걸 끝까지 고집하게 만든다.

5) 틀 효과(framing effect) : 의사 전달의 틀에 따라 실제 전달되는 정보를 보지 못하게 하는 현상. 주로 마케팅에 능한 사람들이 이 효과를 잘 사용하고, 그에 따라 성능 낮은 보안 툴을 비싼 값 주고 사는 경우가 생긴다.

6) 기본적 귀인 오류(fundamental attribution error) : 사람의 실수를 상황과 환경에 비춰서 생각하는 게 아니라 그 사람의 정체성 일부로 인지하는 것. 이 때문에 분석가나 전문가들이 일반 사용자들에게 자꾸만 책임을 묻는 것이다.

편견 깨기
물론 보안 전문가가 이런 ‘편향성’을 치료해줄 수는 없다. 그렇다고 사용자들이 자꾸만 ‘실수’를 저지르는 것도 막을 수 있는 것도 아니다. “다만 이러한 편향성에 의해 결정이 좌지우지 되는 부분을 꿰뚫어볼 수는 있습니다. 결정 내용에 따라 조직 내 만연한 편향성을 정리해볼 수도 있겠죠. 즉 조직원과 조직 전체에 대해 조금 더 깊은 이해를 할 수 있다는 겁니다. 그 이해를 바탕으로 보안 전략을 구성할 수 있습니다.”

그러면서 커닝햄은 “누군가 편향성에 기댄 결정을 내릴 확률이 높아 보이고, 그걸 보안 전문가가 알고 있다면, 그 사람에게 보다 알맞고 정확한 정보를 전달해 결정 과정을 도울 수 있게 된다”고 강조한다. “결국 이것이 보안 전문가가 지향해야 하는 맞춤형 서비스 아닐까요. 다크웹도 시장이 성숙해가면서 맞춤형으로 변한다는데, 그에 맞서야 하는 우리도 변해야죠. 보안이라는 분야가 심리학과도 어느 정도 연결되고 있습니다.”

3줄 요약
1. 사이버 보안 전략에 영향을 미치는 편향성에는 여섯 가지 종류가 있음.
2. 편향성은 치료할 수도 없고, 그대로 간과할 수도 없는 인간의 자연적인 요소임.
3. 그렇다면 이 편향성을 미리 파악해, 그에 맞는 맞춤형 보안을 제공할 수 있어야 하지 않을까.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


보안 전문가, 여섯 가지 편향성으로부터 도움을 받자

해킹 당한 라디오헤드, 해커에 저항해 모든 자료 무료로 풀어




사단법인 한국정보보호최고책임자협의회
서울시 마포구 마포대로 25 신한디엠빌딩 1302호 ㅣ TEL : 02-701-7037 ㅣ FAX : 715-8245 ㅣ Email : ciso@cisokorea.org
COPYRIGHTⓒCISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보취급방침