필자는 2012년 한 글로벌 IT 기업에서 정보시스템 운영자로 사회생활을 시작했다. 고도화된 업무 프로세스에 발맞춰 엄격한 보안 관리가 요구되는 곳이었다. 그러나 당시에는 이러한 프로세스가 기업의 보안성을 높인다기 보다는 업무에 불편함을 주고 서비스 가용성을 떨어뜨린다는 생각이 강했던 것 같다.
보안 의식이 지금보다 높지 않았던 탓도 있지만, 기업이 수많은 보안 솔루션을 도입하고 강력한 규제를 적용하면서도 실제로 솔루션을 관리·운영하고 보안 규제를 준수해야 하는 사용자들의 입장은 크게 고려하지 않았던 영향도 적지 않았다고 생각한다.
실제로 기업에 침투하는 공격의 상당수는 기업의 보안 관점에서 가장 취약한 부분, 즉 사용자를 이용하여 이뤄진다. 사용자의 입장에서 볼 때, 보안은 귀찮고 힘들며 어려운 요소이므로 보안에 자칫 소홀하거나 적절한 수준의 관리를 하지 못하는 경우가 많기 때문이다.
이는 역으로 사용자가 보안을 편리하게 느끼도록 보안에 대한 접근 방식에 변화를 준다면, 기업 전체의 보안 수준이 비약적으로 향상될 수 있음을 의미하기도 한다. 이것이 바로 보안성과 더불어 사용 용이성(Ease of use)에 중점을 둔 ‘사용자 중심 보안(Usable security)’의 필요성이 지속적으로 대두되고 있는 이유가 아닐까.
사용자 중심 보안의 요건은?
그렇다면 사용자 중심 보안은 어떻게 이뤄질 수 있을까? 국제전기전자기술자협회(IEEC)는 ‘사용자친화적인 보안을 위한 가이드라인: 과거와 현재(Guidelines for usable cybersecurity: Past and present)’ 보고서를 통해, 사용자 중심의 보안을 위한 19개의 요소를 제시한 바 있다. 이중 주목할 만한 핵심 요소 몇 가지를 소개하고자 한다.
우선 시스템 간의 상호 작용에 대한 설계가 시작되는 솔루션 기획 초기단계부터 사용자를 고려해야 한다. 오늘날 상당수의 기업들은 신규 서비스를 더 빨리 선보이기 위해 기획 단계에서 보안을 배제하는 경향이 있다. 그러나, 이미 완성된 시스템에 보안을 적용할 시에는 가용성과 성능이 떨어질 수 있고 사용자의 편의성이 저하될 수도 있는 만큼, 초기 단계부터 사용자 친화성을 염두에 두어야 할 것이다.
또한 다양한 사용자의 지식 수준을 감안하고, 사용자의 이해도를 높일 수 있는 정보를 제공해야 한다. 10대부터 70대 이상까지 다양한 연령대의 사람들이 스마트폰을 사용하듯이, 보안 솔루션과 서비스를 이용하는 사용자 역시 초급에서 고급 수준에 달하는 보안 지식을 가지고 있다. 이러한 사용자 모두에 최적화된 보안 기능을 제공하고 이들의 눈높이에 맞춘 유용한 정보를 제공할 수 있어야 한다.
보안 활동과 관련된 인지 부하(cognitive load), 즉 정신적 부담을 최소화시켜야 한다. 사용자가 업무를 수행하는 과정에서 ▶본인의 행위가 보안 때문에 제약을 받거나 혹은 ▶행여나 보안 정책에 위배되는 것이 아닐까 생각할 필요 없이 본인의 업무에 집중할 수 있는 사용자 친화적인 보안 인터페이스가 마련되어야 할 것으로 보인다.
이외에도 원하는 정보를 손쉽게 찾아보고 인지할 수 있게 시각적인 요소를 강화하거나 전문적인 용어 사용은 자제하는 등 사용자의 편의성과 이해력을 높이기 위한 다양한 노력이 요구된다.
사용자 친화성, 보안의 필수 요소가 될 것
이와 같은 요건을 만족한 사용자 친화적 보안의 대표적인 예로 ‘간편결제’ 서비스를 꼽을 수 있다. 금융감독원 자료에 따르면, 작년 9월 기준 국내 5대 간편결제(삼성페이, 네이버페이, 카카오페이, 페이코, 페이나우)의 총 결제액이 10조원을 넘었을 정도로 간편결제 시장은 비약적인 성장을 기록 중이다. 그리고 그 중심에는 공인인증서와 같은 불편한 절차를 없앤 사용자 친화적인 보안이 있다. 물론 공인인증서 의무 사용 폐지 등 정책적인 뒷받침도 사용자 친화적 보안의 가치를 전파하는 데 큰 몫을 했다.
앞으로 ‘사용자 중심의 보안(Usable Security)은 모든 기업이 고려해야 할 필수 요소가 될 것으로 보여진다. 사용자를 고려하지 않은 보안은 개인에게 부정적인 영향을 미치고, 기업 전체의 보안성을 떨어뜨리는 위협 요소가 될 수 있기 때문이다. 반대로, ‘사용자 중심의 보안’ 전략은 사용자의 업무 효율성과 편의성을 높이고, 기업의 방어력을 강화하며, 보안 산업의 경쟁력을 높이는 핵심 열쇠로 작용할 수 있다. 사용자 친화적인 보안 전략을 마련하기 위해 하루바삐 서둘렀으면 하는 바램이다.