[주말판] 사용자 경험 강조한 마찰 없는 보안, 중요한가?

현재 모든 시장 장악한 개념, ‘사용자 경험’...유독 보안에 없는 이유는
어쩌면 깊은 곳에서부터 바뀌어야 할 문제...우리에게 정말 없는 것은 무엇일까

[보안뉴스 문가용 기자] 디지털 세계의 거의 모든 프로젝트는 ‘사용자 경험’이라는 마법과 같은 개념을 위주로 흘러간다. 특히 일반 소비자를 겨냥한 경우, 애플리케이션 개발이나 장비 제조 할 것 없이 모두 편리하고 아름다운 이용성이 핵심이 된다. 그래야 사용자들의 간택을 받을 것이기 때문이다.

[이미지 = iclickart]

하지만 그런 이용성 추구의 틈새로 보안이 새나간다는 문제가 지속적으로 발생하고 있다. 심지어 보안 장비와 소프트웨어를 만드는 회사들도 이 치명적인 덫에 빠져들고 있는 상황이다. 보안 솔루션을 너무 친절하게 만들다가 본질을 놓친다는 것이다. 카네기멜론 대학의 로리 크레이너(Lorrie Cranor)는 “보안 솔루션 개발자들 대부분 백엔드 보안 요소를 만드는 데 전문성을 가지고 있지, 사용자 경험을 증진시키는 데에 있어서는 미숙한 부분이 있기 때문에 이도 저도 아니게 된다”고 지적한다.

“제품 개발이 완료된 시점에 이르러서야 사용자 경험을 덧붙이는 정도입니다. 마치 일반 애플리케이션 개발사들이 맨 나중에 억지로 보안 기능을 집어넣는 것과 비슷하죠. 이 과정에서 둘 다 인간의 자연스러운 성향이나 습관 등을 놓치게 됩니다.”

그러나 보안 제품이나 솔루션이 사용자를 불편하게 만들면 어떻게 될까? 예를 들어 고성능 게임을 돌리거나 그래픽 편집 프로그램을 실행시키는데, 백신 엔진이 자원을 많이 소모시켜서 시스템을 느리게 한다면? 사용자들은 십중팔구 보안 제품을 꺼버린다. 심지어 언인스톨 하는 사례도 심심치 않게 발생한다. 그러고는 다시 켜거나 설치하는 일 없이 그대로 죽 간다. 이게 정말 사용자들의 해이로만 설명이 되는 현상인가? “사람들의 자연스러운 반응일 뿐이죠.”

크레이너는 “아무리 단단히 보호되어 있는 시스템들이라도 사용하기에 불편하면, 그 자체로 리스크가 된다”고 말한다. “왜냐하면 사용자들은 그 시스템을 사용하지 않을 것이기 때문입니다. 보호 장치를 해제하거나, 편리하거나 느슨하게 설정하거나, 아예 지워버리죠. 너무 편리성만 추구하다가 보안의 본질을 놓치는 것도 문제지만, 너무 본질만 추구하다가 불친절하게 만드는 것도 보안 리스크라는 겁니다.”

현장의 보안 담당자들과 업계에서도 사이버 보안의 실천 사항들을 전도하고, 잘 지키라고 권하려면 이용성에 대한 통찰력 있는 고민이 더 필요하다는 말이 나오고 있다. 그냥 단순히 보기 좋고 때깔 고운 솔루션이 아니라, 실제 보안을 향상시키는 데 일조할 수 있는, 그런 깊이 있는 이용성의 개념이 연구되어야 한다는 것이다.

디지서트(DigiCert)의 부회장인 시에라 애슐리(Sierra Ashley)는 “사이버 보안을 전파하고 사업화 시키는 데 있어 이용성은 필수불가결의 요소”라고 강조한다. “기본적으로 사용자가 해야 할 일을 최소화 하고, 보안 효과는 최대화 하는 것이 이용성의 핵심입니다. 물론 말처럼 쉽지는 않습니다만, 그런 방향을 잡고 연구를 해야 한다는 것이죠.”

보안, 일반 사용자들을 생각하다
시스템과 구성원들의 ‘보안력’을 강화하는 건 모든 조직들의 중요한 목표다. 그렇기 때문에 제일 먼저 생각해야 할 건 실질적인 작업 환경에서 보안 요소들이 어떤 식으로 작용하고, 업무에 어떤 영향을 미칠지 파악부터 해야 한다. 액센추어 시큐리티(Accenture Security)의 롭 보이스(Rob Boyce)는 “그저 예쁜 GUI 인터페이스를 말하는 게 아니라, 보안 강화라는 그 애매한 말을 가시적으로 보고 싶은 게 일반 사용자들의 요구 사항”이라고 말한다.

그러면서 VPN 연결이 최악의 사례라고 지적한다. “사무실 밖에서는 VPN으로 연결하라는 말을 많이 듣죠. 그것이 보안에 좋다면서요. 하지만 VPN 좋아하는 사람은 별로 없어요. 안전하다고 하는데, 사용자들이 느끼기에는 그저 귀찮고 지겨운 로그인 과정이 더 와 닿으니까요. 급하게 뭔가를 처리해야 하는 상황이라면 VPN 연결은 더 귀찮고 짜증나는 일이 되는 겁니다. 보안 성과라는 건 눈에 보이지도 않고요.”

게다가 특정 업무를 하는 데 있어 소중한 도구를 그저 보안을 이유로 막아버리거나 삭제하는 단순 무식한 제어 방법도 문제가 있다. 보안의 관리라는 것이 폭력적인 모습으로 나타날 때가 많다는 것이다. “사용자들의 것을 빼앗는 순간, 그것이 아무리 보안에 도움이 되는 것이라고 하더라도, 부정적인 결과를 낳을 수밖에 없습니다. 보안에 위협이 되는 것을 없애는 건 늘 사용자 스스로가 결정할 수 있어야 합니다. 그렇다는 건 보안 교육이 항상 있어야 한다는 뜻이 되고요.” 보이스의 설명이다.

지멘스 미국의 CSO인 커트 존슨(Kurt Johnson)의 경우, “직원들이 보안을 장애물로 여기지 않게 만드는 것이 중요하다”는 입장이다. “그래서 저희 보안 팀은 조직 내에서 사용되는 소프트웨어와 하드웨어를 보안의 관점과 사용성의 관점에서 분석합니다. 또한 최대한 현재 환경을 사용성 측면에서 있는 그대로 유지하려고 노력하죠. 사용자 경험을 해치면서 보호하는 걸 최대한 지양하고, 사용자가 작업하고 싶은 방식 내에서 최대한의 보안을 이루려고 합니다. 저희들끼리 늘 묻는 질문은 ‘이걸 최대한 편리하게 하려면 어떻게 해야 할까?’입니다.”

존슨은 “최대한의 보안을 유지하면서도 사용자 개개인의 노력을 최소화로 요구하는 방법들과 기술들이 꾸준히 나오고 있다”고 말한다. 그러면서 지멘스에서 유지하고 있는 다중인증 시스템을 예로 들었다. “저희 회사 내에서는 이중인증을 사용하고 있습니다. 다만 두 번째 인증 요소들을 세 가지로 제공합니다. 사용자들이 두 번째 인증 장치를 자기 상황에 맞게 고를 수 있도록 한 것입니다. 그래서 다중인증에 대한 거부감이 확실하게 줄어들었습니다.”

또한 직원들에게 각자가 원하는 클라우드 솔루션을 사용해도 보안 문제를 최소화 할 방법을 고안해내기도 했다고 존슨은 말한다. “상세히 설명할 수는 없지만, 회사 자원에 연결하면서도 단단한 보안 기능을 직원들에게 제공할 수 있는 클라우드 기반 기술을 도입했습니다. 이로써 보안과 생산성 모두를 잡은 것이죠. 사용자의 클라우드 선택지를 존중하면서도요.”

물론 모든 사람의 입맛을 다 충족시키면서 보안을 튼튼히 할 수는 없다. 심지어 나라와 산업에서 정해준 규정이나 표준 때문에 사용자 경험을 훼손할 수밖에 없는 상황도 간간히 나타난다. 쿠델스키 시큐리티(Kudelski Security)의 글로벌 CISO인 제이슨 힉스(Jason Hicks)는 “규정이 많으면 많을수록 사용성이 저해되는 건 사실”이라고 말한다. “하지만 그걸 있는 그대로 받아들이는 건 제대로 된 보안이 아니라고 생각합니다. 결국 보안도 가지고 있는 모든 상황과 변수들을 가지고 안전한 환경을 기획하고 설계하는 것이니까요.”

IT 사용자 경험의 훼손 줄이기
사용자 경험이라는 것이 반드시 최종 사용자만을 위한 건 아니다. 보안 관리자와 그 파트너 관계에 있는 사람들, 심지어 임원급들까지도 고려해야 한다. 밀리콤 텔레커뮤니케이션즈(Millicom Telecommunications)의 CISO인 존 마세리니(John Masserini)는 “어쩌면 관리자들이 워크플로우를 전체적으로 관리하기 위해 사용하는 인터페이스가 더 보수적”이라며 “보안 강화를 위한답시고 관리자의 ‘사용자 경험’을 훼손한다면 선택 받을 확률이 더 줄어들 것”이라고 말한다.

“기존에 해왔던 관리 방법과 프로세스를 보안 솔루션 하나 때문에 바꿔야 한다고 했을 때, 자기가 오랜 시간 유지해왔던 방법을 바꾸려는 사람이 얼마나 될까요? 대부분은 다른 보안 솔루션을 선택하겠죠.” 그러면서 마세리니는 최근 회사 내 도입한 권한 접근 관리(PAM) 솔루션을 예로 들었다.

“관리자들은 대부분 새 PAM 솔루션을 도입한다는 것에 거부반응을 보였습니다. PAM은 원래 관리자들의 할 일을 어렵고 느리게 만든다는 것으로 악명이 높거든요. 그런 그들의 목소리를, 몇 차례 회의를 통해 듣고 조율을 했습니다. 또한 현재 관리자 업무를 얼마나 효과적으로 줄이고 쉽게 만들 수 있는지도 계속해서 보여주었습니다. 특히 하루에 10번씩 로그인해야 했던 것을 한 번의 다중인증을 통해 할 수 있다는 것을 보여주자 쉽게 설득이 되었습니다.”

마세리니는 이런 방법을 통해 관리자들에게 더 나은 보안 솔루션을 무리 없이 제공하는 데 성공할 수 있었다. “보안도 향상되고, 관리자들에게 더 많은 시간을 줄 수 있게 되었습니다. 그러면서 보다 나은 조직이 되었죠. 구성원들의 만족감도 높아지고요.”

보안 업체 타이코틱(Thycotic)의 사용자 경험 관리자인 니콜 선딘(Nicole Sundin)은 “보안 산업이 예전부터 자신들의 핵심 사용자를 잘못 파악하고 있다”고 꼬집는다. “대부분 보안 업계의 전문가들은 보안 전문가들을 사용자로 상정하고 있어요. 시스템 관리자나 데이터베이스 관리자 등 여러 IT 전문가들도 포함되어 있고요. 즉 일반인은 안중에 없다는 것이죠.”

문제는 이런 IT 기술자들은 복잡하고 어려운 인터페이스나 작업, 솔루션에 익숙하다는 것이다. 그러니 이런 사람들의 눈높이에 맞춘 솔루션이나 서비스, 제품들이 일반 사용자들의 일상 속에서 매일 사용되기에 무리가 있을 수밖에 없다. 선딘은 “사용자를 기술자들로 간주하는 패러다임 자체가 비뀌어야 한다”고 강조한다. “그렇지 않으면 보안은 계속해서 버림받을 것입니다.”

보안 전문가들 역시 최종 사용자들이다
선딘의 말이 사실임은 분명하지만, 보안 전문가들 역시 ‘사용성’ 문제에 있어 간과되어서는 안 된다. 보안 업무를 보다 편리하게 만들어주는 도구들 역시 보안 업계에 더 필요한 상황이라는 것이다. 마세리니는 “오히려 보안 전문가들에게도 보다 간편한 도구가 필요하다는 사실을 많은 보안 솔루션 제조사들이 잊는 것 같다”며 “보안 팀을 이끄는 사람으로서, 아무리 튼튼하고 좋은 솔루션이더라도 우리 보안 팀원들의 삶을 더 각박하게 만드는 것이라면 구매하지 않을 것”이라고 말한다.

“특히 중요한 건 각종 플랫폼과의 연결성입니다. 그래서 데이터를 안전하게, 그러나 자유롭게 공유하면서 복잡한 보안 직무를 팀원들이 보다 쉽게 할 수 있도록 만들어줘야 합니다. 무조건 신개념의 새 제품이 나올 필요는 없어요. 지금 있는 것들을 조금씩만 꾸준히 보완해준다고 해도 충분히 만족스럽죠. 기능과 버그 수정의 면에서 업데이트도 중요하지만, 사용성 측면에서이 향상도 해줬으면 합니다.”

결국 쉬우면 쉬울수록 사용해보고 싶어지는 건 IT 솔루션이나 보안 솔루션이나 같다. 아무리 잠재력이 뛰어난 것이라 해도, 그것을 세상에 드러내기에 너무나 많은 노력이 들어가는 거라면, 결국 세상에 드러나지 않을 가능성이 높다. 아카마이(Akamai)의 CSO인 앤디 엘리스(Andy Ellis)는 “애플리케이션 방화벽의 사례에서 배울 것들이 있다”고 말한다. “

애플리케이션 방화벽은 굉장히 좋은 개념을 가진 보안 요소입니다. 그러나 실제 사용되는 사례는 많지 않습니다. 웹 트래픽에 안전하게 삽입하는 것도 어렵고, 오탐 문제를 해결하지 못했기 때문입니다. 아무리 좋아도 소용이 없다는 것이죠.”

보안 업체 사이버엑스(CyberX)의 부회장인 필 너레이(Phil Neray)는 “보안 분야에서 기술력이 가장 높은 사람들로 꼽히는 SOC 분석가들 역시 사용하기 편한 인터페이스를 선호한다”고 말한다. 불편한 걸 쓸 줄 안다고 해서 불편한 걸 찾는다는 건 아니라는 뜻이다. “특히 요즘에는 보안 전문가들과 분석가들 사이에서 API와 명령행 인터페이스에 대한 수요가 높습니다. 보안 업계가 이 부분에 사용자 친화적인 뭔가를 만들어줬으면 해요.”

디지서트의 애슐리의 경우, 최근 자사 플랫폼에서 인증서 발견 기능을 새롭게 설계하다가 “사용성이 핵심이어야 한다는 사실을 깨달았다”고 한다. “서트 인스펙터(Cert Inspector)라는 툴이 있습니다. 인증서를 찾아내주는 도구죠. 물론 취약점도 파악하게 해주고 보고서도 마련해주는 기능도 가지고 있습니다. 하지만 일반 사용자들 사이에서는 인기가 없었어요. UX가 엉망이었기 때문이죠. 그래서 이번에는 사용자 중심의 설계를 녹여내기 위해 꽤나 많은 투자를 진행했습니다. 그 결과 인터넷과 인트라넷 모두에서 더 안전한 환경을 구축할 수 있게 되었죠.”

사용자를 존중하라
자신이 어떤 서비스나 제품을 만들든, 결국은 사용자로부터 선택을 받아야 한다. 그래야 시장이 활성화 되고 기술이 발전하며 결국 보안 강화로 이어진다. 포스포인트(Forcepoint)의 CTO인 니콜라스 피시바흐(Nicolas Fischbach)는 “사람을 중심으로 보안 제품을 설계하라는 게 아니라, 사람들이 참여할 수 있도록 보안을 설계하라는 것”이라고 강조한다.

“이건 어쩌면 뿌리까지 깊게 내려가는 문제일지도 모릅니다. 왜냐하면 보안 업계 내 전문가들이 사용자들을 그다지 존중해오지 않은 것이 이렇게 드러나고 있는 것이기 때문입니다. 그러나 사용자 경험을 극대화해야 한다는 건, 그런 우리의 오래된 태도부터 바꿔야 한다는 소리가 될 수 있습니다. 우리는 항상 ‘사용자들을 고쳐야 한다, 사용자가 문제다’라는 말을 입에 담고 살아왔습니다. 바꿔야 한다는 겁니다.”

리스크 베이스드 시큐리티(Risk Based Security)의 부회장인 사미라 크릴(Samira Creel)은 “고치는 게 아니라 변화시키는 게 핵심”이라고 강조한다. “사용자들은 취약점도 아니고, 패치해야 할 것도 아닙니다. 우리가 원하는 대로 개조할 수 없는데, 그 불가능한 싸움을 계속해온 것이 보안 업계의 문제가 아니었을까요. 사용자 친화적인 설계가 만고의 진리까지는 아니더라도, 지금 우리 보안 업계에는 필요한 수정 사항입니다.”
[문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)