“나는 괜찮다”... 보안을 위협하는 부인 증후군

대부분의 사람들은 자신의 온라인 보안과 프라이버시에 관심이 있다고 말한다. 설문조사에 설문조사를 거듭해 대부분이 예상할 수 있는 사실을 확인했다. 사람들은 신분 도난, 전화 해킹, 신용카드 유출, 은행 계정 악용을 원치 않는다. 사람들은 정부나 기타 아무나 자신에 대해 조사하는 것을 꺼리며 개인적인 생활에 대해서는 더욱 그렇다.

하지만 이런 설문조사 결과에서 이런 사람들 중 일부는 자신이 원하는 대로 자신의 프라이버시와 보안을 위해 충분한 노력을 기울일 의지가 없다는 결과도 도출할 수 있었다.

좀 더 최근에 모라르 컨설팅(Morar Consulting)이 VPN 제공기업 HMA!(Hide My Ass!)를 위해 2,000명의 소비자들을 대상으로 실시한 설문조사에서 응답자의 67%는 추가적인 프라이버시를 원한다고 답했지만 16%만이 프라이버시 강화 브라우저 플러그인을 사용했으며, 이중 인증을 사용하는 비율은 13%, VPN을 사용하는 비율은 11%, 이메일 암호화를 사용하는 비율은 9%, 토르(Tor) 같은 익명 소프트웨어를 사용하는 비율은 4%에 불과했다.

보안보단 UX, 그리고 나는 괜찮다는 인식
왜 그럴까? 심리학적 연구에 따르면 단순히 사람들이 게으르거나 기술이 부족하기 때문이 아니다. 우리의 행동 양식에 기인한다고 볼 수 있다. CDT(Center for Democracy & Technology)의 수석 기술 전문가 조셉 로렌조 홀은 이에 대한 연구가 100년 전부터 시작되었다고 말했다.

실제로 1883년 네덜란드의 암호 전문가 아우구스트 커코프는 군용 암호 시스템이 효과가 있으려면 "사용이 쉽고 스트레스를 주거나 많은 규칙에 대한 지식을 필요로 하지 않았어야 한다"고 밝혔다.

이를 현대 온라인 세계에 적용해 보면 보안을 유지하기 위해 다양한 사이트 및 기기에서 복잡한 비밀번호를 사용하도록 권고하면 대부분의 사람들이 무시할 것임을 알 수 있다.
FIDO 얼라이언스(FIDO Alliance)의 전무 브렛 맥도웰이 말했듯이 "보안 종사자들에게는 안타까운 일이지만, 사용자들은 '자신의 습관’대로 의사 표시를 했는데, 대부분은 사용자 경험(User Experience, UX)이 프라이버시와 보안을 능가한다고 명확하게 이야기했다”고 설명했다.

UX 외에도 관련된 것이 있다. 훨씬 최근인 2008년 연구원 라이언 웨스트는 1세기 이상 진행된 연구에서 알 수 있듯이 대부분의 사람들은 자신이 다른 사람들보다 위험에 덜 취약하다고 생각한다. 자신이 운전을 더 잘하거나 소비자 제품으로 인한 피해를 입을 가능성이 낮거나 평균 기대 수명보다 더욱 오래 살 것이라고 생각한다.

웨스트는 "이것이 컴퓨터 사용자가 스스로 다른 사람들보다 컴퓨터 취약성의 위험이 더욱 낮다고 생각하는 이유이다"고 밝혔다.

웨스트는 사람들이 개인적인 방화벽을 설치하는 등 보안 조치를 강화할 때 좀 더 위험한 행동에 관여하는 경향이 있다. 이를 "위험 항상성" 또는 위험 평준화라 부른다.

그 이유는 편의성의 보상이 즉각적이고 실재하는 반면에 보안을 위한 것들은 사용자가 해킹을 당했을 경우의 잠재적인 불편과 비용이 훨씬 크지만 추상적이고 실재하지 않기 때문이다.

CDT에서 근무하는 홀의 동료인 프라이버시 및 데이터 책임자 카타리나 콥은 이것이 단순히 지연되거나 추상적인 만족감 때문은 아니라고 생각한다. 보안에 시간이 필요하고 복잡하기 때문이라는 생각이다.

콥은 "현 시대에서는 소비자들에게 너무 많은 것을 요구해서는 안 된다. 예를 들어, 자동차 또는 제약 시장에서는 개인 소비자들이 전문가가 아니라는 사실을 충분히 인식하고 안전 조치를 수립한다"고 말했다.

홀도 이에 동의했다. 소비자들인 자신의 보안 툴을 구축할 필요는 없지만 이런 툴들이 일반 사용자가 사용하기에는 어려울 수 있다는 주장이다.

홀은 “나처럼 웹 서핑을 하는 사람은 거의 없다. 파이어폭스에 노스크립트(noscript, 자바스크립트 차단), 리퀘스트 폴리시(RequestPolicy, 서드파티 로딩을 반드시 수동으로 화이트리스트화), HTTPSEverywhere 등을 사용한다. 데스크톱 브라우징 경험을 상당 부분 관리하지만 상당한 관리와 기술적 이해가 필요하며 1996년처럼 흰색 배경에 검은색 텍스트와 몇 장의 이미지가 적용된 화면으로 서핑한다"라고 말했다.

맥도웰은 다른 예를 들었다. "많은 사이트들이 이중 인증을 옵션으로 제공하지만 물리적인 보안 토큰의 일회성 비밀번호나 사용자가 소유한 특정 모바일 기기로 전송된 SMS 등이 사용자들에게 장애물로 작용한다"고 말했다.

이어, "소비자들은 하나의 계정을 얻기 위해 패스코드(Passcode)를 여러 번 입력하는 것을 꺼리기 때문에 절대로 그렇게 선택하지 않거나 단순하게 차단하는 경향이 있다"고 설명했다.

그리고 잡프로드(ZapFraud)의 보안 연구원이자 CTO이고 설립자인 마커스 제이콥슨은 "대부분의 사람들에게 원인과 결과 사이의 관련성이 매우 모호하다. 무엇이 안전하고 무엇이 안전하지 못한 행동인지 헛갈리는 것"이 문제라고 말했다.

그는 또한, 사용자들이 자신들과 상관 없는 주요 해킹 소식을 들을 때 운명론적인 자세를 취하는 경향이 있다고 말했다. "문제가 자신의 통제 범위를 벗어나면 사람들은 손을 털고는 '굳이 귀찮은데 무엇하러?'라고 말하는 경향이 있다"고 설명했다.

사용자 인식 반영한 보안 툴 필요
콥은 온라인 보안이 정부가 "개인의 삶을 보호할 뿐 아니라 사회 전체를 위해" 여러 소비자 제품과 마찬가지로 제품 업체를 위한 "기준 요건"을 설정할 만큼 충분히 어려운 것이라고 말했다.

정부가 기준을 수립하는 최고의 독립체가 아니라는 사실에는 모두가 동의하지 않지만 업계에서는 소비자 보안을 단순화하려는 움직임이 있어 긍정적으로 보여진다. 단, 아직 임계 질량에 도달하려면 갈 길이 먼 것은 사실이다.

홀에 따르면 아이메시지(iMessage) 등의 일부 툴은 "사용성이 꽤 좋은 반면에 PGP(Pretty Good Privacy, 암호화 툴) 등은 사용이 매우 어렵다"

액세스 나우(Access Now)의 정책 조언자 드류 미트닉은 "엔드 투 엔드 암호화를 제공하는 사설 메신저 앱은 흔하다"고 말했다. 그는 사용자 프라이버시와 보안을 보호하는 앱의 시장이 성장하고 있다는 점이 "사람들이 신경을 쓰고 있다는 사실을 보여준다"고 말했다.

맥도웰은 2013년에 설립된 비영리 단체 FIDO 얼라이언스가 "사용자들에게 더 나은 UX를 제공하면서 조용하면서 은밀하게 보안을 강화하기 위해 개발된 온라인 인증 기능의 새로운 세대를 위한 개방된 산업 사양"을 구축했다고 말했다.

해당 조직은 사용자들이 비밀번호와 1회용 패스코드를 "공개 키 암호 그리고/또는 지문이나 홍채 센서 등 장치 내 생체 인식 시스템"으로 대체하여 그가 말하는 "마찰이 적은 UX와 강력한 보안"을 제공한다.

제이콥슨은 효과적인 사용자 보안 툴이 "반드시 사용이 매우 쉬워야 한다. 연결 또는 가입하면 툴에 대해서는 잊고 툴의 기능에 의지할 수 있다. 쉽게 만드는 것이 좋은 툴의 핵심이다."고 말했다.

하지만 그는 최고의 툴이라 하더라도 사용자가 현재의 "매우 깔끔한" 소셜 엔지니어링에 빠지는 것을 막을 수 없다고 경고했다. 더 이상 리비아의 공주만이 문제가 아니다.

제이콥슨은 "요즘은 상사의 프레젠테이션 검토 요청이나 확인을 위한 추가 파일 요청 등 목표 피해자가 의심하기 어려운 형태의 소셜 엔지니어링이 나오고 있다”고 설명했다.

하지만 현실적으로는 위협에 대한 사용자의 인식 그리고 이것이 편의성보다 중요하게 여겨지는지 여부가 중요하다. 미트닉이 말했듯이 토르와 VPN 같은 툴은 사용자에 따라 삶과 죽음의 차이일 수 있다. 어떤 사람들에게는 온라인에서 우리의 행동이 공개되지 않는다는 마음의 평화를 가져오는 추가적인 보호 계층이다.

홀은 제한적으로나마 낙관적으로 보고 있다. 그는 "활용 가능한 보안 메커니즘에 집중하는 인간 중심적인 디자인을 통해 더 나아지고 있다."고 말하면서 "하지만 충분히 빠르게 나아지고 있는지는 확실하지 않다"고 덧붙였다. editor@itworld.co.kr