보안과 심리학, 그 연관성에 대하여
"많은 사용자들은 보안이 필요하다고 인정하면서도 보안에 많은 신경을 쓰지 않는다. 자신의 컴퓨터를 보호하는데 너무나 무관심하다. 이성과 감정이 따로따로 놀고 있는 것 아닌가. 어떻게 이런일이 일어날 수 있는가?"
유명 보안 전문가 브루스 슈나이어가 이 질문에 대답을 해주겠다고 도전장을 던졌다. 보안과 심리학간 상호작용을 파헤치는 방법으로...
여기서 잠깐 슈나이어에 대해 좀더 설명할 필요가 있을 것 같다. 그는 '디지털 보안의 비밀과 거짓말'과 암호학을 다룬 '어플라이드크립토그래피'란 저서로 알려진 보안 전문가이며 댄 브라운의 베스트 셀러 '다빈치 코드'에서 유명 암호학자로 실명이 거론될 만큼 브랜드파워를 자랑하고 있다. 시선을 사로잡는 발언은 그가 가진 '주특기'중 하나로 꼽히고 있다. 얘기가 조금 길었다. 이제부터 본론이다.
슈나이어는 이번주 있을 RSA컨퍼런스에서 자신의 최신 연구 결과물에 대한 주제 발표를 진행한다. 심리학과 보안과의 상호 작용을 다룬 내용인데, 사람들이 보안에 대해 어떻게 느끼고 생각하는지를 알아야만 팔리는 보안 제품을 만들 수 있다는것에 초점이 맞춰져 있다. 결국 고객마인드를 제대로 파악하고 제품을 개발하란 얘기다.
슈나이어는 보안을 현실이자 감정이라고 말한다. 현실은 가능성과 위협을, 감정은 위협에 대한 심리적인 반응을 뜻하는 것으로 보면 된다. 중요한 것은 현실과 감정은 어긋날때가 많다는 것이다.
이를 설명하기 위해 슈나이어는 비행기와 자동차를 예로 들었다. 사람들은 보통 자동차보다 비행기를 타는 것에 두려움을 보인다. 그 순간, '비행기가 자동차보다 안전하다'는 통계수치는 의미가 없어진다. 보안도 마찬가지다. 안전한데도 불안한 느낌이 들 수 있고 그 반대 상황이 연출될 수 있다. 이처럼 현실과 감정은 사람들의 머릿속에서 수많은 엇박자를 만들어내며 이는 종종 "도대체 뭐가 잘못된거야?"란 보안 업계의 당혹감으로 이어진다.
슈나이어는 이에 대해 해법으로 사용자 인터페이스를 강조하는데, 사용자를 위한 제품을 개발하라는 것으로 해석하면 될 듯 하다. 다크리딩닷컴에 따르면 그는 "과거에는 아무도 e메일 암호화를 이용하지 않았다. 그것은 기술 이슈라기 보다는 사용자 편의성에 관한 것이다"면서 계속해서 사용자를 부르짖고 있다.
Schneier: In Touch With Security's Sensitive Side
그렇다면 도대체 어디로 튈지 모르는 사용자들의 머릿속에 어떻게 들어갈 수 있을까? 그게 과연 가능하기나 한일인가?
이 물음에 대한 슈나이어의 대답은 브레인 휴리스틱스와 심리학을 이해한다면 "그리 어렵지 않다"는 것이다. 휴리스틱스란 자신의 경험을 바탕으로 보다 나은 해답을 찾아나가는 행태를 연구하는 학문을 말한다. 생쥐를 이용한 미로찾기는 휴리스틱스의 가장 대표적인 실험이다.
이쯤되면 독자분들은 슈나이어의 주장이 다소 어렵게 느껴질 것이다. 나 역시 머리가 아파오기 시작한다. 뇌의 구조까지 거론돼 있는 그의 이론을 단 몇줄의 글을 갖고 이해하기는 어려운 법이다.
그러나 걱정들 마시라. 슈나이어는 자신의 다음 저서에 자신의 이론을 자세하게 실을 것이라고 한다. 그가 내놓을 책속에는 과연 현실과 감정의 엇박자를 풀 수 있는 비밀이 담겨 있을까? 슈나이어 스스로가 자신감을 보였으니 한번 기대해봐도 좋지 않을까 싶다.