• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사용자 편의성 vs. 안전성이 난제라고? 더 큰 문제는 따로 2016.09.12

사용자 불편하게 하니 보안 안 한다? 알고 보니 가격 비싸고 복잡해서
각종 인증 절차로 잃는 시간 1년에 3일... 생산성 저하 문제도 존재

[보안뉴스 문가용] 사용자의 편의성과 안전성의 균형은 보안 전문가들이 영원히 풀 수 없는 난제와 같다. 안전하려면 불편해야 하고, 불편하자니 생산성마저 저해되는 것 같은 느낌의 쳇바퀴가 하루에도 여러 사람의 마음을 구른다. 소프트웨어 개발업체인 IS 디시전스(IS Decisions)가 이를 주제로 영국과 미국에서 500명의 IT 관리자들을 대상으로 연구를 실시했다.

▲ 뚜껑 여니 다른 문제가 와르르... 근데 이미 알고 있었어


먼저 IS 디시전스는 일반 사용자들이 암호를 보관하는 방법에 대해 조사했다. 포스트잇에 써붙인다는 사람이 영국 응답자들 중 32%, 미국 응답자들 중 65%였다. 메모장이나 다이어리 첫 장에 적어놓는 이가 영국 20%, 미국 41%였다. 잘 정리해서 인쇄한 A4 용지를 사무공간에 잘 붙여놓는다는 이들은 영국이 16%, 미국 26%였다.

그나마 장난감이나 개인소품 뒤에 살짝 숨겨놓는다는 이들은 영국 7%, 미국 24%였으며 워드파일로 컴퓨터 안에 저장해놓는 다는 사람은 영국 18%, 미국 47%, 전화기 내에 저장해놓는다는 사람이 영국 20%, 미국 32%였다.

그렇기에 암호만으로 사용자가 안전하리라고 볼 수는 없다는 게 영국과 미국 내 많은 기업들의 결론인 듯 하다고 IS 디시전스는 보고서를 통해 설명하고 있다. “그래서 실시간 모니터링이나 비정상적인 로그온 시 경보 발령 등 추가적인 장치를 도입해 암호와 계정을 보호하고 있죠. 특히 다중 인증이 많이 사용되고 있습니다.”

하지만 “다중 인증을 사용해야 한다는 소리가 이미 수년 전부터 나왔다는 것을 생각해보면 아직 도입률(영국이 24%, 미국이 52%)이 높은 건 절대 아니”라는 게 IS 디시전스의 평가다. 또한, IS 디시전스의 조사 결과 영국 응답자의 37%와 미국 응답자의 70%만이 정보 보안 인식 제고 훈련 및 교육을 실시하는 것으로 밝혀졌다.

그렇다면 왜 추가적인 보호 장치인 다중 인증을 적극 도입하지 않는 것일까? 위에서 말한 것처럼 사용자가 불편함을 느껴서? 이번 조사에서 ‘사용자의 불편함’을 추가 보안 장치 도입의 장벽이라고 꼽은 이는 영국과 미국 모두 15%에 불과했다. 그럼에도 보안 장치가 생산성에 부정적인 영향을 미친다고 답한 사람들은 영국이 43%, 미국이 47%로 절반에 가까운 수치를 기록했다.

“가장 큰 장벽은 IT 기반구조의 복잡성, 절대적인 시간 부족, 솔루션의 높은 가격이라고 대부분 응답했습니다. 이 세 가지 요인을 꼽은 이가 영국에서 58%, 미국에서 67%였거든요.” 실제로 ‘불편함’ 자체가 갖는 영향력은 그리 크지 않다는 것이다.

그럼에도 여전히 보안은 불편하고 시간이 오래 걸리는 일이라는 인상 자체는 만연한 것으로 보인다. 복잡한 보안 절차 때문에 하루에 15분은 허비한다고 생각하는 사람이 영국 29%, 미국 47%, 16~30분이라고 생각하는 사람이 영국 25%, 미국 22%, 31~60분이라고 생각하는 사람이 영국 10%, 미국 14%였다.

IS 디시전스는 이를 바탕으로 실제 계산을 했다. “로그인 등을 하는 데에만 30분이 걸린다면 한 시간에 26시간을 보안 점검에만 쓰는 겁니다. 이는 하루에 8시간 근무한다고 했을 때 3일치를 넘는 양입니다.”

응답자의 68%(영국)와 92%(미국)가 그럼에도 사전에 공격을 탐지할 수 있는 장치나 솔루션이 반드시 필요하다고 답했다. 또한 이들은 공격 탐지에 실패했을 때 취할 수 있는 행동들과 그 기반이 되는 정책 마련이 있어야 손실이 최소화된다고도 답했다.

ICS는 기업이나 조직이 구성원을 보호할 수 있는 다섯 가지 방법을 제안했다.
1. 실시간 모니터링 기술은 꼭 있어야 한다.
2. 비정상 로그인 등을 파악할 수 있게 해주는 ‘정상 상황의 정보’를 축적한다.
3. 네트워크 접근 제어 장치 및 방식을 기업에 맞게, 직원, 직책에 맞게 맞춘다.
4. 솔루션은 너무 복잡하거나 너무 비싸서는 안 된다.
5. 직원들을 정기적으로 교육해 보안에 대해 상기시켜 준다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>