우리가 게으르거나 부주의해서 보안에 문제가 생기는 것이 아니라 우리 뇌의 작동 방식이 보안을 취약하게 만드는 이유일 수도 있다는 글입니다.
우리는 멀티태스킹을 잘하지 못합니다.
많은 사람들은 자신들이 멀티태스킹에 능하다고 생각합니다. 하지만 실제로 우리의 뇌는 멀티태스킹을 잘하지 못합니다. 많은 양의 정보가 뇌로 들락날락할 때는 어떤 정보를 우선적으로 처리해야 할지 우선순위를 정해서 심리적 자원을 배분하려고 합니다. 그래서 동시에 두 가지를 하려고 할 때는 자원이 두 군데로 나뉘기 때문에 두 가지 모두 제대로 하지 못하는 일이 발생하기도 합니다. 이를 dual-task interference라고 합니다.
예를 들어 라디오를 들으면서 주차할 빈 공간을 찾으려고 할 때, 많은 사람들은 두 가지 모두에 제대로 집중하지 못한다고 느끼며 라디오를 꺼버릴 때가 많습니다. 하지만 청각과 시각은 분리된 과제이므로 서로 간의 간섭도 그다지 크지 않기 때문에 심각한 기능 저하나 실수가 발생하진 않습니다. 하지만 두 가지 비슷한 일을 동시에 할 때는 이야기가 달라집니다.
엑셀 파일을 만드는데 갑자기 팝업 경고가 떴다고 해보죠. 많은 사람들은 지금 집중하고 있는 엑셀 파일로 집중력을 되돌리기 위해 팝업을 제대로 보지도 않고 닫아버립니다. 하지만 지금 집중하고 있는 일이 종료된 뒤에 뜨는 팝업에는 훨씬 더 주의를 기울입니다. 실제로 과제를 주고 방해를 하며 피험자의 뇌 MRI를 찍어보아도 같은 결과가 나옵니다.
따라서 보안을 위해서는 프로그램이 팝업을 띄우기 전에 사용자가 무엇을 하는지 감지하도록 설계하는 것이 좋습니다. 예를 들어 웹 브라우저라고 하면 탭이나 창이 닫히면 경고 메시지가 튀어 오르도록 설계하는 것이지요.
습관화 역시 주요한 원인입니다.
습관화 또한 우리의 사이버 보안을 약화시키는 이유 중 하나입니다. 우리 뇌는 무엇인가에 익숙해지면 그것을 수면 아래로 가라앉혀 버립니다. 에어컨 소리나 팬 소리가 계속해서 신경을 거슬리게 하지 않는 이유가 이것입니다. 어느 정도 시간이 지나면 우리의 뇌는 당면한 과제와 무관하지만 지속되는 외부 자극을 삭제해 버립니다. 그래서 처음에는 너무 예쁘다고 생각해서 깔아 둔 컴퓨터 바탕화면이 조금 시간이 지나면 눈에 들어오지조차 않는 것이지요.
같은 논리로 뇌는 전에 본 것과 익숙한 팝업 경고에는 그다지 많은 자원을 배분하지 않습니다. 실제 실험에서도 같은 경고 메시지가 두 번 뜨자 이것에 주의를 기울이는 정도가 떨어졌고, 반복되는 횟수가 증가할수록 그 정도는 심해졌습니다. 그래서 우리는 프로그램을 업데이트하라는 팝업에는 전혀 신경을 쓰지 않게 되는 것입니다. 심해지면 메시지가 뜨는 것을 의식하지조차 못한 채 닫아버립니다. 이 문제를 해결하기 위해서는 매번 보안과 관련된 팝업 메시지 창의 디자인이 달라지도록 설계하면 됩니다.
습관화가 광범위해지며 일반화되면 더 큰 문제가 발생합니다. 같은 팝업뿐만 아니라 비슷한 팝업까지도 무시하고 의식에서 삭제해 버리는 현상이 발생하게 되는 것입니다. 다른 자동차의 소리가 계속해서 들리는 고속도로를 주행하다 보면 우리의 뇌는 내가 탄 차의 엔진 소리 같은 소음은 무시해 버립니다. 그리고 배경소음에서 두드러지게 튀어나오는 소리에만 주의를 기울이게 되거나, 의도적으로 들으려고 하는 소리만 들립니다.
이것은 매우 큰 문제를 야기하는데, 그 이유는 오랜 기간 동안 프로그래머들은 유저 인터페이스의 모양이나 느낌의 일관성을 유지하는 데 큰 노력을 기울여왔기 때문입니다. 많은 OS의 메뉴는 비슷하게 생겼습니다. 그래야 사용자들이 찾기가 편하기 때문입니다.
문제는 이제 보안 경고 메시지도 다른 메시지들과 너무 비슷하다는 것입니다. 모양새뿐만 아니라 메시지 창이 사용자와 상호작용하는 방식도 거의 유사합니다. 더 나쁜 것은 우리가 하루 종일 보안과는 무관한 팝업 메시지를 너무나 많이 받는다는 것입니다. 스마트폰 사용자는 하루 평균 218개의 알림을 받는다고 합니다. 따라서 많은 사용자들이 보안 경고를 무시합니다.
피험자들을 별 것 아닌 메시지를 받은 뒤 경고 메시지를 받는 그룹과 경고 메시지만을 받는 두 그룹으로 나누어 실험을 해보았습니다. 별 것 아닌 메시지를 받은 뒤 이와 형태가 비슷한 경고 메시지를 받은 그룹이 그렇지 않은 그룹에 비해 경고 메시지를 무시할 확률이 1.6배 높았습니다. 그러나 경고 메시지의 형태를 다르게 하자 두 그룹의 차이가 사라졌습니다. 쉽게 말해서 시각적으로 뭔가 조금 다르게 생긴 메시지가 도움이 된다는 뜻입니다.
형태뿐만 아니라 경고 메시지와 상호작용하는 방식 역시 크게 영향을 줄 수 있습니다. 클릭하여 닫는 메시지창과 슬라이드를 끌어서 닫는 메시지창을 비교해 보면 클릭해서 닫는 창을 무시할 확률이 2.8배 높았습니다.
결론적으로 이야기하면 사람들은 부주의하거나 게을러서 해커들에게 당하는 것이 아닙니다. 진짜 문제는 메시지가 디자인된 방식, 그리고 우리의 뇌가 그것에 어떻게 반응하느냐입니다. 따라서 사용자들이 조금 더 주의를 기울도록 훈련을 시키는 것보다 보안 메시지의 디자인을 바꾸는 게 더 효과적인 방법일 것입니다.
출처 : wsj
본 포스팅의 목적은 단순한 정보의 전달일 뿐 투자 권유나 종목 추천이 아님을 밝혀둡니다. 글의 내용에 의견과 사실이 혼재되어 있을 수 있으니 참고로만 하시기를 부탁드립니다.