사용자를 생각하는 보안 'Usable Security'

[이글루시큐리티] 사용자를 생각하는 보안 ‘Usable Security’

보안컨설팅사업부 배지환 선임컨설턴트

One Step Ahead 이글루시큐리티

 

몰락한 소니, 세계적인 애플의 차이점

UX; User Experience 사용자 경험 을 강조한 경영 전략

최대한 사용자 입장에서 사용성, 심미성, 감성, 유용성 등을 구성요소로 하여 제품과 서비스의 기획, 디자인, 마케팅

사용자와 콘텐츠의 접점 고도화

첨단기능마저 사용자가 불편하게 여겨질 수 있다면 기능에서 제외

 

말로만 외치는 사용자 중심 X

실제적으로 사용자 관점에서 사용자 중심을 실천 O

 

단순히 제품의 사용성과 효과성을 높인다 X

사용자의 정서적 가치까지 고려하여 사용자 경험을 강조 O

 

사용자 친화적인 보안

사용자가 보안을 편리하게 느끼도록 집중한다

IEEE 심포지엄에서 발표된 'The Psychology of Security for the Home Computer User' 연구

ㄴ현재 보안에 대한 접근방법은 사용의 용이성(ease of use)를 간과했다

 

IEEE Security & Privacy 학술지에 발표된 'The Weakest Link Revisited' 연구

ㄴ기업의 보안 관점에서 가장 취약한 부분은 "사용자"

→ 사용자에게 보안을 편리하도록 만들면 기업의 보안수준은 크게 향상될 수 있다.

 

IEEE Computer Society에서 발표한 'A Brief Introduction to Usable Security' Article

ㄴ사용자 친화적인 보안의 대표적인 분야 중 하나 "사용자 인증"

많은 연구에서 사용자 인증은 비밀번호가 아닌 사용 권한을 획득하는 것이 목적이다

즉, 사용자가 사용권한을 획득하기 위해서 복잡한 비밀번호를 반드시 입력할 필요가 없다는 것이다

→ PIN, 그래픽 인증, 바이오 인증, 보안 토큰 등

보안성과 편의성 모두 잡을 수는 없겠지만 두 가지 모두 고려해 다양한 인증 솔루션을 개발하려는 노력하고있음

 

사용자 친화적인 보안의 실현

'Guidelines for Usable Cybersecurity' 연구에서 사용자 친화적인 보안을 위한 가이드라인을 종합 및 분석하여

최종적으로 19가지를 제시

 

1. 사용자 친화적인 보안은 초기부터 고려되어야 한다

시스템 간의 상호작용에 대한 설계가 시작되는 프로젝트의 초기단계부터 논의되고 평가되어야 함

완성에 이르는 시스템에 보안을 적용하면 시스템 가용성, 성능에 해가 될 수 있음

빠른 속도로 많은 신규서비스가 발생하고 사라지는 오늘날의 환경에서 더욱 소홀히 될 수 있음

 

2. 모든 사용자가 고려되어야 한다

초보적인 사용자부터 전문적인 사용자까지 매우 다양

(사용자 중심의 접근)

 

3. 유용한 정보를 주는 피드백을 제공해야 함

사용에 있어 명확하고, 유익하고, 충분하면서도 너무 전문적이지 않은 내용을 제공해줘야 함

(사용자 중심의 접근)

 

4. 시스템 활동과 관련된 인지부하(cognitive load)를 최소화시켜야 함

*인지 부하: 사용자가 무언가를 인식하는 과정에서 요구되는 정신적 자원

사용자가 시스템을 이용하는 과정에서 보안을 위한 인터페이스가 보안에 대한 인지를 최소화 시켜주는 역할을 해야 함

내가 하고 있는 행위가 보안이라는 프레임에 의해 제동이 걸린다는 느낌 없이 본연의 행위에 보다 집중하도록

 

5. 그 외

보안의 가시성 / 사용자 만족도 / 미학적 디자인 / 미니멀리즘 디자인

/ 학습용이성을 위한 디자인 / 기술 및 전문 용어의 사용 감소 / 성능저하 없는 보안 설계

 

 

간편결제의 비약적인 성장 뒤에 있는 사용자 친화적인 보안

보안의 편의성을 높아 사용자가 보다 빠르게 간편결제 시장으로 유입될 수 있었음

기업 뿐만 아니라 정부의 정책이 뒷받쳐줘야함

 

정보보호 전문서비스 기업 측면

기존에는 보안 취약점을 진단하기 위해서는 각 IT 자산에 사용자가 일일히 접속하여 진단 프로그램 실행

(업무부담 및 장애 발생의 걱정)

보안 진단 자동화 솔루션: 에이전트와 통신하며 일괄적으로 보안 취약점 현황 및 총체적인 보안수준을

한 눈에 보기 쉽게 보여줘 안정적인 시스템 관리에 도움

 

사용자를 고려하지 않은 과도한 보안은 사용자에게 보안에 대한 부정적 경험, 시장 성장에 제한이 됨

 

Usable Security는 보안에서 필수불가결한 요소가 될것이며 효과적이고 효율적으로 활용하는 기관, 기업만이

더 많은 사용자와 교감하는 서비스를 지속할 수 있을 것이다.