보안 전문가, 또는 IT담당자라면 사용자에게 ‘어떻게 그것도 모르느냐’고 면박을 주기 전에 자신을 한 번 뒤돌아보길
필자는 대다수 IT담당자처럼 ‘어이없는 사용자’에 관한 이야기를 읽기 좋아한다. 자신과 관련이 없다면 그냥 재미있는 이야기에 불과하기 때문이다. 레딧(Reddit)에서 IT담당자에게 현업 사용자의 가장 어이없는 질문이 무엇인지 알려달라는 글을 보고, 바로 클릭한 적 있다. 그렇지만 이내 크게 실망했다. 실망한 대상은 사용자가 아니라 IT담당자였다.
바보 같은 질문이 반드시 보안 인식 문제와 관련이 있는 것은 아니다. 보안 인식 문제와 관련이 있을 수도 있는데, 그렇다면 이는 주의해야 할 사항일 것이다.
사용자가 “컴퓨터가 내 비밀번호를 잊어버렸어요”라고 말했다면, 이는 분명 말이 안 되는 상황이다. IT담당자는 사용자가 자신의 비밀번호를 알고 있어야 한다고 생각할 것이다. 당연히 그래야 한다. 그러나 좀더 상황을 살펴보자. 아마 사용자는 브라우저 등에서 비밀번호 저장 기능을 이용했을 것이다. 능숙한 IT담당자라면 시스템이 비밀번호를 잊어버렸다는 말이 무슨 의미인지 묻고, 비밀번호를 저장하지 말라고도 충고할 것이다.
IT담당자의 불평을 읽으면서 이들이 일반 사용자가 모르는 전문용어와 은어를 사용하고 있음을 알게 됐다. 일반 사용자가 운영체제와 웹 브라우저의 차이를 안다고 가정해서는 곤란하다. 사실 일반 사용자는 이 둘이 무엇인지에 상관하지 않는다. 마이크로소프트는 인터넷 익스플로러를 윈도우 운영체제의 인터페이스로 만들려고 애를 쓰면서 비판을 받았었다. 이때가 언제인지 기억할 ‘똑똑한’ IT담당자가 얼마나 될까? 맥OS에는 사파리가 필수 구성요소로 탑재되어 있다.
사용자가 당연히 알 것이라는 생각 버려야
사용자에 대한 비판이 가장 격렬했던 다른 사례도 있다. 무선 마우스를 사고 PC에 동글을 설치하지 않은 사용자를 질책한 것이었다. 먼저 지적할 내용이 있다. 최종 사용자가 동글이 뭔지 알고 있다고 가정하는 것은 곤란하다. 사용자가 사용 설명서를 읽지 않았다면, 이는 최근 아주 손쉽게 사용할 수 있는 시스템이 대부분이고 블루투스 기기가 보급되어 있기 때문일 것이다. 이런 점을 참작하면, 대다수 사용자는 전원을 켜면 그 즉시 사용할 수 있다고 생각할 것이다.
또 모니터를 컴퓨터라고 생각하는 사용자에 대한 불평도 많았다. 어떤 사용자는 모니터를 켜면 컴퓨터도 켜질 것으로 생각한다. 실제로 일체형 PC가 있고, 시간이 흐르면서 통상 키보드의 스위치를 눌러 모니터와 컴퓨터를 모두 켤 수 있는 등 하드웨어 구성이 바뀌기도 했다. 이런 차이가 있을 수 있음을 IT담당자가 모른다는 것은 최종 사용자만큼 모른다는 의미가 될 수도 있다.
IT담당자는 최종 사용자에게 상식(Common Sense)이 없다는 이유로 ‘바보’라고 말한다. 그러나 상식은 있지만, IT담당자에게 일반적인 지식이 없을 수 있다. 사용자는 IT담당자처럼 IT 관련 문제에 관한 깊이 있는 지식이 없다. 또 사용자는 IT담당자가 통상 사용하는 전문 용어를 모르고 기기 설치법도 알지 못한다.
최종 사용자를 지원하는 업무로 경쟁력을 쌓는 IT담당자가 되려면, 그들에게는 IT담당자만큼의 지식이 없다는 점을 이해하는 것이 중요하다. 가장 중요한 부분은 IT담당자가(특히 바보 같다고 댓글을 다는 사람을 중심으로) 컴퓨터에 대한 지식수준이 제각각인 최종 사용자를 이해시키는 것이 자신의 역할로 받아들이는 것이다. 아무리 어려운 기술이라도 모든 사용자에게 이해시키는 것이 IT담당자의 역할이라는 점을 이해하지 못한다면, IT지원 직종이 존재할 이유가 없다.
IT담당자가 병원을 방문했는데, 의사가 일반적인 단어 대신 전문용어를 이용해 병을 설명했다고 가정하자. 많은 최종 사용자가 IT담당자와 대화하면서 이런 문제를 경험할 것이다. ‘심실 동맥 협착’이라는 말 대신 ‘심장마비’라는 표현을 사용하는 이유가 있다. 의료 전문가들의 경우 전문용어가 더 자세한 정보를 제공한다. 그러나 환자에게는 아무런 의미가 없다. 자신의 건강 상태를 이해해야 하는데 그러지 못하기 때문이다.
물론 현재 닥친 상황이나 자신이 한 일에 대해 거짓말을 하는 최종 사용자를 용서해야 한다는 의미는 아니다. 예를 들어, 포르노 콘텐츠를 다운로드 받으려다 발생한 문제에 대해 거짓말을 한 경우, IT담당자가 문제를 제대로 진단해 고칠 수 없다. 또 시스템을 재부팅 했다고 말했지만, 실제로 그렇게 하지 않았다면 모두가 시간을 낭비하게 된다.
무엇이 문제인지조차 모르는 사용자
보안에 대한 인식과 관련된 문제도 마찬가지다. 보안 인식을 담당하는 사람들은 사용자와 자신의 지식 수준이 다르다는 점을 알아야 한다. 또 기본적인 문제점을 전혀 모르는 사용자도 있을 수 있다고 생각해야 한다. 최신 서비스 팩을 설치하는 방법을 모르는 사람, 서비스 팩이 뭔지 모르는 사람도 있을 수 있다.
브로미움(Bromium)이 RSA 컨퍼런스에서 실시한 조사에 따르면, ‘(흔히 사용하는 표현인)어리석은 사용자’ 때문에 보안 담당자들이 낭패를 경험한 사례들이 많이 소개됐다.
넓은 의미로 보안 인식 제고란, 사용자가 상식을 발휘할 수 있도록 일반적인 지식을 제공하는 활동이다. 사용자가 보안 관련 실수를 저질렀을 때를 보면, 사용자가 하지 말아야 행동과 해도 되는 행동을 잘 알고 있을 것이라고 보안 전문가 지레짐작하는 경우가 종종 있다. 또 예외가 있기는 하지만, 보안 부서가 관련 교육을 제공하지 않거나, 교육이 적절하지 않아 이런 실수를 저지르는 사례도 있다.
필자는 피싱 공격 성공 사건을 조사하면서, 사용자에게 이메일 메시지의 링크가 정상인지 확인하지 않은 이유를 물었다. 그러자 모바일 기기를 이용해 이메일을 확인하는데, 누구도 아이폰에서 링크를 확인하는 방법을 알려주지 않았다고 대답했다. 이는 보안 인식 제고 프로그램이 잘못됐음을 보여주는 사례다.
보안 전문가의 경우, 업무 자체의 특성으로 적절한 보안 행동을 몸에 체득하기 때문에 이런 부분들을 잘 알고 있다. 그러나 사용자에게는 이런 경험이 없다. 따라서 보안 인식 제고 프로그램을 통해서만 사용자에게 보안 담당자와 같은 행동을 체득시킬 수 있어야 한다고 가정해야 한다.
브로미움의 조사에 참여해 사용자가 가장 큰 골칫거리라고 대답했다면, 두통약을 먹고 자기 자신을 돌아볼 것을 권한다.
*Ira Winker는 보안 서비스 기업 시큐어 멘템(Secure Mentem)의 대표다. dl-ciokorea@foundryco.com
