[디지털투데이 홍진주 기자] 사이버 보안의 가장 큰 취약점이 사람에 의한 '인적 오류'라는 분석이 나왔다. 

25일(현지시간) 온라인 매체 기가진에 따르면 호주 멜버른대학교 컴퓨팅 및 정보시스템학부의 정종길 선임연구원은 사이버 보안 분야에서 인적 오류를 크게 두 가지로 분류했다.

첫째, '기술 기반 오류'다. 이는 일상적인 작업 중 주의가 산만할 때 자주 발생하는 사고다. 가령 한 직원이 회사 PC의 백업 과정을 잊어버렸다고 가정해보자. 이 사람은 백업하는 방법도, 백업의 필요성도 알고 있었지만 급한 용무 등으로 백업에 신경 쓸 겨를이 없었다. 만약 이 시점에 랜섬웨어 등 사이버 공격이 발생하면 데이터를 복구할 수 있는 방법은 없다. 

둘째, '지식 기반 오류'다. 이는 경험과 지식이 부족하거나 특정 규칙을 따르지 않았을 때 발생하는 사이버 보안 실수를 뜻한다. 예를 들어, 모르는 사람이 보낸 메일을 무심코 클릭할 때 메일에 포함된 악성코드가 시스템에 침투해 해킹을 당할 위험이 있다. 

한 조사에 따르면 데이터 침해의 약 68% 이상이 이러한 인적 오류에 의해 발생하는 것으로 나타났다. 이를 예방하기 위해 각국 정부와 여러 단체에서는 보안 교육에 많은 투자를 해왔지만, 효과는 그리 크지 않았다고 한다. 이에 대해 정 연구원은 "기술 중심의 획일적인 접근 방식을 취했기 때문"이라고 지적했다.

기존 교육 프로그램의 대부분이 비밀번호 관리 개선이나 다단계 인증과 같은 기술적 측면에 의존하는 경우가 많았다는 설명이다. 이에 따라 인간의 심리나 행동 원리에 기반한 문제 개선에 대해서는 소홀했다는 것.

정 연구원은 "사이버 보안 교육에는 인간의 행동을 바꾸기 위해서 인식을 개선하기 위한 지속적인 투자가 필요하다는 원칙이 적용된다"고 말했다. 
 

그는 최신 연구 결과를 바탕으로 사이버 보안의 인적 오류 문제를 해결하는 방법을 소개했다. 먼저 인지 부하(cognitive load)를 최소화해야 한다. 사이버 보안은 가능한 한 직관적이고 쉽게 실천할 수 있도록 설계되어야 한다. 또한, 교육 프로그램은 복잡한 개념을 단순화하여 일상적인 업무에 보안을 원활하게 통합할 수 있도록 하는 데 중점을 두어야 한다.

아울러 사이버 보안에 대한 긍정적인 태도를 기르는 것이 중요하다. 보안 교육은 공포전술이 아닌 좋은 사이버 보안 관행을 실천할 때 얻을 수 있는 긍정적인 결과를 강조해야 한다. 이를 통해 사이버 보안에 대한 행동을 재검토할 수 있는 동기를 부여할 수 있을 것으로 기대된다.

장기적 관점의 도입 역시 필요하다. 행동과 태도를 바꾸는 데 필요한 것은 단발성 이벤트가 아닌 지속적인 과정이다. 사이버 보안 교육은 지속적으로 이루어져야 하며, 더욱 진화하는 사이버 위협에 대응하기 위해서는 정기적인 업데이트가 필수적이다.

정 연구원은 "진정으로 안전한 디지털 환경을 구축하기 위해서는 종합적인 접근이 필요하다"며 "견고한 기술이나 건전한 정책도 중요하지만, 가장 중요한 것은 충분한 교육을 받고 보안 의식이 높은 인재를 확보하는 것"이라고 강조했다.

• 전기차, 女보다 男 더 탄다…"몰라서 문제"
• [2024국감] 과기정통부, 데이터 기부 받아 취약계층 전달 방안 검토
• [2024국감] “AI 격차 해소 AI 바우처 사업 추진 필요”
• [2024국감] 김영섭 KT 사장 “유보신고제 대상 확대, 정책 따를 것”
• 포커 게임 '발라트로', 아이작·스타듀 밸리 등과 콜라보 선봬