새로운 소식

# 카네기멜론 대학의 로리 크레이너(Lorrie Cranor) #### “보안 솔루션 개발자들 대부분 백엔드 보안 요소를 만드는 데 전문성을 가지고 있지, 사용자 경험을 증진시키는 데에 있어서는 미숙한 부분이 있기 때문에 이도 저도 아니게 된다” #### “아무리 단단히 보호되어 있는 시스템들이라도 사용하기에 불편하면, 그 자체로 리스크가 된다”고 말한다. “왜냐하면 사용자들은 그 시스템을 사용하지 않을 것이기 때문입니다. 보호 장치를 해제하거나, 편리하거나 느슨하게 설정하거나, 아예 지워버리죠. 너무 편리성만 추구하다가 보안의 본질을 놓치는 것도 문제지만, 너무 본질만 추구하다가 불친절하게 만드는 것도 보안 리스크라는 겁니다.” #### 현장의 보안 담당자들과 업계에서도 사이버 보안의 실천 사항들을 전도하고, 잘 지키라고 권하려면 이용성에 대한 통찰력 있는 고민이 더 필요하다는 말이 나오고 있다. 그냥 단순히 보기 좋고 때깔 고운 솔루션이 아니라, 실제 보안을 향상시키는 데 일조할 수 있는, 그런 깊이 있는 이용성의 개념이 연구되어야 한다는 것이다. # 디지서트(DigiCert)의 부회장인 시에라 애슐리(Sierra Ashley) #### 기본적으로 사용자가 해야 할 일을 최소화 하고, 보안 효과는 최대화 하는 것이 이용성의 핵심입니다. # 액센추어 시큐리티(Accenture Security)의 롭 보이스(Rob Boyce) #### 그저 예쁜 GUI 인터페이스를 말하는 게 아니라, 보안 강화라는 그 애매한 말을 가시적으로 보고 싶은 게 일반 사용자들의 요구 사항 #### 특정 업무를 하는 데 있어 소중한 도구를 그저 보안을 이유로 막아버리거나 삭제하는 단순 무식한 제어 방법도 문제가 있다. 보안의 관리라는 것이 폭력적인 모습으로 나타날 때가 많다는 것이다. “사용자들의 것을 빼앗는 순간, 그것이 아무리 보안에 도움이 되는 것이라고 하더라도, 부정적인 결과를 낳을 수밖에 없습니다. 보안에 위협이 되는 것을 없애는 건 늘 사용자 스스로가 결정할 수 있어야 합니다. 그렇다는 건 보안 교육이 항상 있어야 한다는 뜻이 되고요.” # 지멘스 미국의 CSO인 커트 존슨(Kurt Johnson) #### 직원들이 보안을 장애물로 여기지 않게 만드는 것이 중요하다. #### 사용자 경험을 해치면서 보호하는 걸 최대한 지양하고, 사용자가 작업하고 싶은 방식 내에서 최대한의 보안을 이루려고 합니다. 저희들끼리 늘 묻는 질문은 ‘이걸 최대한 편리하게 하려면 어떻게 해야 할까?’입니다.” #### 최대한의 보안을 유지하면서도 사용자 개개인의 노력을 최소화로 요구하는 방법들과 기술들이 꾸준히 나오고 있다”고 말한다. 그러면서 지멘스에서 유지하고 있는 다중인증 시스템을 예로 들었다. “저희 회사 내에서는 이중인증을 사용하고 있습니다. 다만 두 번째 인증 요소들을 세 가지로 제공합니다. 사용자들이 두 번째 인증 장치를 자기 상황에 맞게 고를 수 있도록 한 것입니다. 그래서 다중인증에 대한 거부감이 확실하게 줄어들었습니다. # 쿠델스키 시큐리티(Kudelski Security)의 글로벌 CISO인 제이슨 힉스(Jason Hicks) #### “규정이 많으면 많을수록 사용성이 저해되는 건 사실”이라고 말한다. “하지만 그걸 있는 그대로 받아들이는 건 제대로 된 보안이 아니라고 생각합니다. 결국 보안도 가지고 있는 모든 상황과 변수들을 가지고 안전한 환경을 기획하고 설계하는 것이니까요.” # 밀리콤 텔레커뮤니케이션즈(Millicom Telecommunications)의 CISO인 존 마세리니(John Masserini) #### “어쩌면 관리자들이 워크플로우를 전체적으로 관리하기 위해 사용하는 인터페이스가 더 보수적”이라며 “보안 강화를 위한답시고 관리자의 ‘사용자 경험’을 훼손한다면 선택 받을 확률이 더 줄어들 것”이라고 말한다. #### “특히 중요한 건 각종 플랫폼과의 연결성입니다. 그래서 데이터를 안전하게, 그러나 자유롭게 공유하면서 복잡한 보안 직무를 팀원들이 보다 쉽게 할 수 있도록 만들어줘야 합니다. 무조건 신개념의 새 제품이 나올 필요는 없어요. 지금 있는 것들을 조금씩만 꾸준히 보완해준다고 해도 충분히 만족스럽죠. 기능과 버그 수정의 면에서 업데이트도 중요하지만, 사용성 측면에서이 향상도 해줬으면 합니다.” # 보안 업체 타이코틱(Thycotic)의 사용자 경험 관리자인 니콜 선딘(Nicole Sundin) #### “사용자를 기술자들로 간주하는 패러다임 자체가 비뀌어야 한다”고 강조한다. “그렇지 않으면 보안은 계속해서 버림받을 것입니다.” # 아카마이(Akamai)의 CSO인 앤디 엘리스(Andy Ellis) #### 애플리케이션 방화벽은 굉장히 좋은 개념을 가진 보안 요소입니다. 그러나 실제 사용되는 사례는 많지 않습니다. 웹 트래픽에 안전하게 삽입하는 것도 어렵고, 오탐 문제를 해결하지 못했기 때문입니다. 아무리 좋아도 소용이 없다는 것이죠.” # 포스포인트(Forcepoint)의 CTO인 니콜라스 피시바흐(Nicolas Fischbach) #### 자신이 어떤 서비스나 제품을 만들든, 결국은 사용자로부터 선택을 받아야 한다. 그래야 시장이 활성화 되고 기술이 발전하며 결국 보안 강화로 이어진다. “사람을 중심으로 보안 제품을 설계하라는 게 아니라, 사람들이 참여할 수 있도록 보안을 설계하라는 것”이라고 강조한다. # 리스크 베이스드 시큐리티(Risk Based Security)의 부회장인 사미라 크릴(Samira Creel) #### “고치는 게 아니라 변화시키는 게 핵심”이라고 강조한다. “사용자들은 취약점도 아니고, 패치해야 할 것도 아닙니다. 우리가 원하는 대로 개조할 수 없는데, 그 불가능한 싸움을 계속해온 것이 보안 업계의 문제가 아니었을까요. 사용자 친화적인 설계가 만고의 진리까지는 아니더라도, 지금 우리 보안 업계에는 필요한 수정 사항입니다.”