2021.07.22

섣부른 믿음이 독 될 때··· 조심해야 할 보안 편향 8가지

Jaikumar Vijayan | CSO
보안 관련 결정을 내릴 때 리더는 여러 편견 및 인지 편향의 영향을 받을 수 있다. 팬데믹으로 인해 보안 우려가 커지는 가운데 이러한 편향성을 피하는 것이 더욱 중요해졌다. 

자산 관리 및 거버넌스 벤더 주피터원의 수닐 유 CISO는 “개인의 사고 방식은 보안에 직접적인 영향을 미친다. 많은 보안 사고의 원인이 사람의 실수라는 점에서 사람들이 생각하고 반응하며 행동하는 방식을 이해하는 것은 우수한 사이버 보안에 필수적이다”라고 말했다. 편향성과 관련해 유를 비롯한 여러 보안 전문가들이 전하는 조언을 정리했다. 
 
Image Credit : Getty Images Bank


확증 편향(Confirmation bias)
스스로 가능성 높다고 위협 시나리오가 맞을 것이라고 생각하는 우를 범할 수 있다. 디지털 섀도우즈(Digital Shadows) CISO 릭 홀랜드는 “확증 편향이란 본인이 예전에 확립한 견해나 믿음을 뒷받침하는 정보를 선호하는 것”이라고 설명했다. 

확증 편향이 특히 문제가 되는 것은 공격이나 위협의 원인을 찾을 때이다. 보안 리더들은 별다른 근거 없이 특정 국가 소속 행위자나 위협 행위자의 탓으로 돌려버리는 함정에 빠지기 쉽다. 확증 편향을 최소화할 객관적인 데이터 포인트를 찾아나서야 하며 대안적 시나리오를 살펴보고 본인의 신념 체계를 적극적으로 의심해 보아야 한다.

유는 모자 달린 옷과 스키용 마스크를 착용한 해커들이라면 자동적으로 악인을 떠올리는 경향을 지적했다. “모자 달린 옷을 입은 해커들의 빈도는 과대평가되고 해커처럼 보이지 않는 전문가들이 해커일 가능성은 과소 평가되고 있다”라고 그는 말했다.

편승 편향(Bandwagon bias)
동료들과 보안 관행에 대한 정보를 공유하고 비교하는 것이 권장되는 업계에서는 주위 사람들이 다 채택했다는 이유만으로 특정 방식을 채택하곤 한다. 블랙클록(Blackcloak) 창립자 겸 CEO 크리스토퍼 피어슨은 이러한 현상을 사이버보안 ‘편승 효과’라고 명명했다. 

일례로 CISO가 특정 위험에 대처할 통제 장치를 다른 조직에서 사용한다는 이유만으로 승인하는 경우가 있다. 이런 식으로 승인된 통제 장치는 효과가 아예 없거나 부분적에 그친다 해도 주위 사람들 모두가 하고 있다는 사실만으로도 충분히 정당화 된다는 것이다.

홀랜드는 “CISO들이 집단 사고의 영향을 최소화해야 한다”고 강조했다. 이러한 사고 방식은 대안적 사고를 없애서 잘못된 분석과 결론으로 이어질 수 있다. 그는 “CISO들은 다양한 팀 구축, 비판적 사고 양성, 선의의 비판자 관점 권장 등을 통해 집단 사고를 예방할 수 있다”라고 말했다.

사후 확신 편향(Hindsight bias)
사후 판단은 정확도가 높을 수밖에 없다. 그러나 사후 판단을 이용해 향후 사이버 위험에 대한 가정을 하는 것은 위험하다. 유는 사후 확신 편향이란 사실 잘 모르는 것을 이해하고 있다는 착각이라고 설명했다. 

그는 “침해가 발견되면 너무 뻔한 잘못을 저질렀기 때문이라 생각한다. 그러나 사실은 지나고 나서 보니까 뻔해 보이는 것일 뿐”이라고 말했다. 문제가 스스로 드러나기 전까지는 사람들이 그 문제를 발견할 만한 수단이 별로 없는 경우가 많다.

그는 일례로 여러 사람들이 코드를 주시하고 있음에도 불구하고 몇 년 동안이나 발견되지 않은 채 남아 있는 취약점을 지적했다. 취약점이 발견된 후에야 비로소 진작에 발견되었어야 할 것으로 여겨진다. 

유는 “과거를 이해한다고 생각하는 착각 때문에 미래를 정확하게 예측할 수 있다는 착각이 커진다”라며, “한 업체가 와서 과거에 어떤 문제를 해결할 수 있었을 것이다고 말하면 앞으로 새로운 문제도 해결할 수 있겠다고 믿게 된다. 그러나 실제로 그렇게 되는 경우는 드물다”라고 말했다. 

“그들이 못하게 한다” 편향(They won't let us do that bias)
보안 리더들과 실무진은 스스로 뭔가 못하는 것을 본인들이 직접 통제하지 않는 요소 탓으로 돌리는 경향이 있다. 상부의 지지 부족이나 변화에 대한 사용자 저항 등이 보안 프로젝트를 개시하지 못하는 이유로 흔히 언급된다. 

SANS 인스티튜트(SANS Institute) 신흥 보안 트렌드 책임자 존 페스카토레는 이를 “경영진/사용자가 절대 못하게 할 것” 편향이라 명명하고 가장 대표적인 사례는 강력한 인증이라고 소개했다. 

그는 “최고 임원진과 이사진 중에서 개인 온라인 금융 계좌 이중 인증에 SMS 메시지를 사용하고 모바일 장치에 지문이나 안면 인식 생체 정보를 사용하는 비율이 70%는 거뜬히 된다. 그런데도 보안 팀은 아직도 이중인증을 도입하려면 싸우게 될 것이라고 생각한다”라고 지적했다. 




2021.07.22

섣부른 믿음이 독 될 때··· 조심해야 할 보안 편향 8가지

Jaikumar Vijayan | CSO
보안 관련 결정을 내릴 때 리더는 여러 편견 및 인지 편향의 영향을 받을 수 있다. 팬데믹으로 인해 보안 우려가 커지는 가운데 이러한 편향성을 피하는 것이 더욱 중요해졌다. 

자산 관리 및 거버넌스 벤더 주피터원의 수닐 유 CISO는 “개인의 사고 방식은 보안에 직접적인 영향을 미친다. 많은 보안 사고의 원인이 사람의 실수라는 점에서 사람들이 생각하고 반응하며 행동하는 방식을 이해하는 것은 우수한 사이버 보안에 필수적이다”라고 말했다. 편향성과 관련해 유를 비롯한 여러 보안 전문가들이 전하는 조언을 정리했다. 
 
Image Credit : Getty Images Bank


확증 편향(Confirmation bias)
스스로 가능성 높다고 위협 시나리오가 맞을 것이라고 생각하는 우를 범할 수 있다. 디지털 섀도우즈(Digital Shadows) CISO 릭 홀랜드는 “확증 편향이란 본인이 예전에 확립한 견해나 믿음을 뒷받침하는 정보를 선호하는 것”이라고 설명했다. 

확증 편향이 특히 문제가 되는 것은 공격이나 위협의 원인을 찾을 때이다. 보안 리더들은 별다른 근거 없이 특정 국가 소속 행위자나 위협 행위자의 탓으로 돌려버리는 함정에 빠지기 쉽다. 확증 편향을 최소화할 객관적인 데이터 포인트를 찾아나서야 하며 대안적 시나리오를 살펴보고 본인의 신념 체계를 적극적으로 의심해 보아야 한다.

유는 모자 달린 옷과 스키용 마스크를 착용한 해커들이라면 자동적으로 악인을 떠올리는 경향을 지적했다. “모자 달린 옷을 입은 해커들의 빈도는 과대평가되고 해커처럼 보이지 않는 전문가들이 해커일 가능성은 과소 평가되고 있다”라고 그는 말했다.

편승 편향(Bandwagon bias)
동료들과 보안 관행에 대한 정보를 공유하고 비교하는 것이 권장되는 업계에서는 주위 사람들이 다 채택했다는 이유만으로 특정 방식을 채택하곤 한다. 블랙클록(Blackcloak) 창립자 겸 CEO 크리스토퍼 피어슨은 이러한 현상을 사이버보안 ‘편승 효과’라고 명명했다. 

일례로 CISO가 특정 위험에 대처할 통제 장치를 다른 조직에서 사용한다는 이유만으로 승인하는 경우가 있다. 이런 식으로 승인된 통제 장치는 효과가 아예 없거나 부분적에 그친다 해도 주위 사람들 모두가 하고 있다는 사실만으로도 충분히 정당화 된다는 것이다.

홀랜드는 “CISO들이 집단 사고의 영향을 최소화해야 한다”고 강조했다. 이러한 사고 방식은 대안적 사고를 없애서 잘못된 분석과 결론으로 이어질 수 있다. 그는 “CISO들은 다양한 팀 구축, 비판적 사고 양성, 선의의 비판자 관점 권장 등을 통해 집단 사고를 예방할 수 있다”라고 말했다.

사후 확신 편향(Hindsight bias)
사후 판단은 정확도가 높을 수밖에 없다. 그러나 사후 판단을 이용해 향후 사이버 위험에 대한 가정을 하는 것은 위험하다. 유는 사후 확신 편향이란 사실 잘 모르는 것을 이해하고 있다는 착각이라고 설명했다. 

그는 “침해가 발견되면 너무 뻔한 잘못을 저질렀기 때문이라 생각한다. 그러나 사실은 지나고 나서 보니까 뻔해 보이는 것일 뿐”이라고 말했다. 문제가 스스로 드러나기 전까지는 사람들이 그 문제를 발견할 만한 수단이 별로 없는 경우가 많다.

그는 일례로 여러 사람들이 코드를 주시하고 있음에도 불구하고 몇 년 동안이나 발견되지 않은 채 남아 있는 취약점을 지적했다. 취약점이 발견된 후에야 비로소 진작에 발견되었어야 할 것으로 여겨진다. 

유는 “과거를 이해한다고 생각하는 착각 때문에 미래를 정확하게 예측할 수 있다는 착각이 커진다”라며, “한 업체가 와서 과거에 어떤 문제를 해결할 수 있었을 것이다고 말하면 앞으로 새로운 문제도 해결할 수 있겠다고 믿게 된다. 그러나 실제로 그렇게 되는 경우는 드물다”라고 말했다. 

“그들이 못하게 한다” 편향(They won't let us do that bias)
보안 리더들과 실무진은 스스로 뭔가 못하는 것을 본인들이 직접 통제하지 않는 요소 탓으로 돌리는 경향이 있다. 상부의 지지 부족이나 변화에 대한 사용자 저항 등이 보안 프로젝트를 개시하지 못하는 이유로 흔히 언급된다. 

SANS 인스티튜트(SANS Institute) 신흥 보안 트렌드 책임자 존 페스카토레는 이를 “경영진/사용자가 절대 못하게 할 것” 편향이라 명명하고 가장 대표적인 사례는 강력한 인증이라고 소개했다. 

그는 “최고 임원진과 이사진 중에서 개인 온라인 금융 계좌 이중 인증에 SMS 메시지를 사용하고 모바일 장치에 지문이나 안면 인식 생체 정보를 사용하는 비율이 70%는 거뜬히 된다. 그런데도 보안 팀은 아직도 이중인증을 도입하려면 싸우게 될 것이라고 생각한다”라고 지적했다. 


X