딜라이트닷넷

보안

‘윈도7’의 보안기능은…

이유지의 안전한 네트워크 세상 09.10.23 10:18

많은 기대와 관심을 모았던 마이크로소프트(MS)의 새로운 운영체제(OS) ‘윈도7’이 드디어 세상 밖으로 모습을 드러냈습니다. 부팅 시간이 ‘12초’밖에 안걸린다는 MS 자체 테스트 결과를 자신 있게 공표한 것에서 알 수 있듯이 ‘윈도7’은 크게 빨라진 속도와 사용 편리성이 가장 큰 특징입니다. 여러 손가락의 움직임을 인식하는 ‘멀티터치’, 다양한 PC나 주변기기를 쉽게 연결할 수 있는 ‘홈그룹’ 기능과 휴대전화·디지털카메라, 프린터 같은 디지털기기의 간편하게 활용하고 관리할 수 있도록 하는 ‘디지털스테이지’와 같은 새로운 기능도 집중 조명을 받고 있습니다. 저는 보안기능면에서 새로워지거나 강화된 점이 무엇이 있을까 관심을 가져봤는데요. 사용자의 편의성 개선에 가장 초첨이 맞춰진 만큼 보안기능은 크게 두드러지진 않습니다. 윈도 비스타의 보안기능 어찌보면 3년 전에 선보인 ‘윈도 비스타’가 지원하던 수준을 크게 벗어나지 않습니다. 다만 ‘보안도 편리하게’라는 취지가 반영된 느낌은 드는군요. 그 점에서 먼저 ‘윈도 비스타’에서 제공한 보안 기능과 이로 인한 이슈에 대한 설명이 필요합니다. MS는 2001년 윈도 XP 출시 이후 6년 만에 내놓은 ‘윈도 비스타’에서 대폭 강화된 보안기능을 선보였지요. 피싱 필터(인터넷 익스플로러)와 스파이웨어를 차단하는 ‘윈도 디펜더’, ‘비트락커’ 드라이브 암호화 기능은 ‘윈도 비스타’에 처음 적용된 기능입니다. 기존 XP 서비스팩2에서 지원하던 윈도 개인방화벽 기능도 강화됐었지요. 그중에서도 가장 이슈화됐던 것은 윈도 사용자의 악성코드 감염을 막기 위한 대책으로 MS가 적용한 ‘액티브X’를 제한하는 ‘사용자계정콘트롤(UAC)’ 기능입니다. 인터넷뱅킹을 비롯한 대부분의 인터넷 서비스에서 응용프로그램 배포 방식으로 ‘액티브 X’ 지원 방식이 널리 사용됐는데, 바뀐 ‘윈도 비스타’의 기능과 호환성을 채 확보하지 못해 출시 당시 서비스가 제대로 제공되지 못해서였습니다. 많은 사용자들이 ‘윈도 비스타’가 깔린 PC에서 상당기간 인터넷뱅킹, 전자정부서비스, 온라인게임 서비스를 이용하지 못해 불편과 혼란이 발생했습니다. 이를 해결하기 위해 정부 차원에서 윈도 비스타 출시에 따른 대책 회의를 열고 관계기관이 긴급 조치에 매달렸던 것이 생각이 나는군요. 모든 시중은행의 인터넷뱅킹, 전자민원 등 전자정부서비스를 비롯해 온라인 쇼핑몰, 게임 등에서 인증서나 해킹방지, 키보드 보안 등 다양한 보안 프로그램을 설치해야만 이용할 수 있었기 때문입니다. (이러한 경험 탓에 지난해 인터넷 익스플로러 8 출시 때와 이번 윈도7 출시 전에 MS는 호환성 문제를 앞서 해결하기 위해 MS와 관계기관은 일찌감치 많은 노력을 기울여 왔습니다.) ‘사용자계정콘트롤(UAC)’은 윈도에 로그인을 하면 일반 사용자 권한으로 들어간 후 관리자 권한을 사용할 때 이를 확인하는 보안 기술입니다. 주로 특정 프로그램을 설치·변경될 때 작동합니다. 예를 들어, 웹 서핑이나 블로깅, E-메일 전송, 문서작성 등 일반 기능은 낮은 권한으로 그대로 사용할 수 있지만 애플리케이션 설치, 드라이버 설치 등 중요한 기능을 사용할 때는 비밀번호를 입력한 후 관리자 계정을 얻은 후에야 사용할 수 있도록 조치합니다. 윈도7의 보안 기능 이번 ‘윈도7’에서 새로워진 보안 기능은 네가지 정도로 압축됩니다. 비트락커 투 고(BitLocker To Go), 앱락커(AppLocker), 다이렉트액세스(DirectAccess) 기능과 사용자계정콘트롤(UAC)의 개선입니다. ‘비트락커 투 고’는 외장형 USB 하드디스크, USB 메모리 등의 이동식 저장장치를 암호화하는 기술입니다. USB 드라이브를 분실하더라도 사내 기밀 데이터나 중요정보의 유출을 안전하게 보호할 수 있습니다. MS는 ‘윈도 비스타’에서 노트북의 플랫폼모듈(TPM)을 이용해 하드디스크를 암호화하는 ‘비트락커’를 지원했습니다. ‘윈도7’에서는 ‘비트락커’에 ‘비트락커투고’가 추가돼 데이터보호 기능이 한층 강화됐습니다. 또한 복구 키를 이용해 관리자가 필요할 때 데이터에 액세스할 수 있도록 제공합니다. 요즘 노트북 사용자가 엄청 늘어나고 개인정보, 기밀정보 유출방지에 대한 관심이 높은데, 이러한 보안 기능은 유용하겠습니다. ‘앱락커’ 역시 윈도 비스타에서도 제공했지만 크게 알려지지 않았던 기능입니다. 매우 높은 수준의 컴플라이언스 준수가 필요한 기업의 경우 IT 관리팀에서 ‘앱락커’에 있는 새로운 응용프로그램 차단 도구를 이용해 사용자 PC에서 사용이 가능한 응용프로그램을 지정할 수 있습니다. 이를 통해 불법적인 소프트웨어 사용을 막을 수 있고, 악성 소프트웨어로 인한 위험을 줄일 수 있습니다. ‘다이렉트액세스’는 회사 외부에서 업무를 하는 직원은 가상 사설망(VPN) 없이도 사무실 외부에서 기업 리소스에 손쉽게 접근할 수 있도록 제공하는 기능입니다. 이를 통해 오고가는 데이터는 암호화돼 있어 안전하게 보호됩니다. 원격지 근무가 많은 사용자 PC에 이 기능을 지원하는 윈도7 에디션을 설치해주면 기업들이 사용자원격 보안접속 솔루션인 IPSec VPN 클라이언트, SSL VPN 장비에 투자할 필요가 없어지게 될 수도 있겠군요. 기능만 좋다면 VPN 클라이언트 설치에 들어가는 시간이나 노력이 필요 없게 된다는 장점을 제공할 것으로 보이네요. ‘윈도 비스타’에서 많은 관심과 함께 불만과 불편을 야기했던 ‘사용자계정콘트롤(UAC)’은 편리성이 강화됐습니다. MS는 이 기능을 적용하면서 윈도 비스타에서 악성코드 감염이 ‘윈도 XP’ 대비 60% 이상 줄어든 것으로 파악하고 있습니다. 사용자들이 무심코 ‘예’를 눌러 ‘액티브 X’에 의한 악성코드를 설치하는 것을 UAC가 차단했기 때문입니다. 이렇게 사용자 PC의 보안성은 강화했지만 사용자가 하던 일을 중단시키고 창을 띄어 물어보는 UAC 기능이 너무 잦은 탓에 편의성이 반감되는 역효과를 냈습니다. 사실 우리 대부분의 사용자들은 가능하면  ‘나한테 뭔가를 물어보고 나한테 뭔가를 하도록 요구하지 말고 알아서 보호해줘’라는 생각을 갖고 있지 않습니까? 특히나 IT기술이나 보안에 대해서 모르면 모를수록 말이지요. 이 문제를 해결하기 위해서 ‘윈도7’에서는 사용자 모르게 윈도 설정이 변경될 때만 사용자 확인을 받은 형태를 택해, 편의성도 증대시키고 보안도 유지할 수 있도록 했다고 합니다. 구성 옵션도 기존의 UAC 기능 온/오프 외에 두가지를 추가한 네가지로 제공하는 방식으로 변경됐다고 합니다. 아래 화면 살펴보시죠. 항상 알림과 알리지 않는 기능 중간에 프로그램을 변경하려는 경우에만 알림, 바탕화면을 흐리게 표시하지 않고 알릴 수 있는 옵션이 있습니다.   그런데 이러한 보안기능 중에서 넷북 및 미니 노트북용 ‘윈도7 스타터’, 가정용 ‘윈도 홈 프리미엄’, 가정/업무용 ‘윈도7 프로페셔널’, 최상의 전문가용 ‘윈도7 얼티미트’로 구성된 제품군에서 모두 제공되는 기능은 UAC 뿐입니다. 비트락커 투 고(BitLocker To Go), 앱락커(AppLocker), 다이렉트액세스(DirectAccess)는 최상의 에디션인 ‘윈도7 얼티미트’에서만 지원됩니다. 사실상 일반인이 사용하게 되지 않게 되겠지요. 이에 대해 22일 윈도7 발표 기자간담회에서 한국MS의 이현석 부장은 “많은 보안업체들이 USB메모리 암호화 제품을 내놓고 있는데, 윈도상에서 돌아가는 응용프로그램은 MS가 잘 만들 수 있더라도 다할 수는 없다”며, “파트너가 곤란을 입어 윈도 에코시스템(생태계)를 해칠 수 있기 때문에 제한이 필요하다”고 설명했습니다. ‘협력업체를 배려한 조치’가 가장 큰 이유인 것처럼 해석되네요. 댓글 쓰기

MS 윈도7 출시, 보안업계엔 부담

이유지의 안전한 네트워크 세상 09.11.02 09:12

마이크로소프트 ‘윈도7’ 출시로 IT업계가 술렁이고 있습니다. 소위 ‘윈도7 효과’를 누릴 수 있을 것이란 기대 때문입니다. 가장 혜택을 기대하는 쪽은 아마도 PC제조사들과 소프트웨어 유통업체들일 것입니다. 윈도7에 대한 시장 반응이 이전 OS인 ‘윈도비스타’ 때와는 달리 아주 긍정적이라 더욱 기대가 큰 것 같습니다. 윈도7이 출시되자 OS상에서 돌아가는 응용소프트웨어 업체들도 저마다 윈도7 지원에 나섰습니다. 보안업체들도 마찬가지입니다. 윈도를 기반으로 형성된 ‘IT생태계’ 속에 함께 하고 있기 때문입니다. 그런데 보안 업체들은 몇 년 전부터 마이크로소프트가 새로운 OS나 인터넷브라우저(인터넷익스플로러)를 내놓을 때마다 속앓이를 하고 있습니다. 사업을 계속하려면 마이크로소프트가 새롭게 출시하는 OS를 지원할 수밖에 없지만 새로운 수익창출 기회가 생기는 긍정적인 면보다는 부담이 더 큰 탓입니다. 그 원인이 마이크로소프트에 있다기 보다는 우리나라 IT환경이 그렇게 만들고 있습니다. 윈도와 인터넷익스플로러에 크게 의존적인 인터넷 환경 문제는 차치하고, 제대로 인정받지 못하는 보안제품 유지보수, 서비스 대가 문제를 더 거론하고 싶군요. 의무화된 인터넷서비스 보안, 당연시된 보안업계의 무상지원 보안업체들은 마이크로소프트가 새로운 OS, 새로운 브라우저가 출시되면 인터넷서비스 업체들이 실시하는 호환성 작업을 지원해야 합니다. 무상으로 말이지요. 대표적인 것이 정부기관과 금융사들이 제공하는 전자민원 등 전자정부서비스와 인터넷뱅킹입니다. 전자민원 등 전자정부서비스와 전자금융거래(인터넷뱅킹)서비스를 이용하려면 공인인증서, 해킹방지솔루션, 키보드보안 솔루션 등 다양한 보안 제품을 사용해야 합니다. 의무죠. 해당 사이트에 접속하는 사용자 컴퓨터에 자동으로 내려받게 돼 있습니다. 그렇기 때문에 이런 보안 제품들이 윈도7과 같은 새로운 OS를 지원하지 않으면 윈도7 PC 사용자는 이런 서비스를 이용하지 못합니다. 마이크로소프트가 사용자 보안성을 높이기 위해 보안 기능과 방식을 대폭 변경한 ‘윈도비스타’를 출시하던 당시, 보안 제품의 호환성이 확보되지 않아 인터넷뱅킹, 전자민원서비스 등 각종 인터넷서비스가 중단돼 이슈화됐던 적이 있었지요. 당시 정부까지 나서 서비스 장애 대책회의까지 하며 호환성 작업을 완료할 것을 재촉했습니다. 공공기관이나 금융기관, 기업들이 자사의 인터넷 서비스 장애를 사전에 방지하기 위해 윈도7, 인터넷익스플로러 8 등 새로운 프로그램 출시 시점에 맞춰 보안업체들에게 요구하는 호환성 작업은  당연시 돼 있습니다. 이 때 보안업체들은 무상지원하게 됩니다.  ‘유지보수’ 관점에서 당연히 지원해줘야 한다고 인식되고 있는 것입니다. 그런데 보안업체들은 이 때마다 제품을 변경하거나 특정 기능을 추가해 개발하는 작업, 이로 인한 관리 부담이 과하다고 이야기하고 있습니다. 한 업체 임원은 “마이크로소프트의 사업을 위해 출시하는 윈도 신제품 일정에 맞춰 원래 잡혀진 다른 작업일정은 제쳐두고 돈도 받지 못한 채 자체 인력과 비용을 써가면서 언제까지 지원해야 하는지 깜깜하다”고 이야기 할 정도입니다. 통상 보안제품 유지보수 요율은 1~2년 무상에 다음 해부터 7~8%, 많아야 10~12%를 적용하고 있는 것으로 알려져 있지요. 때에 따라 5~6%, 그 이하도 있을 수 있습니다. 한 곳에 3000만원 규모의 제품을 팔았을 경우 연간 10%의 유지보수 요율을 적용해도 300만원인데, 이 금액으로는 개발자 한 명의 한 달간 유지비용도 안됩니다. 주기적으로 생기는 새로운 OS나 IE 지원 작업에 매달려 이를 감당하기에는 역부족이라는 이야기입니다. 제품에 따라 다르지만 보안 제품은 이러한 작업이 아니더라도 그 특성상 새로운 위협이 나올 때마다 주기적으로 업데이트하는 경우도 있고, 자체 취약점 제거나 기능 보완, 추가 등 버전 업그레이드를 위해 투입해야 하는 작업들이 있습니다. 지원하는 OS 버전이 늘어나면 개발이나 테스트가 완료되더라도 유지보수 등 관리 부담까지 늘어나게 됩니다. 유지보수 대가 현실화 필요성 다시 수면 위로 현실적으로 공공기관이나 기업 시스템에 적용되는 솔루션의 경우에는 유지보수 대가 외에는 달리 비용을 청구할 수 없는 상황입니다. 결국 유지보수 요율이 현실화되면 업계의 불만도 일정수준 해소될 수 있는 문제입니다. 최근 윈도7 출시를 기점으로 해킹방지, 키보드보안 솔루션 등을 비롯한 전자거래서비스 보안 솔루션 업체들은 재계약시 유지보수 요율을 상향해야 한다는 필요성을 다시 제기하고 있습니다. 그러나 업체들이 개별적으로 고객들과 유지보수 요율을 올려 계약하기는 참 어렵습니다. 어렵고 불확실한 경제 상황에서는 더욱 그렇지요. 지금까지의 관행을 바꾸긴 더 어렵습니다. 한 문서보안(DRM) 업체에게 물어보니, 윈도7을 지원하는 새 제품이 출시되어도 유지보수 계약을 맺은 업체들에게는 무상으로 설치 제공해오고 있답니다. 성능이나 기능을 크게 업그레이드한 신제품을 내놔도 신규 고객을 확보하지 않는 이상 해당 제품군으로는 새로운 수익창출이 어렵다는 이야기입니다.   지금 쓰고 있는 프로그램을 오래 썼거나 더 성능 좋고 기능 많은 최신 프로그램을 쓰고 싶어서 돈을 주고 바꾸지 않는다는 것입니다. 뒤집어 보면 알아서 무상으로 주는데 당연히 돈을 주고 사지도 않겠지요.   유지보수 대가 현실화 문제는 보안업계 전반의 공감대가 이미 형성돼 있는 이슈입니다. 보안산업계의 숙원사업이 될 정도입니다. 보안업체들은 일반적인 소프트웨어 제품의 오류수정 등의 유지보수가 아니라 새로운 보안 위협이 등장할 때마다 패턴·시그니쳐 업데이트와 패치 개발, 사고복구 지원, 타 신제품과의 호환성해결 등을 벌이는 서비스 대가를 인정해야 한다고 꾸준히 요구해 왔습니다. 지식경제부 등 정부도 올해 산업육성 차원에서 공공분야에서만큼은 보안제품 유지보수 대가를 20~25% 수준으로 상향 조정하는 기준을 정하기 위해 추진했다 기획재정부의 반대로 백지화된 적도 있습니다. 해묵은 것 같은 유지보수 문제는 이슈화됐다가도 이처럼 늘 제자리인 것 같습니다. 그래도  올해 개정된 소프트웨어 대가기준으로 반보라도 나아갔다고 평가됩니다. 정부까지 나섰던 만큼 소기의 성과로 끝내지 말고 앞으로 진정한 성과를 나타낼 수 있도록 노력해주길 바랍니다.   업체스스로도 기꺼이 서비스에 돈을 지불할 수 있도록 상응하는 서비스를 제공하기 위해 더 많은 땀을 흘려야 할 것입니다. 댓글 쓰기

스마트폰 '혁명'과 함께 주목되는 신생 보안업체

이유지의 안전한 네트워크 세상 10.01.05 15:30

최근 주목되는 신생 보안업체 두 곳이 있습니다. 쉬프트웍스와 NSHC라는 회사인데요, '아이폰'을 비롯한 스마트폰의 등장으로 IT산업에 큰 변화가 일어나고 있는 요즘, 두 업체에 부쩍 관심이 쏠리고 있습니다.  두 업체는 모두 해커 출신이 설립해 대표로 있습니다. 무척 젊은 대표들입니다.   무엇보다 아이폰, 안드로이드폰 같은 스마트폰용 보안 솔루션을 앞서 개발했다는 공통점이 있습니다. 쉬프트웍스(대표 홍민표)는 아직 국내 출시되지도 않은 안드로이드 전용 백신(브이가드)을 가장 먼저 개발했습니다. 전세계 이용자들이 다운로드 할 수 있도록 현재 구글 마켓에 등록 절차를 밟고 있다고 합니다.  안드로이드용 백신은 전세계적으로도 아직 몇 개 없는 것으로 알려져 있는데요, 제품 성능과 수준이 어느정도인지는 모르지만 개발된 것만큼은 세계에서 두세번째 손가락 안에 꼽힐 것으로 추측됩니다. 쉬프트웍스는 아이폰 전용 백신도 이미 개발해 테스트중이고, '애플 앱스토어'에 등록할 절차도 진행하고 있습니다. 이뿐만 아니라 다른 신규 모바일 보안 제품 개발을 계속 추진하고 있답니다. NSHC(대표 허영일) 역시 아이폰용 백신(악성코드/해킹 방지 프로그램) '산네'와 입력보안 제품(엔-필터)을 개발했습니다. 이중에서 '엔-필터'의 경우는 얼마전 보도자료를 통해 정식으로 출시를 발표했지요. 두 제품은 모두 전자금융거래(인터넷뱅킹) 서비스 제공시 금융기관들이 사용자들에게 의무적으로 내려받아도록 제공해야 하는 보안 솔루션들과 같은 역할을 합니다.  입력보안 프로그램은 이용자가 인터넷뱅킹에 접속하면 자동으로 내려받는 '키보드 보안' 제품과 같은 역할을, '산네'는 해킹방지프로그램과 같은 역할을 하지요. '엔필터'는 가상키패드를 이용해 스마트폰에서 입력하는 모든 개인정보, 금융정보 등을 암호화합니다. 이 아이폰용 입력보안 제품의 경우엔 전세계 최초로 개발되지 않았을까 하는 생각이 듭니다. 전자금융서비스에서 사용이 의무화된 탓에 국내 사용자들이 널리 쓰고 있는 키보드 보안 프로그램이 해외에는 거의 없는 것처럼 말이지요. 혹시 은행에서 제공하는 아이폰 뱅킹 서비스에 적용될 수 있을지 관심이 갑니다. 이같은 아이폰용 보안 제품, 안드로이드용 보안 제품은 시만텍도, 안철수연구소도 아직 공식적으로 제공하지 않고 있습니다. 신생 업체들인만큼 이미 거대화된 업체들보다 발빠르게 제품을 개발, 출시할 수 있었을 겁니다. 아마 조만간 모든 백신 업체, 다양한 보안 업체들이 이같은 스마트폰용 보안 제품을 출시할 것입니다. 특정 분야에서는 벤처가 대기업보다 더 빠르게 전문화된 제품을 선보일 수 있었던 것처럼 말이지요.  조금 시간이 지나면 다른 주류 보안업체들도 출시할테니 혹시 인지도나 신뢰성면에서 뒤질 수는 있습니다. 그런데 요즘 나타나는 변화의 물결을 보면 꼭 그렇지만도 않을 것 같다는 생각도 듭니다. 아이폰을 비롯한 스마트폰은 기존 세상에 변화를 일으키고 있습니다. 기존 틀에 박힌 생각대로만은 돌아가지는 않을 것 같습니다. 스마트폰과 '앱스토어' 같은 모바일 오픈마켓이 결합되면서, 휴대폰 사용자들의 이용행태와 소비방식을 크게 바꾸고 산업지형까지 뒤흔들고 있기 때문입니다. 그렇게 몰고 오는 변화는 '혁명'이라는 단어로까지 표현되고 있습니다. 그만큼 파장이 크다는 이야기일 것입니다. 산업에 미치는 변화는 (좀 과장하면) 이제 개인들도 이제 마음만 먹으면 누구나 오픈마켓에 자신이 개발한 모바일 콘텐츠와 애플리케이션을 올려 소위 '대박'을 칠 수도 있는 시대가 왔을 정도입니다. 이것이 IT산업에도 모처럼 활력이 되고 있는 것 같습니다. 휴대폰과 통신업계뿐 아니라 소프트웨어, 인터넷서비스 업체들은 이같은 변혁에 주목해 다양한 스마트폰용 모바일 서비스를 잇달아 내놓는 등 발빠른 대응에 나서고 있습니다. 한발 늦었다가는 자칫 향후 산업에서 도태될 수 있기 때문입니다. 그래서 소프트웨어, 포털업체들도 앞다퉈 각종 스마트폰용 서비스를 내놓고 있는 것일테지요. 그런 면에서 기존에 보안 시장에서 1, 2위 하던 업체들이 모바일로 인한 변화에 빠르게 대응하지 못한다면, 앞으로 펼쳐질 무궁무진한 시장에서 쉬프트웍스나 NSHC같은 신생업체들이 그들을 제치고 앞설 수 있는 가능성도 충분하다고 생각합니다. 아마 제가 몰라서 그렇지, 쉬프트웍스나 NSHC같은 회사들이 훨씬 많을 것입니다.  이들이 보안산업을 더욱 성장, 발전시킬 차세대 주역으로 성장할 수 있길 기대합니다.  모바일로 인한 제2의 '벤처' 신화가 생겨날 지 주목되는군요.  댓글 쓰기

보안경고가 보안을 망친다

심재석의 소프트웨어 & 이노베이션 09.11.24 11:10

최근 유행하는 ‘넛지(Nudge)’라는 단어를 아십니까? 넛지는 원래 ‘옆구리를 쿡 찌르다’라는 동사입니다. 하지만 시카고 대학 캐스 선스타인 교수와 리처드 탈러 교수가 공동 집필한 ‘똑똑한 선택을 이끄는 힘, 넛지’라는 책이 등장한 이후 ‘어떠한 선택을 유도하는 힘’이라는 의미로 쓰이고 있습니다. “어떠한 금지나 인센티브 없이도, 인간 행동에 대한 적절한 이해를 바탕으로 원하는 결과를 얻어내는 힘이자 똑똑한 선택을 유도하는 부드러운 힘”이 바로 넛지입니다. 예를 들어 의사가 환자에게 어려운 수술을 권유할 때  “이 수술을 받은 100명 가운데 90명이 5년 후에도 살아 있었습니다”라고 말하면, 환자가 수술을 선택할 가능성이 높지만, “이 수술을 받은 100명 가운데 10명이 5년 안에 사망했습니다”라고 말하면 환자가 수술을 거부할 가능성이 높습니다. 100명 중 90명이 살아남은 것이나 100명 중 10명이 사망한 것은 같은 사실(fact)인데도, 어떻게 얘기하느냐에 사람들의 행동이 달라지는 것입니다. 제가 책 이야기를 꺼낸 것은 책의 한 대목 중 관심이 가는 부분이 있기 때문입니다. 저자는 이 책의 5장 ‘선택 설계의 세계’에서 어떤 피드백이나 경고가 사람들의 행동을 바꿀 수 있다고 말하고 있습니다. 당연한 이야기이죠. 디지털카메라는 사진 찍을 때마다 방금 전에 찍은 영상을 확인할 수 있습니다. 이를 통해 필름 시대에 흔하게 일어나던 오류, 즉 필름 제대로 끼우지 못하는 것, 렌즈 뚜껑 여는 것을 잊어버리거나, 사진 중앙에 있는 인물의 머리를 잘라버리는 것 등의 오류가 사라졌습니다. 노트북 배터리 잔량이 부족하면 전원을 연결하라는 경고도 사람들이 열심히 작성한 소중한 자료를 허공에 날리지 않도록 도움을 줍니다. 그러나 저자는 경고 시스템이 피해야 할 주요 문제가 있다고 지적합니다. 경고를 너무 많이 제공해서 사람들이 특정 경고를 무시하게 만드는 문제가 바로 그것입니다. 하지만 실제로 이런 일이 소프트웨어 및 웹의 세계에서는 너무 많이 일어나고 있는 것 같습니다. 경고를 너무 많이 해서 사람들이 경고를 무시하게 된 것 말입니다. 이메일 첨부파일을 열 때 컴퓨터는 정말 파일을 열 것인지 물어봅니다. 혹시 바이러스나 악성코드가 첨부된 파일일 가능성이 있기 때문입니다. 하지만 우리는 습관적으로 ‘예’를 누릅니다. 국내에서 특히 문제가 된 액티브엑스컨트롤도 이와 유사한 사례입니다. 인터넷 뱅킹을 하다보면 귀찮을 정도로 많은 보안 프로그램이 액티브엑스를 통해 유포됩니다. 웹브라우저는 우리에게 바이러스 및 악성코드를 주의하라며, 액티브엑스 설치여부를 묻습니다. 하지만 역시 반복되는 경고는 무조건 ‘예’를 누르는 습관만 기를 뿐입니다. 이 같은 문제는 오픈웹 운동을 주도하고 있는 고려대 김기창 교수의 ‘한국 웹의 불편한 진실’이라는 책에서 자세하게 지적되고 있습니다. 저는 현재 윈도7 운영체제를 사용하고 있는데요, 윈도7의 사용자계정컨트롤(UAC)도 비슷한 결과만 낳고 있는 듯 보입니다. ‘다음 프로그램이 이 컴퓨터를 변경할 수 있도록 허용하겠습니까’라는 질문이 반복되면서 부조건 ‘예’를 누르게 됩니다. 넛지의 저자들이 “경고 시스템이 피해야 할 주요 문제”라고 지적한 것을 그대로 행하고 있는 모습입니다. 소프트웨어나 웹 애플리케이션을 공급하는 업체들이” 우리는 보안우려에 대해 경고했으니 할 일은 다 했다”는 식의 접근이 아닌 실질적으로 사용자들의 보안 문제를 해결할 수 있는 방안이 필요할 것 같습니다. 댓글 쓰기