[김국배기자] '이게 우리랑 무슨 상관이지? IT팀과 보안팀에서 알아서 잘 하면 되는 것 아닌가?'
개인정보보호에 대한 필요성은 점차 커지고 있지만 현업 직원들의 정보보호에 대한 인식 수준은 여전히 낮다. 이런 탓에 애를 먹는 보안담당자들이 적지 않다.
안랩 이장우 이사는 25일 서울 삼성동 코엑스에서 이틀째 열린 '제20회 정보통신망 정보보호 콘퍼런스'에서 개인정보보호 인식을 제고시키기 위한 해결책으로 '넛지(Nudging)'을 활용하라고 조언했다.
넛지란 '팔꿈치로 슬쩍 찌르다, 주의를 환기시키다'는 의미로 부드러운 개입으로 타인의 선택을 유도하는 것을 말한다. 시카고대학교 부스경영대학원 교수인 리처드 탈러(Richard H. Thaler)가 행동경제학을 바탕으로 정립한 개념이다.
실제로 미국의 은퇴연금플랜 가입율은 옵트인에서 옵트아웃 규정으로 바꾸자 20%에서 90%로 뛰었다. 옵트인은 사전에 동의해야 한다면 옵트아웃은 거부의사가 없으면 동의한 걸로 치는 방식이다. 오바마 정부는 행정제도에 넛지 이론을 적용하고 있기도 하다.
이장우 이사는 특히 넛지의 주요 기법 중 하나인 '디폴트(default) 설정'을 보안에 사용할 것을 강조했다. 대부분의 사람들은 타성과 현상 유지 성향이 있기 때문에 보안을 선택사항(option)이 아닌 디폴트로 하는 것이 효과적이라는 게 그의 설명이다.
그는 부서별 보안담당자 지정 업무를 예로 들며 "부서별 보안관리자만 지정하고 실무를 담당할 보안담당자는 개별적으로 지정해 회신하도록 하면 회신율이 매우 낮았지만 일단 보안관리자가 기본적으로 실무를 겸하게 한 뒤 변경할 수 있도록 하니 효과가 훨씬 컸다"고 말했다.
그는 또 다른 예로 "개인정보보호 법령 준수 수준 점검 결과도 단순히 점수만 알려주는 것이 아니라 시각적 이미지를 활용해 전달하거나 사회적 영향력을 함께 알려주는 것이 더 와 닿을 것"이라고 부연했다.
그는 "회사에서 가장 많이 쓰는 게 감사와 징계지만 이는 피하려고만 할 뿐 사람에게 별다른 영향(동기부여 등)을 미치지 못한다"며 "직접적으로 자신에 미치는 위협이 무엇인지 구체적으로 알려주는 것 등 넛지를 사용하는 것이 중요하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기