'百科全書/종합정보'에 해당되는 글 1572건

  1. 06:59:19 성격 테스트와 보안이 만났더니, 외향적인 사람들이 취약하더라
posted by 알짜 정보 岳岩 2019.08.20 06:59

MBTI 검사해보니, 보안 항목 정답 잘 맞추는 것과 실천력은 별개의 것
평소 설명서나 약관 즐겨 읽는 성격은 피싱 공격에 강한 편


[보안뉴스 문가용 기자] 외향적인 성격을 가졌다면 사이버 공격에 당할 확률이 높다는 연구 결과가 나왔다. 보안 업체 이셋(ESET)과 마이어스브릭스(Myers-Briggs)가 공동으로 진행한 것으로, 사이버 보안에서 ‘인적 요소’가 차지하는 부분을 더 깊게 이해하고자 실시한 프로젝트라고 한다. 버라이즌(Verizon)이 발표한 바에 의하면 보안 사고의 20%가 ‘사람’에게서부터 출발한다고 하고, 디텍스(Dtex)는 내부 위협의 64%가 사람을 원인으로 하고 있다고 하니 분명 ‘사람’은 보안에서도 연구해볼 만한 분야다. 

[이미지 =iclickart]


마이어스브릭스와 이셋의 연구 목표는 여러 성격 유형들이 어떤 종류의 사이버 공격에 취약한 성향을 보이는지 파악하는 것이었다. 이 프로젝트는 아직도 진행 중에 있고, 현재까지 520명을 조사했다고 한다. 이들은 현재 마이어스브릭스의 MBTI 테스트를 완료한 상태다. 마이어스브릭스의 사고 리더십 부문 책임자인 존 핵스턴(John Hackston)은 “사람의 성향을 파악하는 데 있어 MBTI가 가장 실용적인 근간이 될 수 있다”고 설명을 덧붙였다. 

MBTI는 사람의 성향을 네 가지 유형으로 나눠 파악하는 기법이다. 
1) 외향적 성격(E) / 내향적 성격(I) : 기운을 어디서 얻는가?
2) 감각(S) / 직관(N) : 정보를 어디서 얻는가?
3) 사고(T) / 느낌(F) : 무엇을 바탕으로 결정을 내리는가?
4) 판단(J) / 인식(P) : 잘 짜여진 생활을 좋아하는가, 열린 결말 유형의 생활을 좋아하는가?
다만 이번 조사에서는 사이버 보안과 관련된 항목들이 기존 MBTI 검사에 추가됐다.

“사이버 보안이라는 측면에 있어서 우린 한 사람도 빠짐없이 내부자 위협 요소입니다. 그런 전제를 깔고, 어떤 유형의 사람들이 어떤 공격에 잘 걸려드는지 파악하고자 했습니다. 그래야 보다 맞춤형으로 가이드라인을 제시할 수 있게 되니까요. 모든 사람을 동일하게 취급한 것이 보안 교육 실패의 요인이 아닌가 합니다.” 핵스턴의 설명이다.

핵스턴에 따르면 “현재까지 조사한 결과 – 너무나 당연한 말이지만 – 사이버 보안에 특히 강한 모습을 보여주는 단 한 가지 유형이라는 건 존재하지 않는다”고 한다. “이를 뒤집어보면, 사이버 보안에 유별나게 취약한 유형이라는 것도 없다는 뜻이 됩니다. 그러나 MBTI 테스트의 중간 두 개 항목(감각/직관, 사고/느낌)이 사이버 보안과 깊이 관련되어 있는 것으로 보입니다. 즉 정보를 어떤 식으로 습득하고, 어떻게 판단을 내리는지가 보안에 있어 중요한 요소라는 겁니다.”

그러면서 핵스턴은 INTP라는 유형의 사람들을 예로 들었다. 내성적이면서, 논리적이고, 분석적이며, 세부 사항에 집착하는 부류들이다. “저희가 연구한 바에 따르면 INTP에 속하는 사람들은 대체로 사이버 보안과 관련된 질문에서 높은 점수를 기록했습니다. 그런데 이 사람들은 주로 ‘나는 규칙 위에 있는 사람’이라는 생각하는 성향이 있기도 합니다. 안타까운 부분이죠. 사실과 논리에 집중하면서도 외향적인 성격을 가진 ESTP 유형 역시 보안 규칙을 잘 어깁니다.”

피싱 공격의 경우 어떤 내용이 어떤 식으로 작성되었는지에 따라 여러 유형을 속일 수 있는 것으로 나타났다. 사실에 기반을 둔 듯하면서, 돈을 아끼게 해준다거나 효율성을 높여준다는 식의 피싱 이메일이라면 객관적이고 분석적인 성격을 가진 ST 유형에게 잘 통한다고 한다. 사람을 잘 믿고 충성도가 높은 SF 유형의 경우, 정부 기관 등에서 온 것처럼 꾸며진 메일이 잘 먹혔다. 따듯한 성격의 NF라면 자선 단체에서 보낸 듯한 피싱 메일에 잘 속는다고 한다.

“전체적으로 봤을 때 외향적인(E) 성격의 사람들은 소셜 엔지니어링 공격에 약한 것으로 나타났습니다. 외향적인 사람들은 세상의 변화와 흐름에 맞춰가야 한다는 신념을 가지고 있는 경우가 많은데, 이것이 좋게 작용할 때도 있지만 나쁜 요소도 있습니다. 보안 소식이나 새로운 위협에 대한 소식을 빠르게 접하는 장점이 있지만, 이걸 사람들에게 전파하는 것에서 커다란 만족을 느끼고 끝나는 경우가 대부분입니다. 소셜 엔지니어링 공격자가 접근하는 것도 친근하게 대해줄 때가 많고요.”

또 다른 보안 업체 포스포인트(Forcepoint)의 인간 행동 분석 과학자인 마가렛 커닝햄(Margaret Cunningham)의 경우는 이른 바 ‘빅 파이브(Big 5)’라고 하는 유형으로 사람들의 성향을 분석하고 있다. 빅 파이브는 다음과 같다. 
1) 신경성
2) 외향성
3) 개방성
4) 친화력
5) 성실성
그런데 이 중에서도 ‘외향성’으로 분류되는 사람들이 보안 사고와 잘 연루되는 경향이 있다고 커닝햄은 설명한다. 

“빅 파이브 테스트를 해본 결과 친화력이 좋다고 나온 사람들이 정보 공유에 강한 모습을 보였습니다. 그런데, 그 성향 때문에 소셜 엔지니어링 공격에 잘 당하기도 합니다. 외향성이 강한 사람들은 불필요할 정도로 투명한 모습을 보일 때가 많고요. 둘은 찌르기만 하면 정보가 줄줄 나오는 유형입니다.”

성실성이 높은 사람들의 경우 실용적인 결정을 할 때가 많고 따라서 더욱 조심스러운 성격을 가지고 있다고 한다. “회원 약관이나 제품 설명서를 처음부터 끝까지 읽는 사람들이 바로 이들입니다. 이런 사람들은 피싱 공격에 잘 걸려들지 않습니다.”

커닝햄은 이러한 연구 결과의 의의에 대해 “어떤 사람이 어떤 상황과 맥락에서 약한 모습을 보이는지 알기 위한 것”이라고 설명한다. “따라서 맞춤형 교육과 지시를 내릴 수 있게 되는 것이죠. 물론 100사람을 위한 100개의 교육 프로그램을 만들 수는 없겠지요. 그러나 ‘넌 이러이러한 공격에 약하다’고 알려주는 것만으로도 기존의 프린트물을 나눠주는 훈련보다는 나은 교육이 됩니다.” 보안뉴스

3줄 요약
1. 사람의 성격에 따라 잘 먹히고 잘 안 먹히는 사이버 공격 유형이 있음.
2. 대략적으로 외향적인 성격의 사람들이 피싱 공격이나 소셜 엔지니어링 공격에 약한 편임.
3. 분석적이고 실용적인 걸 추구하는 사람들은 공격에 잘 걸려들지 않는 편.