'보안성과 편의성은 반비례한다'는 메시지는 그동안 진리처럼 통했다. 그러나 최근에는 안전을 위해 불편은 어느정도 감수해야 한다는 고정관념도 흔들리는 모양새다. 이런 가운데 좋은 사용자 경험(UX)을 제공하는 것이 좋은 보안을 이끈다는 주장까지 나왔다.
미국 애플리케이션 개발사인 10펄스 소속 최고보안책임자(CSO)인 피터 헤세는 자사 블로그를 통해 "보안은 비밀번호로 장벽을 쌓는 대신 애플리케이션의 전체 흐름 상 뒷단에서 돌아가도록 설계해야한다"고 주장했다. 사용자 경험을 방해하지 않는 선에서 추적과 모니터링 기능을 확보해야 한다는 것이다. 사용자에게 직접 보이지 않는 뒷단에서 보안성을 높이기 위한 조치들을 취하는 것은 물론 이를 자동화해 사용자 경험과 빠른 대응력을 동시에 확보할 수 있다는 설명이다.
이를 위해 헤세 CSO는 "IT관리자들은 사람들이 어디서 정보를 찾는지, 이를 위해 어떤 것을 클릭하는지, 관련 애플리케이션을 통해 어떤 경로를 거치는지를 이해하는 일은 매우 중요하다"고 강조했다. 이러한 부분에 대한 통찰력을 바탕으로 임직원들과 마찰을 최소화하면서도 좋은 사용자 경험을 만들어낼 수 있다.
사람들이 애플리케이션을 어떻게 사용하는지 이해하는 일은 어떤 정보를 보호해야하는지에 대해 알려준다. 또한 IT관리자가 애플리케이션을 테스트하는 중 뭔가 잘못됐을 때, 누군가가 애플리케이션 내에 어떤 영역에 머물렀는지, 그들이 뭘 클릭했길래 에러가 났는지를 확인하는 것도 중요하다.
그의 설명에 따르면 예를들어 애플리케이션이 기본적인 정보와 민감한 정보를 나눠서 생각해보면 매일 약 85%의 사용자들은 기본적인 정보에 접속한다. 나머지 약 15%만 민감한 정보에 접근한다는 것이다. 이를 고려해 생각해 볼 수 있는 사용자 경험을 고려한 보안방안은 크게 3가지다.
먼저 용도별로 서로 다른 사용자 유형을 만드는 방안이다. 굳이 민감한 정보에 접근할 필요가 없게 만드는 것이다. 이를테면 기본정보에 접근할 수 있는 사용자와 민감한 정보까지 접근할 수 있는 사용자를 나누는 방법이다. 현재 계정접근제어솔루션을 통해 이런 서비스가 제공되고 있다.
관련기사
- 휴가철 PC-스마트폰 보안 가이드2015.07.02
- 구글, 기업용 서비스에 이중인증 관리툴 도입2015.07.02
- '혼자선 못막는다'...글로벌 보안 협업 주목2015.07.02
- 직원 불만 없는 기업 모바일 보안 전략, 해법은?2015.07.02
다음으로는 애플리케이션에 접근하는 사용자들의 채널을 구분해 관리하는 일이다. 정말 필요한 경우에만 해당 애플리케이션을 통해 민감한 정보에 쉽게 접근할 수 있도록 해야한다. 해당 정보에 접근할 필요가 없는 사용자들에게는 민감한 정보에 대해서는 아예 접근하기 어렵게 만들어야 한다.
세번째는 사용자들이 그들의 행동이 잠재적으로 어떤 결과를 초래할 수 있는지를 알리는 일이다. 사용자들에게 그들이 민감한 정보 혹은 공격에 취약한 작업을 하고 있는지 여부에 대해 단계별 알람을 줘야한다. 또한 위험한 작업을 수행한다고 여겨질 경우 시스템 자체나 IT관리자들에게 업무부담을 주지 않고서도 이를 기록할 수 있어야한다.
