Q14. 정보보안은 왜 기술이 아니라 ‘심리’로 결정될까요?
A. 사이버 보안 의사결정은 인간의 ‘인지 편향(Cognitive Bias)’을 피할 수 없기 때문입니다.
우리는 흔히
정보보안 의사결정이 기술적 비교와 객관적 평가로 이루어진다고 생각합니다.
하지만 현실은 다릅니다.
정보보안에서의 선택은
종종 기술의 우수성보다, 사람의 심리적 안정감에 의해 결정됩니다.
1️⃣ 정상성 편향 (Normalcy Bias)
정상성 편향이란,
“지금까지 큰 사고가 없었으니, 앞으로도 괜찮을 것”
이라고 믿는 심리입니다.
이 편향은 정보보안에서 특히 강하게 작용합니다.
- 기존 보안 장비가 계속 돌아가고 있고
- 당장 큰 사고가 없었으며
- 조직 내에서 큰 문제 제기가 없었다면
새로운 기술을 도입하는 쪽이
오히려 불필요한 위험처럼 느껴집니다.
그 결과:
“지금 쓰는 걸 유지하는 게 제일 안전하다”
라는 결론에 도달하게 됩니다.
2️⃣ 고통 회피 심리 (Risk Aversion)
사이버 보안에서 새로운 기술 도입은
보상이 아니라, 책임을 먼저 떠올리게 하는 결정입니다.
- 도입했다가 문제가 생기면?
- 장애가 나면 누가 책임질까?
- 감사나 점검에서 질문을 받으면?
이때 사람은
얻을 수 있는 이익보다,
발생할 수 있는 손실과 비난을 훨씬 크게 인식합니다.
그래서 정보보안 의사결정은
자연스럽게 이렇게 흐릅니다.
“완벽하지 않더라도,
지금까지 써 온 걸 유지하자”
3️⃣ 복잡성 회피와 기술적 부담
현대 사이버 보안 기술은
점점 더 복잡해지고 있습니다.
- 새로운 개념
- 새로운 용어
- 새로운 운영 방식
이는 곧 인지적 부담(Cognitive Load) 으로 이어집니다.
사람은 복잡한 선택 앞에서
합리적 비교보다
익숙한 선택을 반복하는 경향을 보입니다.
그래서 새로운 기술보다:
- 오래된 제품
- 익숙한 인터페이스
- 이미 관계가 형성된 벤더
가 더 “안전한 선택”처럼 보이게 됩니다.
4️⃣ 레퍼런스와 관계 중심의 구매
정보보안 시장에서는
다음과 같은 말이 자주 등장합니다.
- “대기업에서도 쓰고 있다”
- “공공기관 레퍼런스가 있다”
- “이미 많이 깔려 있다”
이는 기술적 검증이라기보다
심리적 안도감을 주는 신호입니다.
누군가 이미 쓰고 있다면,
나만의 선택이 아니라는 이유로
책임 부담이 줄어들기 때문입니다.
이로 인해 정보보안은:
기술 경쟁이 아니라
광고·마케팅·관계의 경쟁이 되기 쉽습니다.
5️⃣ “아무도 해고되지 않는 선택”
정보보안에는
유명한 말이 하나 있습니다.
“아무도 해고되지 않는 선택은,
이미 널리 쓰이는 제품을 고르는 것이다.”
이 문장은
정보보안 의사결정의 본질을 정확히 드러냅니다.
- 새로운 선택은 리스크
- 기존 선택은 관성
- 관성은 곧 심리적 안전
그 결과,
기술적으로는 한계가 분명한 제품이
오랫동안 시장에 남게 됩니다.
정리하면
정보보안이 기술이 아니라
‘심리’로 결정되는 이유는 명확합니다.
- 정상성 편향은 변화를 막고
- 고통 회피 심리는 책임을 회피하게 만들며
- 복잡성은 익숙함을 선택하게 합니다.
결국 많은 보안 의사결정은
“가장 좋은 선택”이 아니라
“가장 덜 불안한 선택”이 됩니다.
보안을 바꾸기 가장 어려운 이유는
기술이 부족해서가 아니라,
사람이 바뀌기 어렵기 때문입니다.