Q14. 정보보안은 왜 기술만으로 결정되지 않고, 결국 심리에 크게 좌우될까요?

By PLURA

A. 핵심은 단순합니다.
정보보안 의사결정은 기술적 비교만으로 이루어지지 않기 때문입니다.
현실에서는 기술의 우수성만큼이나, 사람의 심리와 조직의 인지 편향이 큰 영향을 미칩니다.

우리는 흔히
정보보안 의사결정이 기술적 비교와 객관적 평가로 이루어진다고 생각합니다.

하지만 현실은 훨씬 복잡합니다.

어떤 제품을 도입할지,
어떤 구조를 유지할지,
무엇을 바꾸고 무엇을 그대로 둘지는
기술의 성능만이 아니라
사람이 무엇을 두려워하고, 무엇을 익숙하게 느끼며, 무엇을 책임지기 싫어하는가에 크게 좌우됩니다.

이 점에서 정보보안은
기술의 문제이기도 하지만,
동시에 심리와 조직 행동의 문제이기도 합니다.

1️⃣ 정상성 편향 (Normalcy Bias)

정상성 편향이란,

“지금까지 큰 사고가 없었으니, 앞으로도 괜찮을 것”
이라고 믿는 심리

를 말합니다.

이 편향은 정보보안에서 특히 강하게 작동합니다.

예를 들어:

  • 기존 보안 장비가 계속 돌아가고 있고
  • 지금까지 큰 사고가 없었으며
  • 조직 내에서 공개적으로 문제가 제기되지 않았다면

새로운 기술을 도입하는 쪽이
오히려 더 위험하고 불필요한 선택처럼 느껴집니다.

그 결과 많은 조직은
이렇게 결론 내립니다.

“지금 쓰는 걸 유지하는 게 제일 안전하다”

하지만 여기에는 중요한 착각이 숨어 있습니다.

사고가 없었던 것이
정말 안전해서일 수도 있지만,
단지 아직 드러나지 않았기 때문일 수도 있기 때문입니다.

즉, 정상성 편향은
현실을 정확히 평가하게 만드는 것이 아니라,
위험 신호를 과소평가하게 만드는 심리적 필터에 가깝습니다.

2️⃣ 고통 회피 심리와 위험 회피 (Risk Aversion)

정보보안에서 새로운 기술 도입은
보상보다 책임을 먼저 떠올리게 만듭니다.

  • 도입했다가 장애가 나면?
  • 운영이 복잡해지면?
  • 감사나 점검에서 질문을 받으면?
  • 왜 굳이 바꿨냐는 말을 들으면?

이때 사람은
얻을 수 있는 이익보다
발생할 수 있는 손실과 비난을 더 크게 느끼는 경향이 있습니다.

이것은 단순한 성향 문제가 아니라,
의사결정에서 자주 나타나는 전형적인 편향입니다.

그래서 많은 보안 의사결정은
이상적으로는 “더 나은 선택”을 찾는 것 같지만,
실제로는 이렇게 흘러갑니다.

“완벽하지 않아도,
지금까지 써 온 걸 유지하자”

즉, 기술적으로 더 나은 대안이 있어도
그 대안이 가져올 수 있는 조직 내 불편과 책임 부담이 더 크게 느껴지면
사람은 쉽게 움직이지 않습니다.

3️⃣ 복잡성 회피와 인지 부담 (Cognitive Load)

현대 보안 기술은
점점 더 복잡해지고 있습니다.

  • 새로운 개념
  • 새로운 용어
  • 새로운 아키텍처
  • 새로운 운영 모델
  • 새로운 책임 분담 구조

이 모든 것은
인지적 부담으로 이어집니다.

사람은 복잡한 선택 앞에서
항상 가장 합리적인 비교를 하지 않습니다.
오히려 익숙한 것을 반복하는 경향이 강합니다.

그래서 현실에서는:

  • 오래된 제품
  • 익숙한 인터페이스
  • 이미 관계가 형성된 벤더
  • 예전에 써 본 방식

이 더 “안전한 선택”처럼 느껴집니다.

중요한 것은
이것이 기술적으로 최선이어서가 아니라,
심리적으로 덜 피곤한 선택이기 때문입니다.

그래서 보안 시장에서는
기술 우수성만으로는 시장을 바꾸기 어렵습니다.
사람이 이해하기 어렵고 운영 방식이 낯설면,
그 기술은 실제로 채택되기 힘들어집니다.

4️⃣ 레퍼런스와 관계 중심의 구매

정보보안 시장에서는
다음과 같은 말이 자주 등장합니다.

  • “대기업에서도 쓰고 있다”
  • “공공기관 레퍼런스가 있다”
  • “이미 많이 깔려 있다”
  • “유명 벤더라서 안전하다”

이 말들은 기술 검증처럼 들리지만,
실제로는 종종 심리적 안도감의 언어에 가깝습니다.

누군가 이미 쓰고 있다면
그 선택은 더 이상 나 혼자의 판단이 아니게 됩니다.
그러면 책임 부담이 줄어들고,
실패하더라도 “나만의 잘못”이 아니라는 느낌을 갖게 됩니다.

즉, 레퍼런스는 단순한 도입 실적이 아니라
의사결정자의 불안을 줄여 주는 장치이기도 합니다.

그래서 정보보안 시장은 종종
기술 경쟁만이 아니라
광고·인지도·관계·심리적 안정감의 경쟁이 되기도 합니다.

5️⃣ “아무도 해고되지 않는 선택”

정보보안에는
유명한 말이 하나 있습니다.

“아무도 해고되지 않는 선택은,
이미 널리 쓰이는 제품을 고르는 것이다.”

이 문장은
정보보안 의사결정의 본질을 아주 잘 보여 줍니다.

  • 새로운 선택은 리스크가 되고
  • 기존 선택은 관성이 되며
  • 관성은 심리적 안전으로 작동합니다

그 결과,
기술적으로는 한계가 분명한 제품도
오랫동안 시장에 남게 됩니다.

이것은 제품이 항상 뛰어나서가 아니라,
선택하는 사람이 덜 불안하기 때문입니다.

그리고 바로 이 지점에서
보안 시장의 변화는 기술 발전 속도보다 훨씬 느려집니다.

6️⃣ 그렇다고 기술이 중요하지 않다는 뜻은 아닙니다

여기서 한 가지는 분명히 해야 합니다.

이 글의 메시지는
“기술은 중요하지 않다”가 아닙니다.

실제로 시장을 바꾼 기술도 있었고,
편향을 넘어 더 나은 구조를 선택한 조직도 분명 존재합니다.

또 어떤 경우에는
보수적인 선택이 실제로 더 합리적일 수도 있습니다.

문제는 그 반대편입니다.

보안 의사결정이
기술의 우수성을 충분히 검토한 뒤 내려지는 것이 아니라,
처음부터 심리적 안도감과 책임 회피 구조에 의해
강하게 왜곡될 수 있다는 점입니다.

즉, 더 정확한 표현은 이것입니다.

정보보안은 기술로만 결정되지 않습니다.
기술적 우수성만큼이나 심리적 요인이 크게 작용합니다.

이 균형을 이해해야
기술팀도, 경영진도
왜 좋은 기술이 시장에서 바로 선택되지 않는지 설명할 수 있습니다.

7️⃣ 결국 조직이 극복해야 할 것은 ‘기술 부족’만이 아닙니다

보안을 바꾸기 어려운 이유는
단지 기술이 없어서가 아닙니다.

더 자주 문제를 만드는 것은
조직 내부의 다음과 같은 편향입니다.

  • 지금도 괜찮다고 믿는 정상성 편향
  • 비난을 피하려는 위험 회피
  • 복잡한 변화를 싫어하는 인지 부담
  • 남들이 이미 쓴 것을 따라가려는 집단 심리

그래서 보안 혁신은
새 기술 하나를 도입한다고 끝나지 않습니다.

오히려 먼저 필요한 것은
우리 조직이 어떤 심리적 이유로
같은 선택을 반복하고 있는지 인식하는 일입니다.

이 인식이 없으면
기술이 아무리 좋아도
조직은 결국 가장 익숙하고, 가장 덜 불안하고, 가장 설명하기 쉬운 방향으로 돌아가게 됩니다.

8️⃣ 정리하면

정보보안이 심리에 크게 좌우되는 이유는 명확합니다.

  • 정상성 편향은 변화를 늦추고
  • 위험 회피 심리는 책임을 피하게 만들며
  • 복잡성은 익숙한 선택으로 돌아가게 만듭니다
  • 레퍼런스와 관계는 기술보다 심리적 안도감을 강화합니다

결국 많은 보안 의사결정은
가장 좋은 선택”이 아니라
가장 덜 불안한 선택”이 되기 쉽습니다.

보안을 바꾸기 가장 어려운 이유는
기술이 부족해서만이 아니라,
사람과 조직의 편향을 넘어서기 어렵기 때문입니다.

사이버 보안의 진짜 혁신은
무엇을 도입하느냐만의 문제가 아닙니다.

왜 우리는 늘 같은 선택을 반복하는가를 인식하고,
그 편향을 넘어설 수 있는 구조를 만드는 것이 더 중요합니다.

그리고 이 지점에서
PLURA-XDR 같은 접근이 의미를 갖는 이유도 분명합니다.

보안을 단순한 기능 비교가 아니라,
실시간 행위 분석과 맥락 제공을 통해
사람이 더 빠르고 정확하게 판단할 수 있도록 돕는 구조로 바꿔야 하기 때문입니다.

결국 필요한 것은
더 많은 기술 이름이 아니라,
편향을 줄이고 실제 공격 흐름을 더 분명히 보게 만드는 보안 구조입니다.

Tags