보안사고의 70%가 인간의 실수나 잘못된 판단에 기원
디지털 혁신이 빠르게 일어나는 경제 환경에서 보안은 기업의 성장과 생존에 필수적이 되었습니다. 특히, 사이버 위험은 전 세계 기업 경영자들이 가장 큰 위협으로 보고 있는 부분입니다. 하지만 여전히 보안 사고가 끊이지 않고 있으며, 그 피해는 기업의 생존을 위협할 정도로 커지고 있습니다. 이런 상황 속에서 기존의 보안 전략이 과연 효과적인지에 대한 의문이 제기됩니다.
전통적인 보안 전략은 주로 기술 중심으로 접근하고 있으며, ‘정보보호 관리체계(ISO 27001)’ 같은 프로세스 중심의 방법도 사용되고 있습니다만, 원래의 개발 취지와 달리 기술적 대책과 통제에 치우치는 경향이 있습니다. 기술 위주 전략의 한계를 극복하고 지속 가능한 보안 체계를 만들기 위해 '인간 중심 보안(People-Centric Security)'이라는 새로운 패러다임이 주목받고 있습니다.
이 장에서는 디지털 비즈니스 환경에서 왜 인간 중심 보안 패러다임이 필요하게 되었는지, 그리고 전통적 보안 관리의 한계점을 분석하여 인간 중심 보안으로의 전환 필요성을 확인해 보겠습니다.
(1) 디지털 전환과 보안 위협의 증가
디지털 혁신 기술이 발전하면서 경제 활동에서 데이터는 더욱 중요해졌고, 이에 따라 사이버 보안의 중요성도 점증하고 있습니다. 이는 개인정보 보호 차원을 넘어, 국가 경제와 글로벌 비즈니스 환경에 지대한 영향을 미치고 있습니다. 특히 코로나 팬데믹 시기에 디지털 전환은 필수적인 조치로 급부상하며 보안 투자의 필요성이 커졌습니다[1].
사이버 공격으로 인한 전 세계 피해 비용은 계속 증가하고 있으며, 2025년에는 10조 5천억 달러에 이를 것으로 예상됩니다. 이는 매년 10-19% 증가하는 수치입니다. IBM 보고서에 따르면, 2024년 데이터 유출 사고 한 건당 평균 비용은 488만 달러입니다. 이는 전년 대비 10% 늘었습니다. 한국의 경우 2024년 데이터 유출 비용은 평균 48억 3,300만원으로 역대 최고치를 기록했습니다[2].
(2) 사이버 공격의 변화와 인간 요소의 중요성
사이버 보안의 중요한 통찰 중 하나는 '보안 문제는 인간의 문제’입니다. 많은 전문가들이 이 점을 오래전부터 인식했지만, 보안 업계에서는 인간을 이해하고 변화시키려는 노력이 부족했습니다. 2024년 CISO 대상 조사에 따르면, 74%가 인간의 실수를 주요 보안 위험으로 지목했습니다. 이는 전년도 60%에서 상승했으며, 인간 요소의 중요성을 더욱 부각시켰습니다[3].
Verizon의 ‘2024 데이터 침해 조사 보고서’에 따르면, 침해 사고의 68%가 피싱과 같은 사회공학 공격에 넘어가거나 실수를 저지르는 등 비악의적 인간 요소와 관련이 있었습니다[4]. 디지털 시대 사이버 공격은 단순한 기술적 취약점 공격을 넘어, 인간의 행동과 심리적 약점을 이용하는 방식으로 진화하고 있습니다.
(3) 변화하는 업무 환경과 보안 과제
원격 근무와 클라우드 서비스로 사용자 행동 모니터링이 더 복잡해졌습니다[5]. 기업들이 업무 효율성에 집중하면서 보안 통제를 업무를 방해하는 요소로 보는 경향도 있습니다. 기업들은 인력 채용에 어려움을 겪고 있어 업무 편리성을 높이기 위한 투자를 늘리고 있습니다[6].
지능정보사회가 진행되면서 기술과 인간에 대한 통제가 점점 약해지고 있습니다. 또한 디지털 서비스와 제품을 개발하기 위해 협력과 창의성이 더욱 요구됩니다. 이러한 환경 변화는 보안과 편의성 사이의 균형을 찾는 새로운 접근법을 요구하고 있습니다.
(1) 기술 중심 접근법의 구조적 한계
전통적인 보안 모델은 방화벽, 암호화, 접근 제어 같은 기술적 방법에 많이 의존했습니다. 하지만 이런 방법들은 사람들의 인식과 행동의 약점을 충분히 반영하지 못하는 경우가 많았습니다. 실제로 기업 보안 사고의 80% 이상은 직원들의 실수나 의도적인 규칙 위반에서 비롯됩니다. 또한, 사이버 공격의 70~90%는 사회공학 기법처럼 사람을 노린 공격에서 시작됩니다[5]. 기술 중심으로 접근하면 악성코드 탐지 같은 기술적 지표는 개선될 수 있어도, 보안 정책의 준수 같은 행동 지표는 잘 개선되지 않습니다. 이는 사람과 기술의 상호작용에 대한 체계적인 연구가 부족하기 때문입니다. 옛날 보안 개념에서는 인간을 단순히 가장 약한 연결고리(Weakest Link)로만 간주했습니다[7].
(2) 예방 중심 강압적 보안대책의 한계
디지털 시대로 접어들며 예방 위주의 강압적 보안 대책은 많은 문제를 야기합니다. 보안을 너무 강하게 하거나 복잡하게 만들면 직원들은 오히려 규칙을 우회하는 행동을 하게 됩니다[1]. 이는 강력한 기술적 보안에 대한 과도한 의존이 이유입니다. 이러한 이유로 기존의 기술적 보안 방법만으로는 한계가 있다는 점을 인정해야 하며, 사람 중심의 보안 접근법을 고려해야 합니다. 조직 구성원들의 자율성과 소통을 통해 사용자의 신뢰를 높이고, 정보를 다루는 사람들이 보안에 대한 책임을 가지는 새로운 방식이 필요합니다.
(3) 기존 보안 인식 프로그램의 비효율성
기존의 교육 프로그램은 보안의 중요성을 가르치고 기술적 역량을 습득하는데 초점을 맞추었습니다. 하지만 교육 실행 방법이 집체 교육과 교육시간 충족 위주로 수행되다 보니 효과가 있다고 보기 힘듭니다. 이러한 기존 보안 인식 프로그램은 직원들이 안전하지 않은 행동을 줄이는 데 실패했습니다[5][6]. 가트너의 시니어 디렉터 애널리스트인 리처드 애디스콧은 이 프로그램들의 실패를 지적하며, CISO는 과거의 보안 사고를 분석하고 인간 중심의 대안을 찾을 필요가 있다고 지적합니다[8].
(4) 인간 행동의 이중성에 대한 이해 부족
사람은 보안 체계에서 약점이 되기도 하지만, 동시에 위협을 감지하고 대응하는 데 중요한 역할을 합니다. Proofpoint의 2024년 조사에 따르면, 피싱 메일 클릭율은 평균 3.4%에 불과하지만, 적극적 보고를 통한 조기 대응 시 피해 규모를 78%나 줄일 수 있습니다[9]. 이는 인간을 단순한 '위험 요인'이 아닌 '능동적 방어자'로 재구성할 때 보안 효율성이 극대화됨을 시사합니다.
가트너는 2025년 사이버 보안의 주요 동향을 발표하며, 인간 행동과 문화의 중요성을 크게 강조했습니다[10]. 보안 행동 및 문화 프로그램(Security Behavior and Culture Programs: SBCPs)은 그 가치가 커지고 있으며, 많은 조직에서 이 프로그램이 구현되고 있는 변곡점에 도달하고 있습니다. 보안 책임자들은 이 프로그램이 사이버 보안을 강화하는 데 얼마나 중요한 역할을 하는지 알고 있습니다. 가트너에 따르면, 최근 변화를 이끄는 주요 요인 중 하나는 생성형 AI(GenAI)이며, 이 기술을 SBCPs와 결합하는 기업은 2026년까지 직원 주도 사이버 보안 사고를 40% 줄일 수 있다고 기대됩니다[8].
사이버 보안에서 사람의 행동이 중요한 요소라는 인식이 높아지고 있습니다. 문화와 행동 중심의 활동이 사이버 위험을 더 잘 이해하게 하고, 보안이 결국 사람을 위한 것이라는 인식을 심어주었습니다. 이는 보안을 조직 문화에 자연스럽게 포함하려는 전략적 변화입니다.
보안 리더들은 생성형 AI로 인한 기회와 새로운 보안 위험 및 규제의 도전 사이에서 균형을 이루어야 합니다. 이는 레질리언스와 성과를 최적화하는 데 중점을 두는 것을 의미합니다. 인간 중심의 보안 문화를 발전시키는 것도 그 일환입니다. 이 보고서는 기술적 해결책만으로는 불충분하며, 조직 구성원의 행동, 문화, 경험을 반영하는 인간 중심 접근이 현대 사이버 보안 전략의 핵심이 되어야 함을 강조합니다.
인간 중심 보안은 인간 행동의 복잡성과 현대 사이버 위협의 진화를 종합적으로 반영함으로써 기술 중심 접근법의 한계를 극복합니다. 구체적 이유는 다음과 같습니다.
(1) 사회공학 공격에 대한 대응력
방화벽, AI 기반 이상 탐지 시스템 등 기술적 대책은 자동화된 공격에는 효과적이지만, 피싱, 스미싱 등 인간 심리를 노린 공격에는 취약합니다. 반면, 인간 중심 접근은 직무별 맞춤형 사회공학 시뮬레이션(예: 재무팀 대상 파이낸셜 피싱 훈련)으로 클릭률을 70% 감소시킬 수 있으며, 의심스러운 이메일 신고 시 보상 시스템을 운영함으로써 조기 대응을 통한 피해 규모를 78% 감소시킬 수 있습니다[9].
(2) 보안-생산성 균형 달성
복잡한 패스워드 정책은 오히려 61%의 직원이 패스워드를 메모장에 적어두게 만들며[7], 지나친 접근 통제는 섀도우 IT 사용을 증가시킬 수 있습니다. 반면에 인간 중심 해결책으로 SSO(Single Sign-On)와 행동 인증(예: 생체인증)을 결합함으로써 사용 편리함과 보안을 동시에 제공하고, 자율적 권한 관리로 부서별 위험에 맞춘 접근 관리를 구현합니다[1].
(3) 장기적 보안 문화 구축
가트너는 신규 보안 솔루션이 6개월 내에 효과가 80% 줄고, AI 기반 위협탐지 시스템의 43%가 1년 내 우회될 수 있다고 보고합니다[11]. 한편, 인간 중심 접근은 연간 4회 필수 보안 워크숍을 통해 정책 준수율 92%를 유지하였고, 보안 KPI를 성과 평가에 반영함으로써 위반 행위가 65% 감소하는 등 인간 중심 전략이 장기적인 보안 문화 구축에 유리합니다[6].
(4). 복합적 위협 환경 대응력
AI 생성 콘텐츠 공격(Deepfake)에 대해 기술적 필터링을 통해 70% 정도의 정확도를 보일 수 있으나, 인간 검증을 병행할 경우 정확도를 20% 이상 높일 수 있다고 합니다. 또한, 공급망 공격에 대응하기 위해 협력사 직원 대상 공동 보안 교육을 통해 공급망 침해 시 평균 복구 시간을 58% 단축할 수 있습니다[5].
(5) 경제적 효율성
기술 투자 대비 ROI를 비교하면, 인간 중심 보안 접근 방법이 더 효율적임을 알 수 있습니다. AI 기반 SIEM 도입(연간 $250K 투입)을 통해 위협 탐지율을 15% 향상시킨 반면, 인간 중심 프로그램(교육+모니터링) 도입(연간 $80K)을 통해 사고 감소로 $1.2M을 절감할 수 있습니다[3].
디지털 경제 시대에 기업들은 기술적 보안 솔루션에만 의존하는 전통적 접근법의 한계를 분명히 인식하고, 인간 요소를 고려한 포괄적이고 지속가능한 보안 전략으로 전환해야 합니다. 인간 중심 보안은 단순히 인간을 취약점으로 보는 시각에서 벗어나, 보안의 주체이자 능동적 방어자로서의 인간의 역할을 강조합니다.
인간 중심 보안은 단순히 기술을 대체하는 것이 아니라, 인간의 창의성과 기술의 자동화, 정확성을 결합합니다. 가트너는 2027년까지 인간 중심 설계를 적용한 기업이 사이버 사고 시 평균 $2.3M의 비용을 절감할 것으로 전망합니다[11]. 디지털 경제 시대에 진정한 보안 성숙도는 기술적 통제와 인간 행동의 조화에서 비롯됩니다.
AI와 같은 첨단 기술이 발전하고 디지털 전환이 가속화되는 가운데, 인간 중심 보안의 중요성은 더욱 커질 것으로 전망됩니다. 디지털 비즈니스 환경에서 진정한 보안 성숙도는 이 조화를 이루는 데서 비롯될 것입니다.
1. 김정덕(2018). 인간 중심 보안 전략. 브런치스토리. https://brunch.co.kr/@jdkimcau/6
2. IBM(2024). 'Cost of a Data Breach Report'’. https://www.ibm.com/reports/data-breach
3. IBM(2024). ‘CISOs list human error as their top cybersecurity risk’. https://www.ibm.com/think/insights/cisos-list-human-error-top-cybersecurity-risk
4. Verizon(2024). Data Breach Investigations Report. https://dmarcian.com/verizon-2024-dbir/
5. 김정덕(2025). ‘V. 사람이 먼저다’. 브런치스토리. https://brunch.co.kr/@@2YxY/43
6. 데이터넷(2023). "사람 중심 보안 설계로 사이버 보안 효과 높여야". https://www.datanet.co.kr/news/articleView.html?idxno=182600
7. 김정덕(2022). DT시대에 "인간 중심 보안"이 필요한 이유. 네이버 블로그. https://blog.naver.com/dbrmaster/223734737438
8. Gartner(2025). ‘Gartner Identifies the Top Cybersecurity Trends for 2025’. https://www.gartner.com/en/newsroom/press-releases/2025-03-03-gartner-identifiesthe-top-cybersecurity-trends-for-2025
9. Proofpoint(2024). ‘2024 State of the Phish – Today’s Cyber Threats and Phishing Protection’. https://www.proofpoint.com/au/resources/threat-reports/state-of-phish
10. Gartner(2025). ‘Top 9 Trends in Cybersecurity for 2025’, https://www.gartner.com/en/cybersecurity/topics/cybersecurity-trends
11. 보안뉴스(2023). ‘사이버보안의 새로운 트렌드, “사람 중심 보안”. https://www.boannews.com/media/view.asp?idx=117091