IV. 인간 중심 보안, 무엇이 중요한가

디지털 시대의 새로운 보안 패러다임

디지털 전환이 가속화되면서 사이버 보안의 중요성은 그 어느 때보다 강조되고 있습니다. 하지만 기존의 기술 중심 보안 방식만으로는 점점 더 정교해지는 위협, 특히 사람의 실수나 내부자의 악의적 행동까지 막기엔 한계가 분명합니다. 그래서 최근엔 ‘인간 중심 보안(People-Centric Security, PCS)’이 새로운 패러다임으로 주목받고 있습니다. 핵심은 기술에만 의존하지 않고, 보안 체계의 중심에 사람을 두는 방식으로 접근하자는 겁니다[1].

이 장에서는 인간 중심 보안에 대한 다양한 연구 동향을 분석하고, 여러 관점에서 제시된 상이한 정의를 검토합니다. 이를 바탕으로 디지털 시대에 적합한 정의를 모색할 예정입니다. 또한, 기존의 전통적 사이버 보안과 인간 중심 보안이 어떻게 다른지, 그리고 두 영역이 어떻게 연결되는지 구체적으로 살펴봅니다. 마지막으로, 성공적인 도입을 위해 필요한 핵심 원칙과 구성 요소를 정리하여, 인간 중심 보안의 전체적인 개념을 명확하게 제시하고자 합니다.

1. 씨앗을 심다: 이름에 담긴 철학과 연구의 발자취

1.1 ‘인간’ vs. ‘사람’ ?

일반적으로 '인간’과 '사람’이라는 단어, 생각보다 자주 혼동해서 사용합니다. 하지만 실제로는 단어의 뿌리, 사용되는 맥락, 그리고 담고 있는 철학적 의미에서 미묘한 차이가 존재합니다. 먼저 ‘사람’은 순수한 한국어로, 개별적이고 구체적인 존재를 지칭할 때 쓰입니다. 반면에 ‘인간(人間)’은 한자어로, 한자 그대로 풀이하면 ‘사람과 사람 사이’, 즉 사회적 관계와 네트워크를 내포하고 있습니다. 이 점이 비즈니스 현장에서는 아주 중요하게 작용합니다. 개인의 역량도 중요하지만, 결국 성과와 리더십, 조직문화 같은 요소는 관계 속에서 나오는 힘이 크기 때문입니다.

동양 철학에서는 ‘사람’을 본질적인 존재로, 태어날 때부터 지닌 속성으로 바라보고, ‘인간’은 사회적 관계 속에서 윤리적 주체로 성장하는 목표를 의미합니다. 예를 들어, “사람으로 태어나 인간이 되어라”라는 말에서 볼 수 있듯이, 사회라는 무대에서 역할을 다하는 것이 진정한 ‘인간’이 되는 과정을 강조합니다[2]. 결국, 표면적으로는 비슷하게 쓰이지만, ‘사람’은 개별적 존재, ‘인간’은 조직과 사회 내에서의 주체를 의미한다고 볼 수 있습니다. 이 구분은 한국어만의 특성이기도 하고, 동양적 인간관이 반영된 문화적 자산입니다.

영어로 표현할 때는 ‘Human’ 또는 ‘People’이 주로 사용됩니다. ‘Human’은 종(種) 전체, 혹은 집합적 의미를 담고 있고, 실제로 개인을 지칭할 때는 ‘Person’이나 ‘People’이 더 자연스럽습니다. 보안에 관한 문헌을 보면, 해외에서는 인적 요인을 ‘Human factor’라고 부르며, 인간 중심 보안은 ‘People-Centric’, ‘Human-Centered’와 같은 용어를 씁니다. 여기서는 조직 구성원으로서 사회적 관계와 네트워크를 강조하는 의미에서 ‘People-Centric’이라는 용어를 기준으로 사용하겠습니다. 실제로 비즈니스 환경에서 ‘인간 중심’이란, 단순히 한 명 한 명의 역량보다, 그들이 만들어내는 조직 내의 관계와 신뢰, 그리고 협력의 힘을 중시하는 접근이라고 볼 수 있습니다.

1.2 연구 동향

사실 인적 요인 보안 연구는 아주 오래되지는 않았습니다. 20세기 후반부터 조금씩 시작됐지만, ‘사람을 위한, 사람에 의한 보안’이란 말이 본격적으로 나오기 시작한 건 2010년대 초반부터라 볼 수 있습니다[1].

1990년대까지 보안교육이나 임직원 보안 준수 같은 단편적인 대책이 주를 이뤘습니다. 그때는 조직 내 보안의 가장 취약한 부분이 ‘인간’이라는 인식이 강했고, 인간을 단순히 관리 대상으로만 여겼습니다. 진정한 의미의 ‘인간 중심 보안’ 연구라고 하긴 어려운 단계였습니다.

2000년대 들어서는 사용자 경험(UX)에 초점을 맞추기 시작했습니다. 보다 편리한 보안 서비스 제공을 위한 시스템 설계(Usable Security) 차원의 노력입니다. 비밀번호 관리나 사용자 인터페이스 개선 등, 사람이 ‘가장 취약한 고리(Weakest Link)’ 문제를 해결하려는 시도로써, 사용 편의성(Usablity)를 높이고자 하였습니다. 그렇다고 해도, 여전히 인간 중심 보안의 시작이라고 보긴 어렵습니다.

2010년 이후로는 분위기가 바뀌기 시작했습니다. 2012년 가트너에서 보안 통제를 오히려 줄여서 위험을 낮추자는 파격적인 주장을 하면서 ‘인간 중심 보안’이라는 개념이 본격적으로 대두됐습니다. 이후 관련 전략이나 사례 연구도 활발하게 이어졌습니다[3][4].

같은 시기부터 행동과학이 본격적으로 보안에 접목되기 시작했습니다. 사람들이 왜 보안 규정을 안 지키는지, 어떻게 동기를 부여할 수 있는지 등 행동과학/심리학 이론이 도입됐습니다. 최근에는 넛지 이론 같은 행동 변화 기법이 조직 내 보안 행동 개선에 적극적으로 활용되고 있습니다[5].

2015년 이후엔 인간 중심 보안이 점차 체계화되는 양상입니다. 2016년 Lance Hayden 텍사스 주립대 교수가 ‘People-Centric Security’ 책에서 긍정적인 보안문화로의 전환 전략을 제시했고[6], Perry Carpenter는 ‘Transformational Security Awareness’, ‘The Security Culture Playbook’ 등에서 실질적인 보안 인식 설계 및 조직 문화 변화 전략을 소개했습니다[7]. 이외에도 다수의 저서와 논문들이 출간되기 시작했습니다.

정리하면, 과거에는 ‘사람이 문제’였던 보안이 이제는 ‘사람을 중심에 두고 보안 문화를 만들어가는’ 방향으로 발전하고 있습니다. 앞으로도 이 흐름은 계속될 것으로 예상됩니다.

2. 세 개의 렌즈로 본질을 꿰뚫다

2.1 세 개의 렌즈

인간 중심 보안(People-Centric Security, PCS)은 다양한 관점에서 정의되고 있으며, 각각의 정의는 고유한 장단점을 가지고 있습니다.

(1) 인간을 보안 활동의 중심에 두는 관점

정의: 기존의 기술 중심, 시스템 중심 보안에서 벗어나, 이제는 사람이 보안의 핵심이라는 사고방식입니다. 실제로 보안 사고의 주요 원인도, 해결 방법도 결국 사람에게서 비롯되기 때문입니다. 공격자도, 실수하는 사람도, 막아내는 사람도 결국 ‘사람’입니다. 그래서 보안 전략의 무게중심을 기술에서 사람으로 옮기자는 의미입니다[8].

장점: 인간이 보안 사고의 본질임을 인정하면, 보다 근본적인 보안 강화가 가능합니다. 기술 위주 보안의 한계를 극복할 수 있습니다.

단점: “인간이 중심”이라는 말, 실제로 적용하려면 너무 추상적이라 구체적 실행이 쉽지 않습니다. 게다가 사람 행동은 예측이 어렵기 때문에 보안 수준 유지가 쉽지 않은 점도 있습니다.

(2) 인간 행동과 심리 이해 기반 관점

정의: 사용자의 행동, 심리, 역량, 한계 등을 깊이 분석해서 보안에 적용하는 접근입니다. 심리학, 사회학, 인간공학 등 다양한 분야의 원리를 활용해, 실제 사용자 경험을 개선하는 방향입니다. 요즘은 피로도, 집중력 같은 생리적 상태도 연구에 포함되고 있습니다[9].

장점: 사용자 입장에서 더 쉽고, 직관적인 보안 시스템을 만들 수 있습니다. 보안 규정 준수율도 높아지고, 실수도 줄어드는 효과가 있습니다. 피로, 집중력 등 상태에 맞춘 맞춤형 보안 안내도 가능합니다.

단점: 인간 행동과 심리를 정확히 파악하고 이를 시스템 설계에 반영하는 데 전문성과 많은 노력이 필요합니다[4]. 또한, 행동 분석 등을 위한 데이터 수집 시 개인 프라이버시 침해 우려가 있을 수 있습니다.

(3) 전략적 문화 구축 및 직원 경험 중시 관점

정의: 전사적이고 지속 가능한 보안 문화를 구축하기 위한 전략적 접근법입니다. 이는 원칙과 신뢰를 기반으로 임직원에게 권한과 책임을 명확히 할당하고, 직원 경험을 우선시하여 보안으로 인한 마찰을 최소화하고, 궁극적으로는 '습관과 같은 보안' 즉 긍정적인 보안문화 형성을 목표로 합니다. 인간을 감시 대상이 아닌 비즈니스 가치 창출자로 존중하는 개념도 포함됩니다[10].

장점: '아무도 신뢰하지 않는다(Trust No One)' 패러다임에서 '신뢰하되 확인하는(Trust But Verify)' 패러다임으로 전환하여 긍정적 보안 문화를 조성합니다. 직원들이 스스로 보안에 더 적극적으로 참여하게 되고, 전체적인 보안 인식도 높아집니다. 운영 효율성 개선, 내부자 위협 감소 효과도 기대할 수 있습니다.

단점: 조직 문화 변화는 단기간에 이루어지는 일이 아니며, 꾸준한 관리와 노력이 필요합니다. 또한 신뢰 기반 접근은 내부자의 악의적 행위 발생시 위험이 커질 수 있고, 직원 경험과 보안 통제 간 균형을 잡는 것도 쉽지 않은 과제입니다.

2.2 디지털 시대의 인간 중심 보안 정의

요즘 디지털 환경에서는 기술만으로 보안을 논하기 어렵습니다. 이제는 디지털 환경적 요인과 더불어 조직의 경영 환경을 고려할 때 ‘인간 중심 보안’은 다음과 같이 정의할 수 있습니다.

"인간 중심 보안이란 전통적인 기술 중심 방식에서 벗어나, 각 임직원의 권한과 책임을 명확히 하고, 구성원 모두를 단순한 통제 대상이 아닌 보안의 적극적 주체로 인정하여, 신뢰와 원칙을 기반으로 한 지속 가능한 보안 문화를 구축하는 것이다. 궁극적으로 '신뢰하되 검증하라(Trust But Verify)'라는 원칙 하에서, 회사의 임직원들이 보안의 핵심 자산으로 성장할 수 있도록 지원함으로써, 디지털 환경의 복잡성과 끊임없이 변화하는 위협에 효과적으로 대응하기 위한 전략적 접근이다."

이 정의는 다음과 같은 이유로 디지털 시대에 적합하다고 판단됩니다:

인간 요소의 중요성 강조: 지능형 사이버 공격의 증가와 원격 근무 환경의 보편화 등 인간의 역할과 취약성이 더욱 부각되는 디지털 환경의 특성을 반영합니다.

능동적 방어 체계 구축: 인간을 단순 통제 대상이 아닌, 능동적인 보안 주체로 인식함으로써 변화하는 위협에 유연하게 대응할 수 있는 잠재력을 강조합니다.

지속 가능성 및 회복탄력성: 일회성 교육이나 강압적 통제가 아닌, 지속적인 문화 구축과 직원 참여를 통해 장기적인 보안 효과와 위기 발생 시 빠른 복구를 도모합니다. 또한 예방 통제와 탐지 및 복구 통제간의 균형을 도모함으로써 디지털 경제의 불확실성에 대한 대응 역량을 높일 수 있습니다.

실용성과 효율성: 사용자 경험을 중시하고[8][9] 인간 행동에 대한 이해를 바탕으로 보안 정책의 수용성을 높여, 실제 업무 환경에서의 마찰을 줄이고 생산성을 저해하지 않으면서 보안 목표를 달성하려 합니다.

신뢰와 검증의 균형: 디지털 시대의 개방성과 협업의 필요성을 인정하면서도, 적절한 검증 절차를 통해 보안 위험을 관리하는 균형 잡힌 접근을 제시합니다.

결론적으로, 디지털 시대의 보안은 기술만으로는 부족하며, 사람을 깊이 이해하고 주체적으로 참여시키는 것이 장기적이고 지속 가능한 보안의 핵심입니다.

[그림 1] 인간 중심 보안 프레임워크

3. 낡은 지도와 새로운 나침반

3.1 전통적 보안 vs. 인간 중심 보안

사실 전통적 보안은 직원들을 일단 잠재적 위험요소로 보는 경향이 있습니다. 그래서 보안 정책과 절차를 엄격하게 적용하고, 실수든 뭐든 규정 위반을 막으려고 온갖 통제를 강화하였습니다. 결과적으로 몇몇 악의적인 사람을 막으려고 하다 보니, 정작 대다수 성실한 임직원들의 효율성만 떨어지고, 보안에 대한 부정적인 인식이 심해지는 상황이 생깁니다.

반면, 인간 중심 보안은 한마디로 ‘신뢰’를 기본으로 합니다. 임직원을 파트너로 보고, 원칙과 권한, 책임을 명확하게 해서 스스로 보안에 참여하고 협업할 수 있도록 유도합니다. 정책 위반자만 정밀하게 탐지하고, 다수가 자발적으로 보안 활동을 하게끔 분위기를 조성하는 것입니다. 이런 방식이 결국 전사적으로 긍정적인 보안 문화로 이어집니다. 인간 중심 보안의 기대 효과를 전통적 보안 접근 방법과 비교하면 [표 1]과 같습니다.

[표 1] 전통적 보안과 인간 중심 보안 접근방법 비교

3.2 상호 보완 관계

전통적 보안과 인간 중심 보안은 서로 대립하는 개념이 아닙니다. 오히려 각자의 장점을 융합해서 더 강력한 보안 체계를 만드는 게 핵심입니다. 전통적 보안이 인프라와 기술 방어에 집중한다면, 인간 중심 보안은 그 한계를 보완하여 실제 현장에 맞는 실효성을 높입니다.

사회-기술적(Socio-Technical) 시너지: 인간 중심 보안은 기술적 방어와 인간의 역량을 통합하는 '사회-기술적 접근(Socio-Technical Approach)'을 지향합니다. 이는 기술과 인간 요소가 분리된 것이 아니라 상호작용하는 하나의 시스템으로 인식합니다. 인간의 인지적, 감정적, 행동적 특성을 이해하고, 이를 보안 시스템 설계에 반영함으로써, 기술적 솔루션의 효과를 극대화하고 사용자의 수용성을 높일 수 있습니다. 영국 NCSC의 Emma W.도 CyberUK 2017 기조연설에서 보안을 복잡한 사회기술적 시스템(socio-technical system)으로 보고 '인간을 위하지 않은 보안은 조직내에서 실효성이 없다’라고 주장하였고, 인간은 가장 강력한 링크(Strongest Link)라고 역설하였습니다[11].

예방과 회복탄력성의 조화: 전통적 보안은 ‘사고 예방’에 집중하는 반면, 인간 중심 보안은 사고가 발생할 수밖에 없다는 현실을 인정합니다. 그래서 사고 발생 시 신속하게 대응하고 복구하는 ‘회복탄력성(Resilience)’에도 중점을 둡니다. 예방과 회복의 균형이 실제 비즈니스 환경에서는 훨씬 중요합니다.

시스템 보호와 인간 역량 강화의 통합: 전통적 보안이 시스템 자체를 보호하는 데 집중한다면, 인간 중심 보안은 시스템을 실제로 사용하는 임직원의 역량 강화에 초점을 둡니다. 교육과 훈련, 그리고 직관적인 시스템 설계를 통해 직원들이 보안 위협에 스스로 잘 대처할 수 있도록 지원합니다. 사람을 보안의 약점이 아니라, 가장 강력한 방어선으로 보는 시각입니다.

결론적으로, 인간 중심 보안은 전통적 보안을 대체하는 것이 아니라, 보안 체계 전반의 실효성을 높이는 필수적인 요소입니다. 기술적 방어와 임직원의 자발적 참여가 조화를 이루어야 비즈니스 환경에서 진정으로 견고한 보안이 가능합니다.

4. 인간 중심 보안 원칙

인간 중심 보안은 조직 구성원의 자율성, 소통, 탐구 등을 통해 개별 구성원의 신뢰 영역을 확장하고자 하는 노력입니다. 따라서 구체적이고 엄격한 통제보다는 기본적인 원칙(Principle)을 기반으로 상황 변화에 따라 유연하게 대응하도록 해야 합니다[10].

첫째, ‘최종 책임성(Accountability)’ 원칙입니다. 쉽게 말하면, 보안에 대한 최종 책임은 최고경영진이 진다는 의미입니다. 가장 기본적이고 핵심적인 원칙이지만 현실에서는 제대로 인지 및 실행되지 못하고 있습니다. 최고경영진이 하위 관리자에게 보안에 대한 권한을 위임할 수는 있으나, 조직에 적절한 보안 거버넌스 체계를 구축해 결정권과 책임을 명확히 가져야 한다는 것입니다.

둘째, ‘수행 책임성(Responsibility)’ 원칙입니다. 보안은 보안팀만의 이슈가 아니고, 모든 임직원이 각자 역할과 책임을 인지하고 이를 수행할 때 전사적 보안은 가능합니다.

셋째, ‘자율성(Autonomy)’ 원칙입니다. 각 직원이 보안 관련 행동을 스스로 결정하고, 그 결과도 책임지는 게 핵심입니다. 무조건 ‘시키는 대로만 해’가 아니라, 충분한 교육과 훈련으로 자율적으로 움직일 수 있도록 해야 진정한 보안 문화가 자리 잡습니다.

넷째, ‘비례성(Proportionality)’ 원칙입니다. 위험이 크면 강하게, 위험이 작으면 유연하게. 직원들의 창의성과 자율성을 죽이지 않으려면, 전통적인 예방 위주에서 벗어나서 모니터링과 대응 중심으로 최적화해야 합니다. 요즘처럼 위험이 높은 시대엔 사고가 날 수도 있다는 현실을 인정하고, 빠른 탐지와 회복 체계를 갖출 필요가 있습니다.

다섯째, ‘투명성(Transparency)’ 원칙입니다. 효과적인 보안을 위해서는, 보안 부서가 뭘 하고 있는지 임직원 모두에게 공개하고, 동의를 얻는 과정이 필요합니다. 또, 보안 기술도 실제로는 작동하지만 직원들이 눈치채지 못할 정도로 자연스럽게, 업무에 방해 없이 녹아들어야 합니다.

여섯째, ‘즉시성(Immediacy)’ 원칙입니다. 부정행위가 발생하면 즉시, 그리고 관련성 있게 제재가 이뤄져야 합니다. 적시에 적합한 조치가 없다면 조직 전체에 부정적 문화가 퍼질 수 있습니다. 물론, 무조건 처벌만이 답은 아니고, 교육과 지원이 먼저입니다. 그래도 필요한 경우엔 신속하게, 단호하게 조치해야 효과가 있습니다.

마지막으로, ‘공감(Empathy)’과 ‘사용 편의성(Usability)’이 중요합니다. 사용자의 입장에서 불필요한 스트레스나 저항 없이, 자연스럽게 일상 업무와 통합될 수 있도록 보안 조치를 설계해야 합니다. 너무 복잡하거나 어려우면 결국 잘 안 지켜지게 되기 때문입니다. 결국, 인간 중심의 보안이 비즈니스 현장에서도 가장 현실적인 해답입니다.

5. 두 개의 바퀴: 사람을 키우고 행동을 읽다

5.1 보안 인식 및 훈련 프로그램

보안 인식 및 훈련 프로그램은 단순히 정보만 전달해서는 효과가 없습니다. 실제로 임직원의 태도와 행동이 변화하도록 유도하는 게 관건입니다.

맞춤형 및 참여형 교육: 각 직원의 업무 환경과 직무에 맞춘 실질적인 교육이 필요합니다. 기존 일방향식 강의에서 벗어나, 게임화(Gamification), 보상, 긍정적 피드백 등 적극적인 참여를 이끌 수 있는 방식을 도입해야 합니다.

지속적이고 다양한 형식의 교육: 연 1회 형식적인 교육으로는 한계가 있습니다. 짧고 간결한 콘텐츠를 다양한 플랫폼(이메일, 모바일, 동영상 등)을 통해 정기적으로 제공해야 학습 효과가 높아집니다.

보안 행동 및 문화 프로그램: 일회성 교육이 아닌, 장기적으로 안전한 행동이 조직 문화로 자리잡을 수 있도록 지원하는 프로그램이 필요합니다. 임직원의 심리적·문화적 특성을 고려해 설계해야 하며, 행동의 지속적인 변화를 목표로 해야 합니다.

필수 구성요소: 명확한 교육 콘텐츠, 경영진의 적극적 지원, 최신 위협 정보를 반영한 정기적 업데이트, 실제와 유사한 피싱 시뮬레이션 테스트, 교육 결과에 대한 피드백 및 개선 프로세스(설문조사 등)가 포함되어야 효과를 기대할 수 있습니다.

5.2 사용자 행위 분석 등 모니터링 프로그램

‘신뢰하되 검증한다’는 원칙 아래, 체계적이고 정교한 모니터링 시스템 구축이 필수적입니다.

첨단 모니터링 기술 도입: 데이터 유출 방지(DLP), 통합보안관제(SIEM), 사용자 및 엔티티 행동 분석(UEBA) 등 최신 보안 기술을 활용해 정보 접근 및 사용을 투명하게 관리해야 합니다. 이상 행위가 감지되면 신속히 대응할 수 있어야 합니다.

실시간 탐지 및 피드백: 정책 위반 행위는 즉시 식별하고, 당사자에게 빠르게 피드백을 제공해 교정 조치가 가능하도록 해야 합니다.

상황 기반 알림 시스템: 사용자가 권한 요청이나 위험 가능성이 있는 행위를 할 때, 실시간 알림 및 경고 메시지를 제공함으로써 보안 인식을 제고할 수 있습니다.

디지털 환경 재설계: 조직의 디지털 인프라와 사용자 경험(UX), 인터페이스를 보안 친화적으로 재설계해, 사고 보고 및 위협 관리가 쉽도록 지원하는 것이 중요합니다.

결론적으로, 기술적 도구와 더불어 임직원의 인식과 행동 변화를 이끌어내는 전략이 핵심입니다. 조직 전체가 함께 참여하는 보안 문화가 자리잡아야 실질적인 효과를 얻을 수 있습니다.

참고 문헌

1. 김건우, 김정덕(2017), ‘인간 관점의 정보보호 연구동향 분석’, 한국정보처리학회 춘계학술발표대회 논문집, pp. 332-335.

2. 오선비(2018), ‘사람과 인간의 차이’. https://brunch.co.kr/@ojoony87/106

3. Gartner(2012), ‘Maverick Research: Kill Off Security Controls to Reduce Risk’.

4. Gartner(2013), ‘Consider a People-Centric Security Strategy’.

5. S.J. Zaccaro, et al(2016), 'Psychosocial Dynamics of Cyber Security (Applied Psychology Series)', Routledge.

6. Lance Hayden(2016), 'People-Centric Security: Transforming Your Enterprise Security Culture', McGraw-Hill.

7. Perry Carpenter(2019), 'Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behaviors', Wiley

8. Sustainability Directory (2025), ‘Human-Centered Security’. https://climate.sustainability-directory.com/term/human-centered-security/

9. Florian Alt, et. Al, (2023), ‘Human-centered Behavioral and Physiological Security’. https://www.unibw.de/usable-security-and-privacy/publikationen/pdf/alt2023nspw.pdf

10. 김정덕(2022), ‘DT시대에 "인간 중심 보안"이 필요한 이유’. DBR. https://blog.naver.com/dbrmaster/223734737438

11. NCSC(2017), 'People-centred security'; https://www.ncsc.gov.uk/section/advice-guidance/all-topics?allTopics=true&topics=people-centred%20security&sort=date%2Bdesc