VII. 보안, 인간 행동을 해독하다

행동과학 접근을 통한 보안 심리와 행동의 이해

‘인간 중심 보안’을 실현하려면 무엇보다 인간에 대한 깊은 이해가 선행되어야 합니다. 즉, 보안과 관련된 인간의 생각과 행동이 어떤 요인에 영향을 받고, 그 결과가 어떻게 나타날 수 있는지 파악하는 것이 중요합니다. 이런 연구 분야는 국제적으로 ‘사이버심리학(Cyberpsychology)’이라는 명칭으로 널리 알려져 있습니다. 이외에도 ‘행동과학 기반 사이버보안(Behavioral Science in Cybersecurity)’, ‘인적 요인 사이버보안(Human Factors in Cybersecurity)’ 등 다양한 용어가 병행되어 사용되고 있습니다. 아직 이 분야가 완전히 독립된 학문 체계로 자리 잡았다고 보긴 어렵지만, 사이버보안, 행동과학, 심리학, 범죄학 등 여러 분야가 융합되는 새로운 학제간 영역으로 점차 정립되고 있습니다[1][2][3].

여기에서는 디지털 환경에서 사이버 세계와 현실 세계가 점점 더 융합되는 현상을 반영하여, 보안 관련 인간의 심리와 행동을 연구하는 분야를 ‘행동보안학(Behavioral Security Science)’으로 정의하고자 합니다. 사실 아무리 심리나 인지 과정을 이해한다고 해도, 실제 행동으로 이어지지 않으면 보안에는 큰 의미가 없기 때문입니다.

이번 장에서는 행동보안학을 하나의 학문으로 정립하기 위한 첫걸음을 내딛고자 합니다. 이 장에서는 왜 행동보안학이 필요한지, 그리고 무엇을 의미하는지 명확하게 정의한 뒤, 보안과 관련된 다양한 행동과학 이론과 모델, 그리고 행동경제학과 넛지 기법까지 살펴보면서 행동보안학의 개념적 토대를 다져보려 합니다. 행동보안학의 실질적인 적용 가능성과 구체적 사례는 8장에서 다룰 예정입니다.

1. 기술 보안의 한계: 왜 행동을 봐야 하는가

(1) 인적 요인의 중요성 증대: 보안 분야에서 기술적 솔루션에 대한 투자에도 불구하고, 보안 사고의 70-80%가 인간의 실수나 행동에서 비롯된다는 점은 인간 중심의 보안 접근법이 필요함을 시사합니다[5]. 피싱, 소셜 엔지니어링과 같은 공격이 증가하면서 기술적 방어만으로는 충분한 보호가 어려워졌으며, 이는 인간의 행동과 의사결정 과정을 이해하고 개선하는 것이 보안 강화의 핵심 요소임을 보여줍니다.

(2) 기존 보안 접근법의 한계: 전통적인 보안 접근법은 주로 기술적 솔루션과 정책 준수에 초점을 맞추어 왔으나, 이러한 방식은 인간의 심리적, 사회적 요인을 충분히 고려하지 못하는 한계가 있습니다. 특히 보안 정책과 실제 행동 사이의 격차(Security Compliance Gap)는 기존 접근법의 효과성에 의문을 제기하게 만들었습니다[6].

(3) 다학제적 접근의 필요성: 보안 문제는 기술적, 조직적, 심리적, 사회적 측면을 모두 포함하는 복합적인 성격을 가지고 있어 다학제적 접근이 필요합니다. 행동과학, 심리학, 사회학, 경제학, 인지과학 등 다양한 분야의 지식을 통합하여 보안 행동을 이해하고 개선하는 체계적인 학문 분야의 발전이 요구됩니다[7]. 해외에서는 Cyberpsychology, Human Factors in Security 등 학부 또는 대학원 학문 단위로 또는 전공 트랙으로 자리잡고 있으며, 국내에서도 중앙대학교, 동국대학교 등에서 관련 과목을 교육하고 있습니다.

(4) 조직 레질리언스와 보안 문화 구축의 핵심: 효과적인 보안 문화와 조직 레질리언스 구축을 위해서는 구성원의 심리적 특성, 사회적 네트워크, 인지적 편향 등을 체계적으로 연구·적용해야 할 필요가 있습니다. 행동보안학은 조직 구성원들의 보안 행동에 영향을 미치는 요인들을 체계적으로 분석하고, 이를 바탕으로 효과적인 보안 문화 형성과 조직 레질리언스 전략을 개발하는 데 핵심적 역할을 할 수 있습니다[5].

2. 새로운 지도를 그리다: '행동보안학'이란 무엇인가

2.1 개념적 정의

행동보안학은 "인간의 심리적, 사회적, 인지적 요인이 보안 관련 행동과 의사결정에 미치는 영향을 연구하고, 이를 바탕으로 효과적인 보안 전략과 문화를 개발하는 학제간 학문 분야"로 정의할 수 있습니다[8]. 이는 행동과학의 이론과 방법론을 보안 분야에 적용하여 인간 중심의 보안 접근법을 개발하는 것을 목표로 합니다.

2.2 연구 범위

행동보안학의 연구 범위는 다음과 같은 영역을 포함합니다:

개인 수준: 인지 편향, 위험 인식, 의사결정 과정, 자기효능감 등 개인의 심리적 요인이 보안 행동에 미치는 영향

조직 수준: 보안 문화, 리더십, 조직 구조, 교육 및 훈련 프로그램의 효과성

사회적 수준: 사회적 규범, 집단 역학, 문화적 요인이 보안 행동에 미치는 영향

기술-인간 상호작용: 보안 기술과 인간의 상호작용, 사용성과 보안 간의 균형, 인간 중심 보안을 위한 기술적 도구 개발(예: 첨단 사용자 행위 분석 등)

2.3 학문적 위상

행동보안학은 다음과 같은 여러 학문 분야들의 교차점에 위치합니다: 정보보안 및 사이버보안, 행동과학 및 심리학, 조직행동 및 경영학, 인간-컴퓨터 상호작용(HCI), 위험 관리 및 의사결정 이론. 이러한 다학제적 성격은 행동보안학이 다양한 관점과 방법론을 통합하여 보안 문제에 대한 포괄적인 이해와 해결책을 제시할 수 있게 합니다[8].

현재 행동보안학은 완전한 독립 학문체계는 아니지만, 고유한 연구 영역과 실용적 가치를 인정받으며 빠르게 발전하고 있는 새로운 학제간 연구 분야로 평가됩니다. 이 분야의 학문적 성숙도를 높이기 위해서는 독립적인 이론 체계 개발, 전용 학술지 창간, 표준화된 교육과정 구축, 전문가 공동체 결속 강화 등의 노력이 필요합니다. 새로운 학문 분야의 발전에는 수십 년이 소요되며, 행동보안학은 현재 초기 형성 단계에 있다고 판단됩니다. 행동과학이 하나의 독립적 학문 분야로 인정받기까지 걸린 과정을 고려할 때, 행동보안학도 유사한 발전 경로를 따를 것으로 예상됩니다.

향후 행동보안학의 위상은 마치 행동과학과 행동경제학간의 관계와 유사할 것으로 생각됩니다. 행동경제학은 행동과학의 한 분과 또는 응용 분야로 볼 수 있습니다. 즉, 행동경제학은 행동과학의 이론과 방법론을 경제적 맥락에 적용한 학문입니다. 하지만 행동경제학은 경제학의 독자적인 질문(예: 시장, 가격, 자원 배분, 정책 효과 등)에 집중하며, 경제학 내에서 독립적인 학문 분야로 자리잡고 있습니다. 이와 마찬가지로 행동보안학도 행동과학의 응용 분야로 볼 수 있으며, 보안 학문 분야에서 독립적 영역으로 인정받으며 보안학의 주요 이론과 실무 정책에 큰 영향을 미칠 것입니다.

3. 거인의 어깨 위에서: 행동과학의 지혜 빌리기

3.1 행동과학의 역사적 발전

행동과학은 인간의 개인적, 집단적 행동을 과학적으로 연구하는 학문 분야로, 20세기 초반 행동주의 심리학의 등장과 함께 본격적으로 발전하기 시작했습니다. 초기에는 관찰 가능한 행동에 초점을 맞추는 행동주의적 접근이 주를 이루었으나, 이후 인지혁명을 거치며 내적 인지 과정에 대한 연구로 확장되었습니다[9].

1950-70년대에는 학제간 연구가 활발해지면서 심리학, 사회학, 인류학, 경제학 등 다양한 분야의 지식이 통합되어 현대적 의미의 행동과학이 형성되었습니다. 최근에는 행동경제학, 신경과학, 인지과학 등의 발전과 함께 인간 행동에 대한 더욱 정교한 이해가 가능해지고 있습니다[10].

3.2 주요 이론적 접근법

(1) 행동주의적 접근: 행동주의는 관찰 가능한 행동과 환경적 요인 간의 관계에 초점을 맞추며, 강화와 처벌을 통한 행동 변화를 설명합니다. 이 접근법은 보안 행동을 형성하고 유지하는 데 있어 보상과 제재의 역할을 이해하는 데 유용합니다[6].

(2) 인지적 접근: 인지적 접근은 정보 처리, 의사결정, 문제 해결 등 내적 인지 과정에 초점을 맞춥니다. 보안 맥락에서는 위험 인식, 의사결정 편향, 정보 처리 방식이 보안 행동에 미치는 영향을 이해하는 데 중요한 관점을 제공합니다[5][11].

(3) 사회인지적 접근: 사회인지이론은 개인의 인지적 요인, 행동, 환경적 요인 간의 상호작용을 강조합니다. 자기효능감, 결과 기대, 관찰 학습 등의 개념은 보안 행동의 형성과 변화를 설명하는 데 유용한 틀을 제공합니다[6].

(4) 행동경제학적 접근: 행동경제학은 심리학적 통찰을 경제학에 접목하여 인간의 비합리적 의사결정을 설명합니다[8][7]. 휴리스틱, 편향, 프레이밍 효과 등의 개념은 보안 맥락에서 사용자들의 의사결정 과정을 이해하고 개선하는 데 활용될 수 있습니다[10][5].

4. 행동을 이해하는 생각의 도구들

4.1 보호동기이론(Protection Motivation Theory, PMT)

보호동기이론은 위협에 대한 평가와 대응 역량에 대한 평가를 통해 보호 동기가 유발된다는 이론으로, 보안 행동을 설명하는 대표적인 모델입니다[10][9]. PMT는 다음과 같은 두 가지 인지적 평가과정을 포함합니다: [6][12].

1) 위협 평가(Threat Appraisal):

지각된 심각성(Perceived severity): 보안 위협이 개인이나 조직에 미칠 부정적 영향에 대한 인식

지각된 취약성(Perceived vulnerability): 보안 위협에 노출될 가능성에 대한 주관적 판단

2) 대응 평가(Coping Appraisal):

지각된 반응 효능감(Response efficacy): 권고된 보안 대책이 위협을 효과적으로 막을 수 있을 것이라는 믿음

지각된 자기효능감(Self-efficacy): 권고된 보안 대책을 실행할 수 있는 자신의 능력에 대한 믿음

지각된 반응비용(Response cost): 보안 대책 실행에 따른 비용이나 불편함에 대한 인식

[그림 1] 보호동기이론

보호동기이론은 개인의 정보보안 행위를 설명하는 모델로 널리 활용되고 있으며, 보안 예방 권고 메시지를 구성하는 데 있어 정보보안 위협의 발생 가능성과 대안의 효과성을 중심으로 작성해야 한다는 시사점을 제공합니다.

4.2 계획된 행동이론(Theory of Planned Behavior, TPB)

계획된 행동이론은 태도, 주관적 규범, 지각된 행동 통제가 행동 의도를 형성하고, 이것이 실제 행동으로 이어진다고 설명합니다. 보안 맥락에서는 보안 정책 준수 의도와 행동을 예측하는 데 널리 활용되고 있습니다[6][12].

행동에 대한 태도(Attitude toward behavior): 특정 보안 행동에 대한 개인의 긍정적 또는 부정적 평가

주관적 규범(Subjective norm): 중요한 타인들이 해당 보안 행동을 지지할 것이라는 개인의 인식

지각된 행동통제(Perceived behavioral control): 해당 보안 행동을 수행할 수 있는 개인의 능력에 대한 인식

[그림 2] 계획된 행동 이론

4.3 이중 처리 이론(Dual-Process Theory)

노벨 경제학상 수상자인 대니얼 카너먼(Daniel Kahneman)이 주장한 이중 처리 이론(Dual Process Theory)은 인간의 사고 과정이 두 가지 다른 유형의 시스템에 의해 이루어진다고 설명하는 인지 심리학의 핵심 이론입니다[12].

(1) 두 가지 사고 체계: 시스템 1과 시스템 2

시스템 1 (직관적 사고 시스템): 빠르고, 자동적이며, 거의 노력을 필요로 하지 않는 무의식적인 사고방식입니다. 일상적인 판단, 감정적인 반응, 습관적인 행동 등을 주도합니다.

시스템 2 (숙고적·논리적 사고 시스템): 느리고, 의식적이며, 상당한 정신적 노력을 요구하는 분석적인 사고방식입니다. 복잡한 문제 해결, 중요한 의사결정, 장기적인 계획 수립 등에 관여합니다.

(2) 시스템 간의 상호작용과 의사결정

두 시스템은 독립적으로 작동하는 것이 아니라 병렬적으로 상호작용하며 우리의 판단과 행동에 영향을 미칩니다. 일반적으로 우리는 시스템 1을 통해 세상을 인식하고 즉각적인 판단을 내립니다. 시스템 1이 내놓은 직관적인 결론은 대부분의 경우 효율적이지만, 경험적 편향(Heuristics)이나 고정관념에 의존하기 때문에 오류를 포함할 가능성이 있습니다.

이때 시스템 2가 개입하여 시스템 1의 판단을 감시하고, 필요에 따라 수정하거나 무시하는 역할을 합니다. 하지만 시스템 2는 작동하는 데 많은 에너지가 필요하기 때문에, 인간은 인지적 노력을 아끼려는 경향이 있습니다. 이로 인해 시스템 2가 시스템 1의 오류를 제대로 걸러내지 못할 때 '인지 편향(Cognitive bias)'이 발생하며 비합리적인 판단을 내리게 됩니다.

대니얼 카너먼의 연구에서 비롯된 이 개념은 인간 행동의 대부분(80-90%)이 루틴에 기반한 자동적인 '시스템 1' 사고에 의해 좌우되며, 복잡한 문제 해결에는 의도적인 '시스템 2' 사고가 필요하다고 설명합니다. 효과적인 사이버 보안 훈련은 이러한 인지 패턴을 고려하여 보안 행동이 일상적인 루틴에 자연스럽게 통합되도록 설계되어야 합니다[6].

4.4 행동 변화 모델

(1) COM-B 모델

COM-B 모델은 행동(B)이 능력(C), 기회(O), 동기(M)의 상호작용에 의해 결정된다고 설명합니다. 이 모델은 보안 행동 변화를 위한 포괄적인 프레임워크를 제공하며, 다양한 행동 변화 기법을 체계적으로 적용할 수 있는 기반을 마련합니다[13].

능력(Capability): 보안 행동을 수행할 수 있는 심리적, 신체적 능력

기회(Opportunity): 보안 행동을 가능하게 하는 외부 요인들

동기(Motivation): 보안 의사결정과 행동에 영향을 미치는 내적 과정

COM-B 모델은 보안 행동 변화 프로그램을 설계할 때 개인의 능력, 기회, 동기를 모두 고려해야 함을 강조합니다.

[그림 3] COM-B 모델

(2) Fogg의 행동 모델

COM-B 모델과 유사한 BJ Fogg의 행동 모델이 있습니다. 이 모델은 이 모델은 B = MAP라는 간단한 수식으로 요약됩니다. 행동 변화를 위해 동기(Motivation), 능력(Ability), 자극(Prompt)이라는 세 가지 요소가 필요하다고 설명합니다[14].

동기는 특정 행동에 대한 '욕구'나 '열망'을 의미합니다. 동기는 감각적 동기, 정서적 동기, 사회적 동기 등 다양한 형태가 있습니다. 동기는 행동을 유발하는 강력한 요인이지만, 변동성이 크고 지속적으로 유지하기 어렵다는 특징이 있습니다. 보안 상황에서의 동기의 예로 ‘안전한 관행이 조직및 개인 데이터를 보호하는 이점을 직원들에게 인지시키는 것'을 들 수 있습니다.

능력은 특정 행동을 수행할 수 있는 '잠재력'이나 '역량'을 의미합니다. 여기서 능력은 단순히 기술적인 것뿐만 아니라, 그 행동을 하는 것이 얼마나 '쉬운가'를 포함하는 개념입니다. 포그 모델은 동기를 높이려는 노력보다 행동을 더 쉽게 만들어 '능력'을 높이는 것이 행동 변화에 훨씬 효과적이라고 강조합니다. 보안 상황에서의 능력의 예로 ‘의심스러운 이메일 신고나 자격 증명 업데이트와 같은 작업을 단순화하여 행동 장벽을 줄이는 것’을 들 수 있습니다.

자극은 행동을 하도록 상기시키는 '신호' 또는 '계기'를 의미합니다. 아무리 동기가 높고 능력이 충분해도, 행동을 촉발하는 자극이 없으면 그 행동은 일어나지 않습니다. 자극은 문자 메시지 알림, 특정 시간, 특정 장소 등 다양한 형태가 될 수 있습니다. 보안 상황에서의 자극의 예로 ‘훈련 완료나 모의 위협 대응을 위한 시기적절한 알림을 제공하는 것’을 들 수 있습니다.

포그 행동 모델은 '행동 곡선(Action Line)'이라는 개념을 통해 세 요소의 상호작용을 시각적으로 설명합니다. 그래프에서 동기(세로축)와 능력(가로축)의 관계를 나타내는 곡선입니다. 어떤 행동이 이 곡선 '위'에 위치할 때, 자극이 주어지면 그 행동은 성공적으로 일어납니다. 반면, 행동이 곡선 '아래'에 있다면 자극이 주어져도 행동은 실패하고 좌절감만 느끼게 됩니다.

[그림 4] Fogg위 행동 곡선

4.5 보안 문화 모델

보안 문화는 "조직원의 활동과 의식에 조직이 요구하는 보안수준이 내재하여 올바르게 이루어지는 정도"로 정의되며, 다양한 모델이 제시되고 있습니다. 대표적으로 Schein의 조직문화 모델을 기반으로 한 정보보안문화 프레임워크는 보안 문화의 구성요소와 형성 과정을 설명합니다[15].

이외에도 Security FORCE 모델은 고신뢰 조직(High-Reliability Organization)의 개념을 보안에 적용한 모델로, 조직의 보안 문화와 행동을 개선하기 위한 프레임워크를 제공합니다. 이 모델은 소방, 항공, 철도, 핵발전 등 고위험 환경에서의 조직 특성을 보안에 적용하여 보안사고 대응 역량을 높이는 방안을 제시합니다[16]. 이 모델에 대한 보다 자세한 내용은 ‘10장 보안문화’ 에서 다루도록 하겠습니다.

4.6 기타 모델

기술수용모델(Technology Acceptance Model, TAM)은 지각된 유용성과 사용 용이성이 기술 수용에 영향을 미친다고 설명합니다. 보안 기술과 정책의 수용 및 준수를 이해하는 데 유용한 관점을 제공합니다[6][12].

여러 이론을 통합한 모델들도 제시되고 있습니다. 예를 들어, 이중 처리 이론, 계획된 행동이론, 보호동기이론을 통합한 정보보안 정책 준수 행동 모델은 보안 행동에 영향을 미치는 다양한 요인들을 포괄적으로 설명합니다. 이러한 통합적 접근은 보안 행동의 복잡성을 더 잘 이해하고 예측하는 데 도움이 됩니다[6][12].

5. 비합리적인 우리를 위한 안내서: 넛지와 인지 편향

5.1 행동경제학(Behavioral Economics)과 넛지(Nudge) 개념

행동경제학은 인간이 실제로 의사결정을 내릴 때 합리적이지 않은 심리적·인지적 편향, 사회적 영향, 습관 등 다양한 요인에 영향을 받는다는 점에 주목하는 경제학의 한 분야입니다. 전통적 경제학이 ‘합리적 인간’을 가정하는 데 비해, 행동경제학은 사람들이 실제로는 손실회피, 현상유지, 사회적 증거 등 심리적 요인에 따라 비합리적인 선택을 할 수 있음을 강조합니다. 따라서 제한적으로 합리적이며 때론 감정적으로 선택하는 경향을 보이는 인간은 인지적 편향(Biases)을 가지고 있으며, 이러한 제약 내에서 나름대로 좋은 의사결정을 위한 지름길 또는 편법적 규칙(Heuristics)을 개발하여 왔습니다. 이러한 관점은 보안 정책, 투자, 사용자 행동 등에서 실제 인간의 행동 패턴을 분석하고 설계하는 데 중요한 이론적 기반이 됩니다[17].

넛지는 리처드 세일러와 캐스 선스타인이 제안한 행동경제학 이론으로, ‘팔꿈치로 옆구리를 툭 치듯’ 사람들의 선택을 부드럽고 자연스럽게 바람직한 방향으로 유도하는 환경 설계(선택 구조, Choice Architecture) 기법입니다. 넛지는 강제나 처벌 없이, 심리적·인지적 특성을 활용해 행동 변화를 이끌어냅니다. 예를 들어, 기본값 설정, 사회적 규범 강조, 실시간 피드백 등은 모두 넛지의 대표적 전략입니다[17].

5.2 행동경제학의 주요 이론과 보안 적용

(1) 전망이론(Prospect Theory): 사람들은 이득보다 손실에 더 민감하게 반응하는 경향이 있습니다. 보안 정책이나 경고 메시지에서 “이 조치를 하지 않으면 손실이 발생한다”는 식의 손실회피성 메시지를 강조하면 보안 행동을 유도하는 데 효과적입니다[18].

(2) 만족화 원리(Satisficing): 인간은 최적화가 아닌 ‘충분히 만족스러운’ 선택을 선호합니다. 복잡한 보안 절차 대신 직관적이고 간단한 보안 행동을 설계해야 실제 준수율이 높아집니다[18].

(3) 프레이밍 효과(Framing Effect): 동일한 정보라도 제시 방식(프레임)에 따라 행동이 달라집니다. 예를 들어 “이중 인증을 하지 않으면 계정이 위험해질 수 있습니다”와 같이 부정적 프레임을 활용하면 행동 변화를 촉진할 수 있습니다[18].

5.3 보안에 영향을 미치는 대표 인지 편향(Biases)

손실회피(Loss Aversion): 손실을 피하려는 심리. “이 조치를 안 하면 피해를 본다”는 메시지로 행동 유도.

현상유지(Status Quo Bias): 기본값을 그대로 두려는 경향. 안전한 보안 옵션을 기본값으로 설정.

가용성 편향(Availability Bias): 최근에 본 보안 사고 사례가 실제 위험 인식에 큰 영향. 실시간 경고, 뉴스 활용.

사회적 증거(Social Proof): “대부분의 동료가 이중 인증을 사용한다” 등 집단 규범 강조.

권위 편향(Authority Bias): 전문가, 조직 리더의 권고에 더 쉽게 따름. 경영진의 보안 메시지 활용.

확증 편향(Confirmation Bias): 기존 신념에 부합하는 정보만 받아들임. 다양한 사례와 데이터로 설득.

기본적 귀인 오류(Fundamental Attribution Error): 사용자의 실수를 개인 특성 탓으로 돌리는 경향. 사용자 환경 개선 필요.

5.4 보안에서 활용되는 대표 휴리스틱스(Heuristics)

디폴트 휴리스틱(Default Heuristic): 사용자는 기본값을 그대로 두는 경향이 강합니다. 안전한 암호, 자동 업데이트 등 보안 옵션을 기본값으로 설정하면 별도의 행동 없이도 보안 수준이 높아집니다[19].

가용성 휴리스틱(Availability Heuristic): 최근에 접한 보안 사고나 위협 사례가 실제 위험 인식과 행동에 큰 영향을 미칩니다. 실시간 경고, 뉴스, 사례 공유 등으로 위험 인식을 높일 수 있습니다[19].

사회적 증거 휴리스틱(Social Proof Heuristic): 다수가 하는 행동을 따르는 경향이 있습니다. “대부분의 직원이 이미 이중 인증을 사용한다”는 메시지는 보안 정책 준수율을 높입니다[19].

권위 휴리스틱(Authority Heuristic): 전문가나 상사의 권고에 쉽게 따르는 경향을 활용해, 경영진의 보안 메시지나 인증 마크를 강조할 수 있습니다[19].

행동경제학의 다양한 이론(전망이론, 프레이밍 효과 등)과 인지 편향(손실회피, 현상유지, 사회적 증거 등), 그리고 휴리스틱(디폴트, 가용성, 권위 등)은 실제 보안 정책, 교육, 시스템 설계에서 넛지 전략과 결합해 사용자 행동을 효과적으로 변화시키는 데 활용되고 있습니다. 이러한 심리적·행동적 통찰을 반영하면 기술적 보안의 한계를 극복하고, 조직과 개인의 보안 수준을 실질적으로 높일 수 있습니다.

6. 결론

인간의 심리적, 사회적, 인지적 요인이 보안 관련 행동과 의사결정에 미치는 영향을 연구하고, 이를 바탕으로 효과적인 보안 전략과 문화를 개발하는 학제간 학문 분야로서 행동보안학은 아직 완전히 정립된 독립적인 학문체계로 자리 잡지는 못했습니다. 하지만 인간 중심 보안의 중요성이 증가함에 따라 점차 그 필요성과 가치가 인정받고 있는 분야입니다.

행동보안학이 발전하기 위해서는 학문적 정체성 확립, 체계적인 교육 프로그램 개발, 연구 방법론의 고도화, 실무 적용성 강화, 윤리적 이슈 검토, 그리고 문화적 다양성에 대한 고려 등 여러 과제가 존재합니다. 이 중에서도 우선적으로 추진해야 할 과제로는 행동과학에서 보안에 적합한 이론과 모델을 선별하여 적용하고, 필요하다면 새로운 이론이나 모델로 수정·보완하는 과정이 필요하다고 생각합니다. 이번 장에서는 행동보안학 정립의 초석 쌓기 작업의 일환으로 보호동기 이론, 계획된 행동 이론, 전망 이론과 특히 행동경제학이나 넛지 기법에서의 인지 편향과 휴리스틱스가 보안과 어떻게 융합될 수 있는지 살펴봤습니다.

이러한 다양한 과제를 지속적으로 해결해 나간다면, 행동보안학 역시 점차 독립적인 학문 분야로 자리매김할 수 있을 것으로 보입니다. 더불어, 이를 통해 보다 효과적이고 지속가능한 보안 문화와 행동을 조직 내에 정착시키는 데에도 큰 기여를 할 수 있을 것이라 기대합니다.

참고 문헌

1. Wikipedia, Cyberpsychology, https://en.wikipedia.org/wiki/Cyberpsychology

2. Norfolk State University (2025), ‘M.S. CyberPsycology’, https://www.nsu.edu/cyberpsychology

3. Sustainability Directory (2025), Behavioral Security, https://prism.sustainability-directory.com/term/behavioral-cybersecurity/

4. Idea 42 (2019), ‘Human Behavior in Cybersecurity’. https://www.ideas42.org/project/human-behavior-cybersecurity/

5. MetaCompliance Blog (2024), ‘Understanding Human Behaviour to Strengthen Security’. https://www.metacompliance.com/blog/cyber-security-awareness/understanding-human-behaviour-to-strengthen-security

6. 김상훈 외 2인 (2014), ‘An integrative behavioral model of information security policy compliance’. Scientific World Journal, https://pubmed.ncbi.nlm.nih.gov/24971373/

7. Keepnet(2025), ‘Top Behavioral Science Frameworks & Models for Cybersecurity’. https://keepnetlabs.com/blog/top-behavioral-science-frameworks-and-models-for-cybersecurity

8. Sustainability Directory (2025), Behavioral Security Science, https://pollution.sustainability-directory.com/term/behavioral-security-science/

9. Pasternak, R. (2014), ‘Does the Behavioral Science Curriculum in a Private College Fit the Needs of the Job Market?’. Creative Education, 5, pp. 97-103. https://www.scirp.org/journal/paperinformation?paperid=42730

10. 오명옥, 김정덕 (2019), ‘행동경제학 기반 정보보안 연구 동향 분석’. 융합보안 논문지, v.19, no 2, pp. 39-46. https://www.kci.go.kr/kciportal/ci/sereArticleSearch/ciSereArtiView.kci?sereArticleSearchBean.artiId=ART002484812

11. Ritz Herald (2024), ‘The Psychology of Security and How Human Behavior Impacts Safety Measures’ https://ritzherald.com/the-psychology-of-security-and-how-human-behavior-impacts-safety-measures/

12. Kuppusamy, et. al (2022)., ‘Information security policy compliance behavior models, theories, and influencing factors A systematic literature review’, Journal of Theoretical and Applied Information Technology, 100(5), pp. 1536-1557. http://www.jatit.org/volumes/onehundred05.php

13. Keepnet Blog (2025), ‘What Is the 'COM-B' Scientific Behavioral Model in Cybersecurity Awareness?’

14. Stanford, Behavior Design Lab (2025), ‘Fogg Behavior Model’. https://behaviordesign.stanford.edu/resources/fogg-behavior-model

15. 김정덕 (2025), ‘VI. 습관으로서의 보안’, 디지털 비즈니스 보안(브런치북), https://brunch.co.kr/@jdkimcau/44

16. Lance Hayden (2015), ‘People-Centric Security’, McGraw Hill,

17. ISACA (2023), ‘Application of the Nudge Theory for Improving Information Security Awareness Campaigns’. ISACA Journal, v.2

18. 안기정 외 3인(2018), ‘행동경제학의 정책 활용방안, 서울연구원 연구보고서,

19. Harry Brignull (2023), ‘Deceptive Patterns: Exposing the Tricks Tech Companies Use to Control You’. Testimonium Ltd.