비밀번호를 바꾸지 않는 그대를 위한 변명

비밀번호를 바꾸지 않는 그대를 위한 변명

- AhnLab 보안정보  2015년 9월 2일 -

자주 이용하는 사이트에서 비밀번호를 바꾸라는 안내 메시지가 떴다. 

벌써 한 달째다. 이번에도 ‘다음에 변경하기’를 누른다. 

계속된 경고에도 불구하고 우리는 왜 같은 비밀번호를 바꾸지 않고 쓰는 것일까?

벌써 한 달째다. 자주 이용하는 포털 사이트에 들어갈 때마다 비밀번호를 바꾸라는 안내 메시지가 뜬다. 하지만 습관처럼 ‘다음에 변경하기’를 누른다. 우리는 왜 이렇게 줄기차게 같은 비밀번호를 바꾸지 않고 쓰는 것일까?

비밀번호의 주기적인 변경과 타인이 유추할 수 없는 비밀번호의 설정은 개인정보 보호에서 아주 중요한 역할을 한다. 안랩은 개인정보 보호의 일환으로, 3회에 걸쳐 시큐리티레터를 통해 비밀번호에 대한 내용을 공유하고자 한다. 그 첫 번째로 이번 호(588호)는 비밀번호를 바꾸지 않는 이유에 대해 이야기한다. 

<연재 목차>

1. 비밀번호를 바꾸지 않는 그대를 위한 변명 (이번 호)

2. 당신의 비밀번호는 안전한가요?

3. 기억하기 쉬운 안전한 비밀번호를 설정하는 법 ​

요즘 ‘패스워드 증후군(Password Syndrome)’을 호소하는 사람들이 많다. ‘패스워드 증후군’이란 개인이 휴대폰, 컴퓨터, 신용카드 등에 사용하는 여러 개의 비밀번호 즉, 패스워드를 기억하지 못해 발생하는 혼란을 일컫는 말이다. 정보통신의 발달과 함께 개인정보 보호가 중요해지면서 생긴 신조어다.  ​

이런 불편한 상황을 피하고 싶어서일까? 사람들은 패스워드를 잘 바꾸지 않으려는 경향이 있다. 언론에서는 하루가 멀다 하고 개인정보 유출 사고에 대한 뉴스가 쏟아지는데도 말이다. 많은 사람들의 이런 행동에는 경제학•심리학적 이유가 있다. 변명이라고 해도 좋다.

“그것보다 중요한 게 얼마나 많은데”: 합리적 부주의 이론

개인정보 관리에 대한 반복적인 알림과 위험 경고에도 불구하고 사람들이 비밀번호를 바꾸지 않는 이유를 경제학자들은 ‘합리적 부주의(rational carelessness)’로 설명한다. 개인의 관심은 그 양이 제한되어 있어 어떤 정보에 주의를 기울일지, 어떤 정보에 덜 기울일지, 어떤 정보를 무시할지 선택해야 한다는 것이다.

현대 사회에서 개인이 노출되는 뉴스의 양은 엄청나다. 경제, 사회, 문화, 연예, 스포츠 등 하루에도 수천, 수만 건의 뉴스가 쏟아진다. 이 중에서 중요하게 생각하는 이슈에만 집중하고 그 외의 것들은 한 귀로 듣고 한 귀로 흘려버린다. 보안에 대한 경고도 함께 말이다. 이런 이유로 사람들은 비밀번호를 바꾸라는 안내를 무시하고 또 무시하는 것이다.

“설마 나에게 그런 일이 생길까?”: 보호동기이론

심리학자들은 같은 상황을 ‘보호동기이론(PMT: Protection Motivation Theory)’으로 설명하기도 한다. 이 이론은 사람들이 현실화될 가능성이 있는 위험 앞에서도 적극적인 행동을 하지 않는 이유를 3가지로 설명하다. 첫 번째, 자신은 위험하지 않다는 생각이다. 보안 사고는 매우 자주 일어남에도 불구하고 설마 나에게까지 일어날까 하는 생각으로 행동하지 않는 것이다. 두 번째, 위협이 심각하지 않다고 생각하는 것이다. 비밀번호를 바꾸지 않아서 발생할 수 있는 보안 사고 자체를 경미하게 판단하는 것일 수도 있고, 자극적인 사고가 많아 상대적으로 보안 위협이 덜 위험하게 느껴지는 것일 수도 있다. 세 번째, 어떤 행동을 해도 자신이 안전해질 거라고 생각하지 않기 때문이다. 적극적으로 대응해도 막을 수 없다는 생각에 아예 비밀번호를 바꾸지 않는 것이다.

“외우지 못할 테니 아예 바꾸지 않겠다”: 합리화

비밀번호를 바꾸지 않는 또 다른 이유는 앞서 언급한 ‘패스워드 증후군’으로 설명할 수도 있다. 사이트가 권하는 대로 문자와 숫자, 특수문자를 조합해 복잡하게 설정한 비밀번호를 기억할 자신이 없는 것이다. 사람이 외울 수 있는 정보의 양은 한계가 있고 새로운 것을 외우려면 노력을 기울려야 하지만 여러 사이트에서 요구하는 비밀번호의 조합이 다르고 이마저도 주기적으로 변경해야 하는데 그때마다 바뀐 비밀번호를 외우는 게 쉬운 일은 아니다. 

또한 비밀번호를 여러 번 틀릴 경우 거쳐야 하는 복잡한 인증 과정을 피하고 싶은 것일 수도 있다. 실제로 은행 비밀번호의 경우 여러 번 틀리면 번거롭게도 은행에 가야 할 수도 있다. 이런 불편함을 피하고자 아예 비밀번호를 바꾸지 않는 것이다. 정신분석학자 프로이드는 이 같은 개인의 방어기제(defense mechanism)를 ‘합리화(rationalization)라고 설명했다. 합리화란 불합리한 태도, 생각, 행동을 합리적인 것처럼 정당화시킴으로써 자기만족을 얻는 것을 말한다.

그럼에도 불구하고 비밀번호의 주기적인 변경과 타인이 유추하기 어려운 비밀번호의 설정은 개인정보 보호에서 매우 중요하다. 개인이 합리적 부주의와 보호동기 이론, 합리화를 극복하고 보안 위협이 우리에게 실재하는 위협이고 그 위협이 얼마나 무서운 결과를 초래하는지 또 왜 우리가 그 위협에 귀 기울여야 하는지를 다시 한번 생각한다면 ‘패스워드 증후군’을 탓하며 비밀번호 변경을 미루는 일이 줄어들지 않을까?

- AhnLab  콘텐츠기획팀 김수정 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=24011&dir_group_dist=0>