A 넛지 보안 전략 사람들이 시스템의 보안 문제를 해결하도록 격려하기 위해 부드러운 메시지나 알림(일명 '넛지')을 사용합니다.
이 전략은 행동 과학에 기반을 두고 있습니다. 개방형 질문, 비교, 선택 구조와 같은 심리적 기법을 활용하여 사람들이 보안 관련 결정에 대해 잠시 생각해 보도록 유도하고, 엄격한 지시나 명령 없이 더 나은 사이버 습관을 갖도록 유도합니다.
넛지에는 다음이 포함될 수 있습니다.
- 공지사항
- 메시지
- 프롬프트
다음과 같은 작업의 경우:
| 메시지 | 넛지 예시 | 심리학 |
| 보안 교육 과정에 등록하세요 | "이 보안 모듈은 동료와 가족을 보호하는 데 도움이 될 수 있습니다." | 감정: 넛지는 연민, 관심, 흥분과 같은 감정을 불러일으켜 행동을 촉진할 수 있습니다. |
| 소프트웨어 업데이트 설치 | "새로운 업데이트를 설치할 시간을 선택하세요." (이렇게 하면 사용자가 작업을 단순히 지연할 수 없습니다.) | 선택 아키텍처: 사람들이 선택의 자유를 제한하지 않고 행동하도록 장려합니다. |
| 비밀번호 재설정 | 1. "당신의 비밀번호는 동료의 비밀번호 90%보다 취약합니다." 2. 사용자가 선택한 새로운 비밀번호의 강도를 보여주는 신호등 그래픽입니다. | 1. 비교: 사회적 비교는 업무에 대한 경쟁심을 불러일으키고 사람들에게 행동의 동기를 부여할 수 있습니다. 2. 피드백 : 사람들은 자신의 선택에 대해 즉각적인 피드백을 받으면 행동할 가능성이 더 높습니다. |
| 의심스러운 링크 경고 | "이 링크나 첨부 파일을 신뢰하십니까?" | 위험 : 사람들이 잠재적인 위험에 대해 깊이 생각하도록 장려하여, 미래에 위험을 더 잘 식별할 수 있도록 돕습니다. |
왜 넛지가 필요한가?
사이버 보안에 있어 가장 취약한 부분은 바로 사람이고, 대부분의 데이터 유출은 사람의 실수에서 비롯됩니다. 의도적이든 우발적이든, 부실한 보안 행위는 조직의 IT 보안 팀과 도구가 아무리 효과적이라 하더라도 취약점을 노출시킵니다.
조직의 보안 태세를 강화하는 데는 도구보다 인식이 더 중요합니다. 넛지(행동 과학자 캐스 선스타인과 리처드 탈러가 2008년에 대중화한 용어)는 사람들에게 무언가를 하라고 지시하는 것이 아니라, 위험 관리와 관련된 일반적인 압박감 없이 옳은 일을 하도록 유도하기 위해 고안되었습니다.
넛지 보안 전략은 직원들이 보안을 우선시하는 사고방식을 채택하도록 돕고, 업데이트를 미루거나, 취약한 비밀번호를 사용하거나, 보안 경고를 무시하는 등의 나쁜 습관을 없애는 데 도움이 됩니다. 이러한 습관은 오늘날 조직에서 사용하는 다양한 클라우드 및 SaaS 기술에서 공격 표면을 증가시킬 수 있습니다.