직장 생활을 하다 보면 많은 메일을 주고받습니다. 그 중에는 제목이 솔깃하거나 호기심을 불러일으키는 것도 많습니다. 한 번쯤 클릭하고 싶은 욕구를 자극하죠. 하지만 이런 이메일에는 악성 코드가 숨어 있을 가능성이 큽니다. 잘못 열면 컴퓨터에 저장된 정보, 개인정보가 유출될 수도 있습니다. 대응 지침이 있지만 우리는 종종 방심한 사이에 이메일을 클릭하곤 하는데요. 열어보면 안 되는 줄 알면서도, 우리는 왜 지나치지 못하고 ‘악성코드 이메일’을 확인하는 것일까요?
판도라의 상자와 같은 악성코드 이메일
비대면 시대가 일상이 되면서 우리는 사람보다 디지털 기기를 더 자주, 오래 접하고 있습니다. 특히 화상 수업, 재택근무로 인해 컴퓨터·태블릿 사용량은 더욱 급증했습니다. 업무 대부분이 디지털 기기를 통해 이루어지고 있는 만큼 컴퓨터 바이러스의 위협 또한 무시할 수 없게 되었는데요.
악성코드는 보통 첨부파일에 숨어 있습니다. 사용자가 이메일을 열고, 첨부파일까지 열어야 바이러스 프로그램이 실행되는 형태입니다. 제목을 보고 클릭하는 순간, 메일을 읽는 순간, 첨부파일을 열어보는 순간, 우리에겐 멈출 기회가 여러 번 주어집니다. 하지만 결국 첨부파일을 열어보는 행동으로 이어지죠. 개인 자료는 물론 기업·기관의 중요 정보가 해킹당하는 사고까지 연결됩니다.
절대 열지 말라고 경고한 상자를 열어본 판도라처럼, 기회가 여러 번 있음에도 멈추지 못하고 불확실한 이메일을 확인하게 하는 원인은 바로 인간의 호기심입니다.
개인의 호기심을 자극하는 이메일 제목
호기심(Curiosity)은 정보를 향한 사람들의 욕구라고 할 수 있습니다(Hsee and Ruan, 2016). 사람은 좋은 내용이든, 나쁜 내용이든 불확실성이 존재할 때 더 확인하려는 심리를 가지고 있습니다. 이를 악용한 해커들은 이메일 제목을 통해 사람들의 호기심을 자극하며 접근하고 있습니다.
‘전화 회의 준비해 주세요, 발주서를 확인해 주세요’ 등의 제목을 보면 어떤 생각이 먼저 떠오르나요? ‘전화 회의, 주제가 뭐지?’, ‘갑자기 무슨 전화 회의일까?’, ‘어떤 발주서지?’ 등의 생각을 시작으로 정보를 향한 호기심이 발동될 것입니다.
업무 또는 자신의 콘텐츠를 소셜 미디어에 올리기 위해 이미지를 많이 활용하는 분이라면 ‘이미지 저작권법 침해에 관해 연락드려요’라는 이메일 제목을 받았을 때, 긴장할 것입니다. 이 경우 자신이 어떤 이미지를 사용했는지 확인하고자 하는 ‘정보 확인 욕구’ 탓에 이메일을 열고, 첨부파일을 실행해 볼 수밖에 없습니다.
‘나는 이런 이메일을 받아도 절대 열어보지 않는다’고 속단하지는 말기 바랍니다. 악성코드 이메일을 열고 첨부파일을 받은 사례가 실제로 많다는 것은, 많은 사람이 정보에 대한 호기심을 이기지 못한다는 것을 보여주고 있습니다.
악성코드 이메일, 사용자 중심의 이해가 선행되어야…
악성코드 이메일 대응법으로는 ① 백신 최신 버전 유지 및 실시간 감시 기능 실행, ② 파일 다운로드 주의, ③ 평상시 자료 백업 잘해두기 등이 있습니다. 기본적이면서도 매우 중요한 방법입니다. 다만, 이보다 선행되어야 할 것이 있습니다. 이메일을 열어보는 사용자, 즉 사람에 대한 이해입니다.
판도라 효과(Pandora Effect)를 제시한 Hsee and Ruan(2016) 연구팀은 실험을 통해 닫힌 판도라의 상자를 열고자 하는 사람들의 호기심을 보여준 바 있습니다. 연구팀은 참가자를 두 그룹으로 나누고, 몇 분 뒤에 실험이 진행될 것이라고 알렸습니다. 실험에 사용될 볼펜 10자루에 관해서도 설명했습니다. 건전지가 들어 있을 때, 몸에 해롭지 않은 전기 충격이 전해지는 볼펜입니다.
첫 번째 그룹에는 “빨간 볼펜 5자루에는 건전지가 들어 있습니다. 녹색 볼펜 5자루에는 건전지가 빠져 있습니다”라고 알려주었습니다. 두 번째 그룹에는 “노란 볼펜 10개 중 어떤 5자루에는 건전지가 들어 있고, 어떤 5자루에는 건전지가 들어 있지 않습니다”라고 불확실하게 언급했습니다.
참가자들은 안내된 실험을 기다리는 시간 동안 볼펜을 눌렀는데요. 사실 볼펜에 대해 안내 받고, 다음 실험을 기다리는 동안 볼펜을 누르는 횟수를 기록하는 것이 이 실험의 진짜 목적이었습니다. 연구 결과 건전지 유무를 정확히 알려준 그룹은 평균 3.04회 볼펜을 눌렀고, 건전지 유무가 불확실한 그룹은 평균 5.11회 볼펜을 눌렀습니다.
참가자들은 결과가 확실한 상황보다 예측할 수 없는 상황에서, 그 결과가 부정적(전기 충격)일 수 있음에도 불확실성을 해소하려는 호기심을 이기지 못했습니다. 이렇듯 악성코드 이메일도 불확실한 정보이기에 제목과 내용에 대한 호기심이 발동하기 마련인데요. 궁금함을 참지 못하고 메일을 확인하는 일은 충분히 발생할 수 있습니다.
여기서 우리는 이 호기심을 역으로 활용해 대응할 수도 있습니다. 솔깃한 이메일이 오면 ‘누가 보냈지?’를 먼저 생각하며 보낸 이에 관심 갖는 것입니다. 아주 기본적인 대응법이면서 호기심을 역행하지 않는 방법이죠. 보낸 이를 먼저 확인하고, 가능하면 그 주체에게 다시 확인하는 것도 좋습니다. 후에 문제가 발생해 컴퓨터를 포맷하고 복원하거나, 중요 파일을 볼모로 돈을 요구당하는 일에 비하면 훨씬 간단한 방법입니다.
아인슈타인은 특별한 재능보다 ‘열렬한 호기심’을 더 강조했습니다. 또한, 호기심의 긍정적인 측면은 일류 발전에 훨씬 많은 영향을 주고 있습니다. 인간의 호기심이 없다면 지금의 문명은 이루지 못했을 테니까요. 하지만 너무 많은 정보에 모든 호기심을 발동시킬 필요는 없을 것 같습니다. 악성코드 이메일의 제목에 혹해 호기심으로 열어보는 일처럼 말이죠.
글. 김미예(연세대학교 바른ICT연구소, 경영학 박사)
1. Hsee, C. K., & Ruan, B. (2016). The Pandora effect: The power and peril of curiosity. Psychological science, 27(5), 659-666.