침해사고 분석에서 자주 빠지는 함정들 - 확증편향

서론

 업무 뿐만 아니라 일상 생활에서도 다 그렇지만, 침해사고 분석을 할 때도 내가 인지 편향에 빠져서 잘못된 방향으로 가고 있는건 아닌지 계속 점검하는게 정말 중요하다고 느낍니다. 이 글에서는 제가 실제로 침해사고 관련 업무를 하면서 겪었던 인지 편향의 사례들과, 그런 편향이 어떻게 분석 결과에 영향을 줬는지 이야기하려고 합니다.

---

인지 편향이란?

 인지 편향이란 우리가 어떤 상황을 판단할 때, 논리나 사실보다는 기존에 가지고 있던 생각이나 감정, 익숙한 경험에 따라 결론을 내리게 되는 심리적인 습관 같은 거예요. 즉, 뇌가 빠르게 판단하려고 ‘편한 길’을 택하다 보니, 때로는 잘못된 방향으로 흐를 수 있는 거죠. 일상에서도 흔하게 나타나지만, 특히 침해사고 분석처럼 객관적인 판단이 중요한 업무에서는 더 조심해야 할 부분입니다.

 

---

첫번째, 확증 편향 - 보고싶은 것만 보게 되는 심리

 침해사고 분석을 하다 보면 무의식중에 ‘이건 분명 내부자야’라든가, ‘전에 봤던 공격이랑 비슷하네’ 같은 생각이 먼저 떠오를 때가 있습니다. 그런데 이런 생각이 자리 잡기 시작하면, 그다음부터는 그 가설을 뒷받침하는 정보만 눈에 들어오기 시작합니다. 이게 바로 확증 편향입니다.

확증 편향은 말 그대로, 내가 이미 믿고 있는 가설을 확인해주는 정보만 골라서 보고, 나와 다른 정보는 무시하거나 덜 중요하게 여기는 경향을 말합니다. 결국 객관적으로 판단해야 할 분석 상황에서, 뇌가 ‘내가 보고 싶은 것만 보게’ 만드는 거죠.

 

예를 들어 보면… #1

한 번은 내부자 위험 가능성에 너무 집중한 나머지, 외부 침입 흔적을 명확히 보여주는 로그가 있었음에도 별 의미 없는 것으로 넘겨버린 적이 있었습니다. 결국 초동 대응이 늦어졌고, 나중에 가서야 “아, 이게 외부 공격이었구나…” 하고 깨달았죠.

또 다른 경우에는, 일부 내부 로그만 보고 "이건 내부자 행동이야"라고 단정했지만, 나중에 보니 외부 공격자가 탈취한 계정으로 내부자처럼 위장한 공격이었어요. 내가 처음에 믿고 싶은 그림을 그리고 나면, 그 안에 맞는 조각만 끼워 넣으려는 겁니다.

 

예를 들어 보면… #2

 랜섬웨어 사고를 분석하던 한 사례에서, 담당 분석자 A양은 평소처럼 $MFT를 파싱해 시간순으로 정렬한 뒤, 감염 발생 시각을 기준으로 그 근처의 파일들만 집중적으로 살펴봤습니다. 왜냐하면 지금까지 분석해온 대부분의 랜섬웨어는 실행되자마자 바로 감염을 일으켰고, 그 시점 근처에서 의심 파일을 쉽게 찾아낼 수 있었기 때문이죠.

 

 이번에도 마찬가지일 거라는 생각에 의심 파일의 범위를 그 시간대에만 좁혀 본 겁니다. 하지만 분석은 점점 길어졌고, 좀처럼 감염 원인이 명확히 드러나지 않았습니다. 알고 보니 이 랜섬웨어는 실행 직후 자기 자신을 삭제하고, 다른 경로에 복제된 파일이 감염 행위를 이어가는 구조였던 겁니다. 결국 분석 대상이 된 시점 근처에는 남아 있는 흔적이 전혀 없었던 거죠.

 

 만약 그 분석자가 평소의 방식만 믿고 “결국 감염 파일은 이미 제거된 상태다”라고 결론 내렸다면, 실제로는 남아 있는 복제 파일을 놓치고 사고 대응이 실패로 끝났을 수도 있었던 상황이었습니다. ‘항상 이렇게 찾아왔으니까 이번도 마찬가지일 것’이라는 확신이 오히려 중요한 단서를 가리는 결정적 편향이 된 사례였습니다.

 

왜 사람은 확증 편향에 빠질까?

 확증 편향은 인간이 불확실한 상황에서 빠르게 결정을 내리려는 본능적인 사고 방식에서 비롯됩니다. 수많은 정보가 쏟아지는 상황에서 뇌는 일종의 에너지 절약 모드로 들어가, 기존에 알고 있던 정보나 익숙한 패턴에 의존하려 하죠. 그 결과, 새롭거나 낯선 정보는 무시하고, 자신이 이미 가지고 있는 생각을 강화시켜줄 만한 정보만 선택적으로 받아들이는 겁니다.

 

 보안 업무처럼 스트레스와 시간 압박이 큰 상황에서는 이 편향이 더 쉽게 작동합니다. 예를 들어, 긴급 분석 중에는 ‘예전에도 이런 유형이었으니 이번도 그럴 거야’라는 판단이 빠르게 내려지고, 그 판단에 맞는 증거만 찾으려는 방향으로 흐를 수 있습니다. 특히 반복되는 패턴에 익숙해진 보안 담당자일수록 ‘경험’이 오히려 함정이 될 수 있는 순간이 생깁니다.

---

그래서 왜 위험하냐면요...

이런 편향이 작동하면 진짜 공격 경로를 놓치게 되고, 분석도 대응도 틀어질 수밖에 없습니다. 특히 보안팀 입장에서는 이런 실수가 전체 네트워크로 피해가 번지는 결과를 만들 수 있어요. 잘못된 가정을 기반으로 조치를 하면, 오히려 피해가 더 커지는 거죠.

---

확증 편향을 피하기 위해 내가 해볼 수 있는 것들

 확증 편향은 누구에게나 자연스럽게 생기는 심리적 경향이기 때문에, 완전히 없애는 것보다 의식적으로 조절하는 게 중요하다고 생각합니다. 특히 침해사고 분석처럼 빠른 판단이 필요한 상황일수록, 뇌는 자꾸 ‘익숙한 길’, ‘해봤던 방식’을 먼저 선택하려고 하죠. 그래서 저는 아래와 같은 방법들이 확증 편향을 줄이는 데 실질적인 도움이 된다고 느꼈습니다.

1. 분석 가설은 여러 개 세워두기

처음부터 하나의 결론만 정해놓고 접근하기보다는, 가능성 있는 시나리오를 2~3개 정도 나눠서 생각해보는 습관이 중요합니다. 예를 들어, “내부자일 수 있다”는 가설과 동시에 “외부 침입자가 위장했을 가능성”도 함께 열어두고, 각각의 증거를 독립적으로 검토해보는 방식입니다. 이렇게 하면 내 생각을 검증하는 과정에서 생기는 편향을 줄일 수 있습니다.

2. 증거 수집은 '내 주장에 반대되는 것'도 찾는 방향으로

확증 편향은 ‘내가 옳다고 믿는 것’만 확인하려는 데서 시작되기 때문에, 의도적으로 내 가설을 반박할 수 있는 증거도 함께 찾는 과정이 필요합니다. 이건 생각보다 어렵지만, 오히려 반례가 없다는 걸 확인하면서 가설의 신뢰도를 높일 수도 있습니다.

 

3. 분석 과정을 문서화하며 '생각의 흐름'을 검토하기

생각은 흘러가 버리지만, 글로 적으면 그 과정을 되짚어볼 수 있습니다. 분석 중간중간 ‘왜 이 결론에 도달했는가’, ‘이 가정을 세운 근거는 무엇인가’를 기록해두면, 나중에 스스로의 판단 흐름을 객관적으로 돌아볼 수 있는 기회가 됩니다. 편향은 그 흐름 안에서 자주 드러나기 때문입니다.