침해사고 분석에서 자주 빠지는 함정들 - 근거 편향

 

서론

업무뿐만 아니라 일상생활에서도 마찬가지로, 침해사고 분석을 할 때도 내가 인지 편향에 빠져서 잘못된 방향으로 가고 있는 건 아닌지 계속 점검하는 게 정말 중요하다고 느낍니다.

 

지난 글(침해사고 분석에서 자주 빠지는 함정들 - 확증편향)에서는 분석 초기에 세운 가설에 맞는 정보만 취하려다 판단을 그르쳤던 사례들을 소개했습니다. 이번 글에서는 그와 비슷하면서도 조금 결이 다른 근거 편향에 대해 이야기해보려고 합니다.

---

두번째, 기준 편향 - 결론을 먼저 정해놓고, 맞는 증거만 끌어오는 심리

근거 편향은 얼핏 보면 확증 편향과 비슷해 보입니다. 하지만 초점이 다릅니다. 확증 편향은 가설이 먼저고, 근거 편향은 결론이 먼저입니다.

• 확증 편향: "아마 이건 내부자 공격일 거야." → 그 가설에 맞는 정보만 찾아다님
• 근거 편향: "이건 내부자의 실수야." → 이미 결론이 정해진 상태에서, 그걸 뒷받침할 증거만 끼워 맞춤

다르게 말하면, 확증 편향은 ‘이럴 가능성이 있다’는 의심에서 시작되지만, 근거 편향은 ‘이게 맞다’는 확신에서 시작됩니다. 침해사고 분석에서는 이런 근거 편향이 특히 보고용 문서 작성이나 상황 정리 과정에서 자주 발생합니다. 분석이 끝나기도 전에 결론이 굳어지면, 이후의 로그 분석도 그 방향에 유리한 쪽으로만 해석되기 쉬운 거죠.

 

예를 들어 보면…

 침해사고 분석 현장에서, 분석 A팀은 처음부터 "이건 최근 유행하는 스캔성 악성코드의 일종일 것이다"라는 결론을 내려놓고 분석에 들어갔습니다. 그래서 이후 발견된 의심스러운 도메인 연결이나 공격자 인프라의 재사용 흔적 같은 정보들도 "스캐너가 우연히 닿은 흔적일 것"이라며 가볍게 넘겨버렸습니다. 실제로는 초기 스캔을 위장한 정교한 침투 시도였고, 같은 인프라를 활용한 표적 공격이었던 것으로 뒤늦게 밝혀졌습니다.

이처럼 결론을 먼저 정해두면, 이후에 나오는 모든 증거들이 자꾸 그 결론에 끼워 맞춰지게 되고, 정작 중요한 반대 증거는 과소평가되거나 무시되는 위험이 생깁니다.

---

왜 사람은 근거 편향에 빠질까?

 근거 편향은 일종의 ‘자기 확신을 유지하려는 심리 방어 기제’입니다. 분석자가 특정한 결론을 내렸을 때, 그 판단을 흔드는 증거나 반례가 보이면 심리적으로 불편함(인지 부조화)을 느끼게 됩니다. 그러다 보니 무의식적으로 그 불편함을 줄이기 위해, 자신에게 유리한 정보만 받아들이고, 불리한 정보는 덜 중요하게 여기거나 외면하게 되는 거죠.

 

 또한 분석이 길어질수록, ‘이 판단이 틀렸으면 지금까지 수고가 다 헛수고가 되는 거 아닌가?’ 하는 생각이 들기 시작합니다. 그래서 나도 모르게 내 결론에 힘을 실어줄 수 있는 증거만 모으게 되는 겁니다. 이건 경험이 많은 사람일수록 더 조심해야 할 심리입니다.

 

 게다가 조직 내 보고 구조나 시간 압박, 책임 회피 문화도 근거 편향을 더 강화시킬 수 있습니다. 예를 들어 누군가 결론을 먼저 정해두면, 그 아래 분석자들은 이를 거스르기 어렵고, 주어진 결론을 뒷받침하는 방식으로 분석을 맞추게 되는 경우가 생깁니다. 이렇게 되면 편향은 개인의 인지적 문제를 넘어 조직적 현상이 되기도 하죠.

 

 그리고 또 하나, 인간은 애초에 '확실함'을 좋아합니다. 분석이란 본질적으로 불확실성을 다루는 일이지만, 우리는 그 속에서도 어떤 '명확한 답'을 찾고 싶어 하죠. 그래서 어느 순간 결론이 하나 떠오르면, 그 안에 머무르는 게 훨씬 마음이 편해집니다. 근거 편향은 바로 그 심리적 안정감을 유지하기 위한 일종의 자동 반응일 수 있습니다.

---

근거 편향을 피하기 위해 내가 해볼 수 있는 것들

결론부터 내리지 않고, 증거 기반으로 시나리오를 정리하기
 무의식적으로 ‘이거겠지’라고 생각하더라도, 가능하면 모든 관련 증거를 한 번 모아 놓은 뒤에 시나리오를 도출하는 방식이 좋습니다. 시간은 조금 더 걸릴 수 있지만, 그만큼 판단의 정확도가 올라갑니다.

 

다른 해석 가능성이 있는 증거는 '표시'해두기
 근거 편향은 애매한 증거를 내 입맛대로 해석하면서 시작됩니다. 로그나 파일 분석 중 애매하게 해석될 수 있는 부분은 ‘이건 다른 해석도 가능함’이라고 표시해두고, 나중에라도 제3자의 시선으로 다시 보는 습관을 들이면 편향을 줄일 수 있습니다. 저의 경우에는 엑셀로 타임라인을 정리하되, 표 내 속성을 추가하여 관리하였습니다.

 

"왜 이 시나리오를 더 믿고 싶은가?" 스스로에게 질문해보기
 근거 편향은 단순한 실수라기보다는 ‘내가 믿고 싶은 방향’에 대한 집착에서 비롯됩니다. 그래서 가끔은 분석 도중 잠시 멈추고, "왜 이 결론이 더 자연스럽게 느껴지는지?"를 자문해보는 것도 도움이 됩니다. 감정적 또는 조직적 요인이 섞여 있지 않은지 돌아보는 거죠.

 

최종 결론 도출 전에 누군가에게 시나리오 설명해보기
 혼자 결론을 내리고 근거를 끼워 맞추는 걸 방지하려면, 중간에라도 다른 사람에게 간단히 시나리오를 설명해보고, 질문을 받아보는 것이 좋습니다. 다른 사람의 질문은 내가 무심코 지나친 증거 해석의 왜곡을 깨닫게 해주는 역할을 해줍니다.