연구: 'Security Fatigue'가 Digital Defenses를 약화시킬 수 있다
Source: Hacker News
Source: https://www.albany.edu/news/2026-security-fatigue-study
연구 개요
ALBANY, N.Y. (2026년 3월 18일) — 비밀번호 재설정, 소프트웨어 업데이트, 피싱 경고 및 사이버 보안 교육 등 오늘날 직장은 디지털 보안에 관한 끊임없는 알림으로 가득합니다. 알바니 대학교 Massry School of Business에서 주도한 새로운 연구에 따르면, 이러한 선의의 보호 조치가 의도치 않은 영향을 미칠 수 있다고 합니다.
최근 연구인 “Security Fatigue: Manifestation of Emotional Exhaustion and Cynicism by Depletion of Self‑Regulation Capacity”가 European Journal of Information Systems에 게재되었으며, 증가하는 사이버 보안 요구가 직원 행동에 어떤 영향을 미치는지 조사했습니다. 연구 결과, 보안 요구에 반복적으로 노출되면 보안 피로가 발생할 수 있는데, 이는 직원들이 정신적으로 탈진하고 보안 실천에서 disengaged(무관심)해지는 상태를 의미합니다.
“보안 요구는 조직을 보호하기 위해 설계되었지만, 동시에 직원들에게 추가적인 부담을 주어 시간이 지남에 따라 누적됩니다,”라고 Sanjay Goel 교수(머리시 Massry Endowed Professor 및 Information Security and Digital Forensics 학과장)가 말했습니다. “그러한 요구가 개인이 감당할 수 있는 능력을 초과하면 일관된 보안 행동을 유지하기가 더 어려워집니다.”
Goel 교수는 영국 런던 메트로폴리탄 대학교 Guildhall School of Business and Law의 Akanksha Malik와 인도 델리 공과대학(Indian Institute of Technology Delhi)의 Shuchi Sinha와 공동으로 연구를 수행했습니다.
사이버 보안의 인간적 측면
While cybersecurity is often framed as a technical challenge, the study highlights the growing strain placed on employees who must carry out security practices in real time.
사진: Patrick Dodson
Employees are routinely expected to manage a range of security‑related tasks, from maintaining complex passwords to identifying phishing attempts and adapting to frequently updated policies. Each task may be manageable on its own, but the cumulative effect creates a sustained cognitive burden that interferes with primary responsibilities.
Over time, that burden depletes an individual’s ability to self‑regulate, leading to fatigue that manifests as emotional exhaustion and disengagement from security practices. When that happens, employees may begin to ignore warnings, reuse weak passwords, or seek workarounds that allow them to stay productive.
“People aren’t trying to bypass security,” Goel said. “In many cases, they’re simply overwhelmed by the volume and complexity of what’s being asked of them.”
The study finds that this behavior is typically not malicious, but the result of overload. Employees who disengage were often previously compliant but have been worn down by constant demands.
피로 감소, 컴플라이언스 향상
문제를 더 잘 이해하기 위해 연구진은 조직의 사이버 보안 정책을 탐색한 경험이 있는 미국 전일제 직원 300명 가까이를 설문 조사했습니다. 그 결과 보안 요구사항이 직원들의 주요 업무 수행 능력을 방해할 때 보안 피로가 가장 많이 발생한다는 것이 밝혀졌습니다.
동시에 연구는 조직이 위험을 줄일 수 있는 방법을 제시합니다. 보안 작업을 관리할 수 있다는 자신감을 가진 직원—security self‑efficacy(보안 자기 효능감)이라고 불리는—과 사이버 보안 위험을 이해하는 직원은 피로가 존재하더라도 컴플라이언스를 유지할 가능성이 더 높습니다.
“조직은 보안 정책을 어떻게 구현할지 신중히 고민해야 합니다,”라고 Goel이 말했습니다. “교육을 제공하고, 프로세스를 단순화하며, 보안을 일상 업무 흐름에 통합하면 마찰을 줄이고 직원들이 보안 관행에 지속적으로 참여하도록 도울 수 있습니다.”
이 연구는 교육 및 기술 지원을 포함한 조직 지원이 직원들이 보안 요구사항을 보다 효과적으로 탐색하도록 돕는 역할을 강조합니다. 이러한 지원이 마련되면 일상 업무에 대한 보안 요구의 영향이 감소합니다.
사이버 위협이 계속 진화함에 따라, 연구 결과는 더 넓은 과제를 제시합니다: 보안을 강화하면서 이를 수행하는 사람들을 압도하지 않는 것. 연구진은 조직이 더 엄격한 정책에만 집중하기보다 시간이 지나도 지속 가능한 시스템을 설계하는 데 초점을 맞춰야 한다고 제안합니다.