필요한 마찰: UX 보안의 연극

게시 됨: 2022-07-22

UX 디자이너는 일반적으로 제품을 사용하기 쉽게 만들기 위해 노력하지만 마찰을 추가하면 제품 보안이 향상되는 상황이 있습니다. 예를 들어, 2단계 인증은 로그인을 느리게 하지만 신원 도용을 줄일 수 있습니다. 마찰을 구현하면 단순히 사용자가 안전 하다고 느끼는 경우도 있습니다. 애니메이션 진행률 표시줄은 개인 데이터를 보호하지 않지만 보안 환경에서 요구되는 더 높은 수준의 처리 능력에 대한 사용자의 기대를 충족할 수 있습니다.

스웨덴 정부와 계약을 맺은 디지털 보안 회사인 Freja의 제품 디자인 관리자로서 저는 일상적으로 사용성과 사용자 안전을 조화시키는 방법을 찾습니다. 때로는 사용자가 안전하다고 인식하는 기능을 통합하는 것을 의미합니다. 예를 들어, 대부분의 디지털 제품은 복잡한 데이터를 즉시 계산할 수 있지만 연구에 따르면 인위적인 로딩 시간은 사용자에게 고급 시스템이 사용자를 대신해 열심히 작동하고 있다는 느낌을 줍니다. 반면에 설계자가 보안을 강화하는 것처럼 보이는 기능(보안 극장으로 알려짐)에 지나치게 의존하는 경우 사용자가 자신의 정보가 실제보다 더 안전하다고 믿게 만들 수 있습니다.

UX 보안을 강화하는 기능

신원 확인은 UX 보안의 중요한 측면입니다. 불행히도 사용자 이름과 비밀번호는 신뢰할 수 있는 인증 수단이 아닙니다. 2021년에는 피싱 공격의 85%가 사용자 자격 증명을 대상으로 했습니다. 이를 방지하기 위해 디자이너는 사용자가 계정을 만들고 로그인하는 데 걸리는 시간을 늘리는 보안 기능을 구현하고 있습니다. 예를 들어, 다단계 인증(MFA)은 계정 생성 또는 로그인 시 여러 형태의 식별이 필요합니다. MFA를 사용하는 대부분의 제품은 사용자가 다음 세 가지 자격 증명 중 두 가지를 제공해야 합니다.

  • 여권, 운전면허증 등의 신분증 또는 신용카드 등의 결제수단
  • 비밀번호 또는 PIN과 같은 고유 정보
  • 얼굴, 지문 또는 망막 스캔과 같은 생체 데이터

사용자를 안전하게 보호하면서 MFA를 간소화하는 한 가지 방법은 사용자가 공식 신분증을 얼굴 옆에 들고 사진이나 동영상을 찍는 문서 셀카를 요구하는 것입니다. 셀카가 업로드되면 회사는 직원이 사용자의 얼굴과 ID를 검사하여 일치하는지 확인하거나 컴퓨터 알고리즘을 사용하여 진위 여부를 확인하도록 합니다.

얼굴 인식은 로그인 및 그 이상에서 빠르게 인기 있는 보안 기능이 되고 있습니다. 예를 들어, 일부 은행 앱은 사용자가 계정 세부 정보에 액세스하거나 전자 문서에 서명하거나 자금을 이체할 때 안면 인식을 사용하여 신원을 확인합니다. 많은 사람들이 얼굴 인식만 사용하여 스마트폰을 빠르게 잠금 해제하지만 보안 강화를 위한 MFA 전략의 일부로 이 기술을 구현하는 것이 좋습니다.

스마트폰에서 앱의 로그인 화면을 나타낸 일러스트입니다. 글에는 “환영합니다. 시작하려면 로그인하세요." 그 아래에는 사용자가 자신의 ID와 비밀번호를 입력할 수 있는 필드와 로그인 프로세스를 완료하거나 비밀번호 도움말을 볼 수 있는 버튼이 있습니다. Face ID 기능의 오버레이는 프레임 내에서 얼굴의 윤곽을 보여줍니다.
얼굴 인식과 같은 생체 인식 데이터를 사용하는 보안 조치는 도난으로부터 사용자의 신원, 정보 및 자금을 더 잘 보호합니다.

사용자의 신원을 확인하는 쉬운 방법은 30분에서 며칠 사이의 미리 결정된 간격으로 사용자를 자동으로 로그아웃하는 것입니다. 일부 사람들은 이 방법을 성가시게 여길 수 있지만 랩톱을 방치하거나 스마트폰을 분실하거나 공용 컴퓨터에서 로그아웃하는 것을 잊어버린 사용자를 보호할 수 있습니다.

또한 사용자가 이벤트 티켓 및 처방전과 같은 디지털 문서의 정당한 소유자인지 확인해야 하는 경우도 있습니다. 저는 Freja가 사용자의 디지털 ID(저희 앱에서 확인됨)를 COVID-19 백신 여권에 안전하게 연결하는 제품을 설계하는 것을 도왔습니다. 이로 인해 여권은 종이 버전이나 많은 국가에서 사용할 수 있는 기존 디지털 버전보다 위조하기가 훨씬 더 어려워졌습니다. 예를 들어 스웨덴과 덴마크에서는 디지털 백신 여권이 다른 형태의 신분증과 연결되지 않고 일반적으로 QR 코드를 통해 액세스됩니다.

디지털 인증의 발전에도 불구하고 특정 은행을 비롯한 일부 회사에서는 특히 대출 신청 시 사용자가 실제 장소를 방문하여 신원을 증명하도록 요구하고 있습니다. 이 경우 직원은 이용자의 외모를 면밀히 검토하여 신분증의 사진과 일치하는지 확인합니다. 일부는 이 보안 극장을 고려하고 직원이 사용자 없이도 이 작업을 완료할 수 있다고 주장합니다. 그러나 직접 방문하면 실제 이미지와 구별하기 어려워지는 딥페이크로 알려진 사진 및 비디오 위조를 방지하기 때문에 보안을 강화할 수 있습니다. 또한 AARP Research 조사에 따르면 50세 이상 성인의 83%가 자신의 온라인 활동과 정보가 사적인 것이라고 확신하지 않는 것으로 나타났습니다. 이러한 사용자에게 문서를 직접 검토할 수 있는 옵션을 제공하면 지속적인 제품 신뢰와 충성도를 구축할 수 있습니다.

많은 디지털 제품은 또한 사용자의 주소, 연락처 정보, 지불 방법 및 의료 기록까지 저장합니다. 위험을 감안할 때 더 많은 보안 조치를 구현하면 제품이 더 안전해질 것이라고 생각할 수 있지만 이는 쉽게 실망스러운 사용자 환경을 만들 수 있습니다. 컨텍스트가 중요합니다. 예를 들어 암호화 거래 앱을 디자인하는 경우 사용자가 로그인하지 않고도 토큰 가격 및 추세를 볼 수 있도록 허용할 수 있습니다. 해당 정보는 Google에서 쉽게 찾을 수 있기 때문입니다. 그러나 사용자가 토큰을 구매하거나 판매하기로 결정하면 MFA를 사용하여 로그인해야 합니다. 다른 작업에는 다른 수준의 보안이 필요합니다.

사용자가 안심할 수 있는 보안 극장

경우에 따라 디자이너는 보안 극장에 의존하여 마찰을 추가하고 사용자에게 더 큰 마음의 평화를 제공합니다. 이 방법은 사용자를 진정으로 보호하는 UX 기능을 대체하지 않는 한 유익할 수 있으며 때로는 필요하기도 합니다.

일부 회사는 절차에 불필요한 시간을 추가하여 안전하다고 느끼게 합니다. TurboTax는 사용자가 세금을 신고할 때 개인 및 금융 정보 처리를 느리게 합니다. 애니메이션 진행률 표시줄과 화면 텍스트는 프로그램이 가능한 모든 세금 감면이 적용되었는지 확인하기 위해 모든 세부 사항을 검토하고 있음을 사용자에게 확신시킵니다. 그러나 TurboTax는 이미 모든 단계에서 해당 데이터를 확인하고 있습니다.

TurboTax 웹사이트의 소스 코드를 연구한 연구원은 진행률 표시기가 미리 설정되어 있음을 발견했습니다. 애니메이션 재생이 시작되면 사이트 서버와의 통신이 중지됩니다. 또한 진행률 표시기는 모든 사용자에게 동일하며 항상 동일한 시간 동안 지속됩니다. 지연, 그래픽 및 메시지는 가능한 한 가장 큰 세금 환급을 받고 있다는 사용자의 자신감을 높이기 위한 연극적인 방법입니다. 이는 TurboTax도 데이터 암호화 및 다중 요소 인증을 사용하기 때문에 허용됩니다.

다른 회사는 다양한 상호 작용에 유사한 지연을 추가합니다. Wells Fargo는 사용자가 최고 속도로 달릴 때 제대로 작동하는지 확신할 수 없었기 때문에 앱에서 망막 스캐너 속도를 늦췄습니다. Facebook의 계정 보안 검사는 실제로 처리하는 데 밀리초가 걸리지만 사용자는 최대 10초를 기다려야 합니다. Google Ventures에서 설계한 것을 포함하여 대출 기관이 지원하는 모기지 앱은 사용자가 즉각적인 승인을 신뢰하지 않았기 때문에 대출 승인 프로세스를 늦추고 신용 확인을 위한 가짜 진행률 표시줄을 추가했습니다.

Freja eID 앱을 사용하면 근거리 통신(NFC)을 통해 정보를 업로드하기 위해 사용자가 칩 지원 여권에 휴대전화를 3초 동안 대고 있어야 합니다. 실제로 업로드는 1초도 채 걸리지 않지만 사용자에게 휴대전화를 더 오래 고정해 달라고 요청하면 프로세스가 안전하다고 느끼게 됩니다. 우리는 문서 셀카에도 마찰을 도입했습니다. 정지된 사진이 우리에게 필요한 전부였지만 사용자는 그것이 안전하다고 확신하지 못했고, 그래서 우리는 고개를 좌우로 돌리게 하는 단계를 추가했습니다.

Freja를 포함한 이 모든 회사는 실제 보안이 뒷받침되는 보안 극장이 사용자의 신뢰를 높인다는 사실을 발견했습니다. 클라이언트를 위한 UX 보안 프로젝트에서 작업할 때 많은 사용자의 멘탈 모델이 아직 현대 기술의 빠른 속도를 따라잡지 못했다는 점을 기억하십시오. 속도를 늦추면 사용자가 제품이 안전하다는 확신을 가질 수 있습니다.

그래픽은 TuboTax의 가짜 진행률 표시줄의 스크린샷을 보여줍니다. "가능한 모든 세금 감면을 이중으로 확인합니다... 우리는 한 가지도 놓치지 않도록 하여 귀하에게 합당한 모든 금액을 받고 있습니다." 공제, 크레딧 및 분석에 대한 상태 표시줄이 표시됩니다. 이미지에는 돈을 받는 손의 아이콘도 포함되어 있습니다.
모든 사용자에게 동일하고 항상 동일한 시간 동안 나타나는 TurboTax의 가짜 진행률 표시줄 및 상태 메시지의 그림 렌더링. 시간지연, 그래픽, 텍스트 등은 시큐리티 시어터의 예로서 제품의 안전성에 대한 사용자의 신뢰를 높일 수 있다.

UX와 마찰: 공생 관계

UX 보안은 스펙트럼이며 사용자는 보안이 어떤 모습이어야 하는지에 대해 특정한 기대치를 가지고 있습니다. 소셜 미디어 메시지를 보내는 것은 빠르고 간단해야 합니다. $10,000를 다른 사람의 은행 계좌로 이체하면 안 됩니다.

상호 작용 디자인에서 흐름은 사용자가 가능한 한 빨리 목표를 완료할 수 있도록 돕기 위해 우선 순위를 지정하는 경우가 많습니다. 그러나 신뢰를 높이고 사용자의 귀중한 정보를 보호하는 사려 깊은 마찰의 중요성을 무시하지 마십시오.

Toptal 블로그에 대한 추가 읽기:

  • Safe by Design: UX 보안 개요
  • 최대의 제품 신뢰를 위한 설계 방법
  • 카드 정렬: 사용자의 멘탈 모델에 맞춰 더 나은 정보 아키텍처