$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

지속적 실전형 모의훈련을 통한 피싱공격 대응역량 및 행동변화에 관한 연구
A Study on the Change of Capability and Behavior against Phishing Attack by Continuous Practical Simulation Training 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.2, 2017년, pp.267 - 279  

윤덕상 (고려대학교 정보보호대학원) ,  이경호 (고려대학교 정보보호대학원) ,  임종인 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

본 연구는 한 회사에서 실제 업무 중에 있는 임직원들을 대상으로 장기간 여러 차수에 걸쳐 외부 해커들이 공격하는 동일한 경로와 방식으로 피싱(phishing)메일을 발송하고, 차수가 경과됨에 따라 메일 수신자들의 피싱 메일에 대한 식별능력과 대응행동을 측정하였으며, 훈련 간 부가적으로 외부통제 조건을 변화시켜 수신자들의 대응행동이 추가적으로 어떻게 변화되는지를 분석하였다. 분석결과 단발적 훈련보다는 지속적인 훈련이 임직원들의 피싱메일 식별능력과 감염율 감소에 정(+)의 영향을 주고 있음을 확인하였으며, 사회적 이슈나 시기적 이벤트와 연계한 피싱공격에 더 많은 임직원들이 감염이 되며, 감염자에 대한 인사조치와 같은 내부통제정책 강화가 임직원들의 피싱공격 대응행동에 정(+)의 영향을 주고 있음을 확인할 수 있었다. 이러한 결과에 따라 각 기관이 임직원들의 피싱공격 대응역량 강화를 위한 올바른 훈련방향을 제시하고자 한다.

Abstract AI-Helper 아이콘AI-Helper

This study emulated unscheduled phishing e-mails over a long period of time by imitating the manner in which external hackers attacked a group of employees in a company. We then measured and analyzed the recipient's ability to identify and respond to phishing e-mails as training progressed. In addit...

주제어

#phishing   #email   #social engineering   #APT   #advanced persistent threat   #security awareness training  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 연구는 선행연구들이 가지고 있는 이러한 문제와 한계를 극복하고자 국내 한 통신전문회사의 IT전문계열회사 임직원들을 대상으로 임직원들의 피싱메일 대응 역량강화 목적의 실전형 모의훈련을 실시하였으며, 훈련에 따른 임직원들의 대응역량 변화와 훈련효과를 실증적으로 분석하고자, Fig.1.과 같은 연구모형을 설정하고 장기간에 걸쳐 지속적으로 거듭 실시한 훈련의 횟수와 훈련자들의 직책, 고용유형 그리고 훈련 간 적용된 인사규정, 피싱 시나리오의 사회적 이슈 연관성 등이 임직원들의 대응행동에 미치는 영향을 분석하였다.
  • 기존의 연구가 대부분 1회 또는 2회 정도의 훈련만을 실험실 환경에서 수행 후 분석된 결과이므로 실제적인 자료의 신뢰성에 대해 의문을 갖게 한다. 본 연구에서는 2015년 2사분기부터 2016년 3사분기까지 총 6번에 걸쳐서 분기1회 모의훈련을 주기적으로 실시하여 방대한 양의 결과를 수집하였으며, 훈련간 결과를 상호 비교하여 선행훈련이 후행훈련에 어떠한 영향을 미치는지를 연구하였다.
  • 본 연구에서는 실험환경이 가지고 있는 문제점을 극복하고 신뢰성 있는 훈련효과를 측정하고자 현재 다량의 개인정보나 중요정보를 가지고 실제 업무에 임하고 있는 국내 한 통신전문회사의 IT전문계열회사 임직원들을 대상으로 자신들이 업무를 하는 환경과 자원을 이용하여 실전형 모의훈련을 실시하였다. 연구자가 보안총괄책임자(CISO)로 근무하고 있는 회사이기에 별도의 협조가 불필요한 상황이며 실제적으로 임직원들의 훈련과 연구를 병행하여 실시하였다.
  • 본 연구는 한 회사에서 실제 업무 중에 있는 임직원들을 대상으로 장기간 여러 차수에 걸쳐 외부 해커들이 공격하는 방식과 동일한 경로와 방식으로 피싱(phishing)메일을 발송하고, 차수가 경과됨에 따라 메일 수신자들의 피싱 메일에 대한 식별능력과 대응 행동을 측정하였으며, 훈련 간 부가적으로 외부통제조건을 변화시켜 수신자들의 대응행동이 추가적으로 어떻게 변화되는지를 분석하였다. 이러한 결과를 통해 본 연구에서는 각 기관이 임직원들의 피싱공격 대응역량 강화를 위해 진행하는 훈련에 대한 올바른 방향을 제시하고 피싱공격 피해를 최소화하는데 기여하고자 한다.

가설 설정

  • 연구가설1(H1)은 모의훈련의 횟수가 임직원들의 피싱메일 대응역량에 미치는 인과관계에 대한 가설이다. 실전형 모의훈련을 한번으로 그치는 것이 아니라 정해진 기간간격에 주기적으로 여러 번에 걸쳐 지속적으로 실시하면 임직원들의 훈련에 이해와 관심이 높아지고 독일의 심리학자 Hermann Ebbinghaus의 망각곡선이론[24] 시간 내에 재학습이 이루어짐에 따라 잊혀진 기억을 되살려 학습효과 증진 및 대응역량 강화에 긍정적인 영향을 미칠 것이라는 가설을 도출하였다.
  • 와 같다. 연구가설1(H1) ~ 연구가설3(H3), 연구가설5(H5)는 채택되었으며, 연구가설4(H4)는 대응행동 모두가 통계적으로 유의하지 않아 기각되었다. 따라서 모의훈련의 횟수, 인사규정 강화, 시즌연계이슈, 고용유형은 임직원들의 대응행동과 피싱 대응역량에 영향을 미친다는 것을 확인하였다.
  • 연구가설1(H1)은 모의훈련의 횟수가 임직원들의 피싱메일 대응역량에 미치는 인과관계에 대한 가설이다. 실전형 모의훈련을 한번으로 그치는 것이 아니라 정해진 기간간격에 주기적으로 여러 번에 걸쳐 지속적으로 실시하면 임직원들의 훈련에 이해와 관심이 높아지고 독일의 심리학자 Hermann Ebbinghaus의 망각곡선이론[24] 시간 내에 재학습이 이루어짐에 따라 잊혀진 기억을 되살려 학습효과 증진 및 대응역량 강화에 긍정적인 영향을 미칠 것이라는 가설을 도출하였다.
  • 연구가설2(H2)는 모의훈련간 외부 변수로 적용한 인사규정변화가 임직원들의 피싱메일 대응행동에 미치는 인과관계에 대한 가설이다.
  • 연구가설3(H3)은 모의훈련간 사용한 훈련상황 시나리오가 임직원들의 피싱메일 대응행동에 미치는 인과관계에 대한 가설이다.
  • 연구가설4(H4)는 임직원들의 직책과 피싱 대응역량간 인과관계에 대한 가설이다.
  • 연구가설5(H5)는 기업에 고용형태와 피싱 대응역량간 인과관계에 대한 가설이다.
  • 인사규정강화와 임직원들의 열람행동간의 상관계수는 –0.610이고 유의확율이 0.007, 감염행동과의 상관계수는 –0.789, 유의확율 0.000이며, 신고행동과 상관계수는 0.462, 유의확율 0.053으로 세 가지 행동 모두 유의수준 0.05에서 통계적으로 유의하며, 열람과 감염에는 음(-)의 영향을, 신고에는 양(+)의 영향을 미침을 확인하고 귀무가설을 기각하고 대립가설을 채택한다.
  • 392로 통계적으로 무의미 하여 시즌연계 이슈와 열람율과는 상관관계가 없음을 확인하였다. 하지만 감염행동과의 상관계수는 0.522, 유의확율 0.026이며, 신고행동과 상관계수는 -0.700, 유의확율 0.001로 두 가지 행동 모두 유의수준 0.05에서 통계적으로 유의하며, 다른 변수와 다르게 시즌 연계성이 높을수록 대응역량을 약화시켜 감염에는 양(+)의 영향을, 신고에는 음(-)의 영향을 미침을 확인하고 귀무가설을 기각하고 대립가설을 채택한다.
  • 훈련횟수와 임직원들의 열람행동간의 상관계수는 –0.609이고 유의확율이 0.007, 감염행동과의 상관계수는 –0.705, 유의확율 0.001이며, 신고행동과 상관계수는 0.616, 유의확율 0.007로 세 가지 행동 모두 유의수준 0.05에서 통계적으로 유의하며, 열람과 감염에는 음(-)의 영향을, 신고에는 양(+)의 영향을 미침을 확인하고 귀무가설을 기각하고 대립가설을 채택한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
피싱공격에는 어떤 기법이 활용되고 있는가? 일반적인 정보보안에 대한 인식강화 방법으로 다양한 교육방법이 연구되었지만 정작 피싱공격은 인간의 습관이나 속성, 심리적인 약점을 이용한 다양한 사회 공학적 기법이 활용되고 있으며, 그 중에서 이메일을 이용한 공격방법을 해커들이 가장 많이 사용하고 있다[14, 15]. 따라서 일반적인 인식강화 훈련과 더불어 어떻게 하면 피싱공격을 회피할 수 있는지에 대한 실전형 훈련을 통해 사람이 직접 경험하고 체득할 수 있는 교육이 이루어진다면 가장 효과적일 것이다.
새롭게 등장하는 악성코드의 유형 또한 APWG와 AhnLab 모두 피싱공격에 이용되는 무엇이 대부분을 차지하는가? 국내 바이러스 전문회사인 안랩(AhnLab)의 2016년 11월의 악성코드발생동향 보고서에서도 국내에서 월간 탐지되는 악성코드가 900만건~1000만건에 이르는 것으로 보고되고 있다. 새롭게 등장하는 악성코드의 유형 또한 APWG와 AhnLab 모두 피싱공격에 이용되는 Trojan이 대부분 차지하고 있어 전 세계적으로 피싱공격이 대세적으로 만연하고 있음을 증명하고 있다.
메일이 피싱의 도구가 된 국내 피해 사례는 어떤 것들이 있는가? 이러한 사람의 취약점을 이용하여 공격을 하는 방법 중에 가장 많이 활용되는 방법이 피싱이며, 주로 메일이 이러한 피싱의 도구로 사용되고 있다. 2014년 12월 익명의 해커가 한국수력원자력(이하 한수원)의 임직원 개인정보와 원자로 도면 등을 해킹한 후 웹사이트에 공개하며 원전가동 중단과 돈을 요구했던 사건도 사전에 메일을 이용하여 한수원과 국방 분야 전문가들에게 악성코드가 담긴 한글워드 파일을 보내 감염시킨 후 내부정보를 해킹하였으며, 2016년 5월 국내 쇼핑몰 사이트인 인터파크도 동생을 사칭한 피싱메일에 속은 내부 직원 PC를 통해 1천만 명이 넘는 고객정보가 빠져나가는 사건이 발생하기도 하였다[5][6].
질의응답 정보가 도움이 되었나요?

참고문헌 (26)

  1. S. Ashraf, "Organization need and everyone's responsibility: Information security awareness," Global Information Assurance Certification Paper, SANS Institute, Feb, 2005. 

  2. M. Al-Awadi and K. Renaud, "Success factors in information security implementation in organizations," IADIS International Conference e-Society, 2007. 

  3. S. Al Awawdeh and A. Tubaishat, "An information security awareness program to address common security concerns in IT unit," International Conference on Information Technology, pp. 273-278, Apr. 2014. 

  4. T. Nikolakopoulos, "Evaluating the human factor in information security," Master thesis, Oslo University College, Apr. 2009. 

  5. Kyu-sik Kim, Jong-won Choi and Dong-hun Chu, "Nuclear power hacking is spear phishing," http://news.mk.co.kr/newsRead.php?year2014&no1564190, Maeil Business News, Dec. 2014. 

  6. Tae-kyun Kim, "Interpark was robbing 10 million personal information by one phishing e-mails impersonating his brother." http://www.yonhapnews.co.kr/bulletin/2016/08/31/0200000000AKR20160831043451017.HTML?fromsearch, Yonhap News, Aug. 2016. 

  7. P. Kumaraguru, S. Sheng, A. Acquisti, L. F. Cranor and J. Hong, "Lessons from a real world evaluation of anti-phishing training," eCrime Researchers Summit, 2008, pp. 1-12, Oct. 2008. 

  8. W. G. Anti-Phishing, "Phishing activity trends report 3rd quarter 2016," Anti-Phishing Working Group, Dec. 2016. 

  9. A. ENISA, "Users' guide: How to raise information security awareness," Jun. 2006. 

  10. T. Carlson, "Information security management: understanding ISO 17799," Lucent Technologies, Oct. 2001. 

  11. Cha-ho Lim, "Effective information security awareness plan," Journal of The Korea Institute of Information Security & Cryptology, 16(2), pp. 30-36, Apr. 2006. 

  12. Jung-ho Eom, "The Improvement plan of a customized cyber-training structure for enhancing the capability of cyber security," Journal of Security Engineering, 12(6), pp. 567-580, Dec. 2015. 

    상세보기 crossref

  13. Hong-jae Lee and Yong-jin Cha, "A study on the effectiveness of privacy education using the CIPP model : focusing on the perceptions of local government officials," The Korean Journal of Local Government Studies, 19(1), pp. 95-119, 2015. 

  14. L. James, Phishing exposed, Syngress 2005. 

  15. R. Richmond, "Hackers set up attacks on home PCs, financial firms: study," http://www.marketwatch.com/News/Story/Story.aspx?distnewsfinder&siteidgoogle&guid%7B92615073-95B6-452EA3B9, Sep. 2006. 

  16. S. A. Robila and J. W. Ragucci, "Don't be a phish: steps in user education, ", vol. 38, no. 3, pp. 237-241, Jun. 2006. 

    상세보기 crossref

  17. T. Jagatic, N. Johnson, M. Jakobsson and F. Menczer, "Social phishing," Communications of the ACM, vol. 50, no. 10, pp. 94-100, Oct. 2006. 

  18. A. J. Ferguson, "Fostering e-mail security awareness: The West Point carronade," Educase Quarterly, vol. 28, no. 1, pp. 54-57 2005. 

  19. P. Kumaraguru, Y. Rhee, A. Acquisti, L. F. Cranor, J. Hong and E. Nunge, "Protecting people from phishing: the design and evaluation of an embedded training email system,", pp. 905-914, Apr. 2007. 

  20. M. Allen, "Social engineering: A means to violate a computer system," SANS Institute, Jun. 2006. 

  21. J. Hiner, "Change your company's culture to combat social engineering attacks," May, 2002. 

  22. D. Timko, "The social engineering threat," Information Systems Security Association Journal, Jan. 2008. 

  23. M. B. Brewer, "Research design and issues of validity," Handbook of research methods in social and personality psychology, pp. 3-16, 2000. 

  24. H. Ebbinghaus, Memory: A contribution to experimental psychology, University Microfilms, no. 3, 1913. 

  25. P. Brien, "10 tips for spotting a phishing email," http://www.techrepublic.com/blog/10-things/10-tips-for-spotting-a-phishing-email/, Oct. 2015. 

  26. D. Estelle, "10 tips on how to identify a phishing or spoofing email, https://blog.returnpath.com/10-tips-on-how-to-identify-a-phishing-or-spoofing-email-v2/ ", Dec. 2015. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로