조직의 정보보안은 물리적, 기술적, 관리적 영역에서 균형적으로 이뤄져야 한다. 그러나 과거 기업의 정보보안 대책은 주로 물리적, 기술적 영역에 집중되는 경향이 있었다. 최근 조직구성원에 의한 보안사고가 늘어남에 따라 기업에서도 인적 보안 관리나 정보보안 교육에 관심이 점차 높아지는 추세이다. 본 연구는 현장실험을 통해 보안교육이나 보안서비스 제공이 조직구성원의 보안정책 준수 행동에 어떤 영향을 미치는지 알아보았다. 연구 1에서 국내 대기업 임직원을 대상으로 스팸 이메일 대응교육을 실시한 후 교육 효과를 알아보기 위해 스팸 이메일 열람 여부를 측정했고, 3개월이 지난 후에도 효과가 지속되는지 알아보았다. 연구 2에서는 보안서비스의 효과를 알아보기 위해 보안경고 알림 메시지를 제공한 후 그 효과를 측정하였다. 실험 결과, 보안교육은 보안정책 준수 행동에 긍정적인 영향을 미치는 것으로 나타났다. 보안교육 직후 교육 이수집단이 미이수집단에 비해 스팸 이메일 열람률이 낮았다. 그러나 3개월 후 이러한 집단 간 차이는 사라졌다. 또한 보안위험 경고 알림 메시지는 스팸 이메일을 열람률을 낮추는 데 효과가 큰 것으로 나타나 보안정책 준수 행동에 긍정적인 영향을 미쳤다. 이 결과는 조직의 인적보안관리를 위해서는 지속적인 보안교육이 필요하고, 보완적으로 보안서비스를 활용할 필요가 있음을 시사한다.
조직의 정보보안은 물리적, 기술적, 관리적 영역에서 균형적으로 이뤄져야 한다. 그러나 과거 기업의 정보보안 대책은 주로 물리적, 기술적 영역에 집중되는 경향이 있었다. 최근 조직구성원에 의한 보안사고가 늘어남에 따라 기업에서도 인적 보안 관리나 정보보안 교육에 관심이 점차 높아지는 추세이다. 본 연구는 현장실험을 통해 보안교육이나 보안서비스 제공이 조직구성원의 보안정책 준수 행동에 어떤 영향을 미치는지 알아보았다. 연구 1에서 국내 대기업 임직원을 대상으로 스팸 이메일 대응교육을 실시한 후 교육 효과를 알아보기 위해 스팸 이메일 열람 여부를 측정했고, 3개월이 지난 후에도 효과가 지속되는지 알아보았다. 연구 2에서는 보안서비스의 효과를 알아보기 위해 보안경고 알림 메시지를 제공한 후 그 효과를 측정하였다. 실험 결과, 보안교육은 보안정책 준수 행동에 긍정적인 영향을 미치는 것으로 나타났다. 보안교육 직후 교육 이수집단이 미이수집단에 비해 스팸 이메일 열람률이 낮았다. 그러나 3개월 후 이러한 집단 간 차이는 사라졌다. 또한 보안위험 경고 알림 메시지는 스팸 이메일을 열람률을 낮추는 데 효과가 큰 것으로 나타나 보안정책 준수 행동에 긍정적인 영향을 미쳤다. 이 결과는 조직의 인적보안관리를 위해서는 지속적인 보안교육이 필요하고, 보완적으로 보안서비스를 활용할 필요가 있음을 시사한다.
In the past, organizations tended to focus on physical and technical aspects of managing corporate's information security (IS), rather than the aspect of human resources related to IS. Recently, increasing security incidents caused by organization members raise the issue of how to improve employees'...
In the past, organizations tended to focus on physical and technical aspects of managing corporate's information security (IS), rather than the aspect of human resources related to IS. Recently, increasing security incidents caused by organization members raise the issue of how to improve employees' compliance with security policies. This study conducted a field experiment to examine the effect of security awareness training and technical security services on employee's security behaviors. In Study 1, the number of spam opening cases were measured right after the IS training and re-measured three months later. In Study 2, a spam warning message was provided and then the number of employees' spam opening cases were counted to find out the effect of security services. It was found that both the IS training and the technical IS service were effective; they significantly decreased spam opening rates. However, the training effect did not last longer than three months. These findings suggest that organizations need to consider providing regular training programs and supplementary technical services to improve employees' compliance with security policies.
In the past, organizations tended to focus on physical and technical aspects of managing corporate's information security (IS), rather than the aspect of human resources related to IS. Recently, increasing security incidents caused by organization members raise the issue of how to improve employees' compliance with security policies. This study conducted a field experiment to examine the effect of security awareness training and technical security services on employee's security behaviors. In Study 1, the number of spam opening cases were measured right after the IS training and re-measured three months later. In Study 2, a spam warning message was provided and then the number of employees' spam opening cases were counted to find out the effect of security services. It was found that both the IS training and the technical IS service were effective; they significantly decreased spam opening rates. However, the training effect did not last longer than three months. These findings suggest that organizations need to consider providing regular training programs and supplementary technical services to improve employees' compliance with security policies.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 보안교육이 효과적으로 이뤄지면 보안정책 준수 행동에 긍정적인 영향을 미칠 것이라 예상할 수 있다. 구체적으로 본 연구에서는 조직구성원을 대상으로 스팸 이메일에 대한 대응 교육을 실시하고 교육의 단기적 효과성을 알아보기 위해 교육을 이수한 집단과 미이수한 집단의 스팸 이메일 열람률의 차이를 알아볼 것이다. 보안정책을 준수하는 행동은 스팸을 가장해 발송한 이메일을 열어보지 않는 것, 반대로 보안정책 미준수 행동은 스팸 이메일을 열람하는 것으로 정의할 수 있다.
보안정책을 준수하는 행동은 스팸을 가장해 발송한 이메일을 열어보지 않는 것, 반대로 보안정책 미준수 행동은 스팸 이메일을 열람하는 것으로 정의할 수 있다. 또한 스팸 이메일을 열어본 후 이메일 안의 링크를 클릭하는지, 첨부된 파일을 열어보는지 여부도 함께 알아볼 것이다.
마지막으로 기술지원 보안서비스가 보안정책 준수 행동에 효과가 있는지 알아보기 위해 과거 수신 기록이 없는 미지의 발신자로부터 이메일이 발송되면 경고 알림창이 뜨는 서비스를 제공하고, 이 서비스를 제공한 집단과 미제공한 집단 간 스팸 이메일 열람률의 차이를 알아본다. 마찬가지로 스팸 이메일을 열어본 후안의 링크를 클릭하는지, 첨부된 파일을 열어보는지 여부도 함께 알아볼 것이다. 만약 보안서비스 제공이 효과가 있다면 보안정책 준수 행동에 긍정적인 영향을 미쳐 스팸 이메일 열람률이 낮아질 것으로 예상된다.
본 연구는 실제 조직구성원의 보안정책준수 행위에 초점을 맞춰 실험연구를 진행하였다. 현장실험을 통해 보안교육이 조직구성원의 보안 행동에 어떠한 영향을 미치는지, 교육의 효과는 얼마나 지속되는지, 보안 서비스를 제공하는 것이 보안정책준수 행동 향상에 도움이 되는지를 실증적으로 검증하였다.
본 연구는 정보보안 정책준수 의도나 태도가 아닌 정책준수 행동에 대한 보안교육의 효과성과 지속성 그리고 기술적인 보안 지원 서비스 제공의 효과성을 알아보기 위해 실제 기업 현장에서 실험을 진행하였다. 실험의 통제 수준을 높이기 위해 정보보안 실험 대상은 스팸 이메일에 대한 대응으로 한정하였다.
교육 효과의 지속성에 따라 얼마나 자주 정기적으로 교육을 실시해야 하는지에 대한 구체적인 방침이 결정될 수 있다. 본 연구에서는 일회성 단기 교육 효과의 지속 기간을 확인하기 위해 보안교육 후 3개월이 지난 시점에서 다시 한 번 교육 이수 집단과 미이수 집단을 비교할 것이다. 만약 교육 효과의 지속성이 길지 않다면 3개월 후 스팸 이메일 열람률은 교육 이전과 크게 다르지 않을 것으로 예상된다.
보안교육을 이수한 실험집단과 미이수한 통제집단 간 유의한 차이가 있는지 알아보기 위해 SPSS Statistics 24 프로그램을 이용하여 교차분석을 실시하였다. 직급이나 성별 차이는 유의하게 나타나지 않았으므로 분석 결과는 교육 이수집단과 미이수집단을 비교한 결과만을 보고한다.
실험집단에 실시한 보안교육은 오프라인에서 1시간 동안 진행되었다. 특히 스팸 이메일을 통한 바이러스 및 악성코드의 감염으로 발생한 보안사고 사례들을 소개하고 이메일을 통한 해킹이 이뤄지는 과정에 대해 교육하였다. 그리고 이러한 사고를 예방하기 위해 조직구성원이 기업의 보안정책을 반드시 준수해야 한다는 점을 강조하였다.
제안 방법
그리고 이러한 사고를 예방하기 위해 조직구성원이 기업의 보안정책을 반드시 준수해야 한다는 점을 강조하였다. 구체적 행동지침으로 스팸 또는 바이러스나 악성 이메일로 의심되는 경우는 열람하지 않고 즉시 삭제해야 하며, 열람했을 경우에도 바이러스나 악성코드에 감염되지 않도록 첨부된 링크를 클릭하거나 파일을 다운받지 않도록 교육하였다. 보안교육 전, 교육 후, 교육 3개월 후에 발송한 스팸 이메일내역은 <표 1>과 같다.
마지막으로 기술지원 보안서비스가 보안정책 준수 행동에 효과가 있는지 알아보기 위해 과거 수신 기록이 없는 미지의 발신자로부터 이메일이 발송되면 경고 알림창이 뜨는 서비스를 제공하고, 이 서비스를 제공한 집단과 미제공한 집단 간 스팸 이메일 열람률의 차이를 알아본다. 마찬가지로 스팸 이메일을 열어본 후안의 링크를 클릭하는지, 첨부된 파일을 열어보는지 여부도 함께 알아볼 것이다.
약 1개월 후 실험집단에는 보안교육을 실시하고 통제집단에는 보안교육을 실시하지 않은 상태에서 다시 스팸을 가장한 이메일을 발송한 뒤 열람률을 알아보았다. 마지막으로 약 3개월 뒤에 스팸 이메일을 다시 발송해 보안교육 효과의 지속성을 살펴보았다.
실험은 약 5개월에 걸쳐 진행되었다. 먼저 1차 스팸 이메일을 발송한 후, 1개월 내에 보안교육을 실시했고, 보안교육 후 1개월 이내에 2차 스팸 이메일을 발송했으며, 마지막으로 2차 이메일 발송으로부터 약 3개월 후 3차 스팸 이메일을 발송했다. 총 3번에 걸쳐 발송된 스팸 이메일의 열람자 수, 링크 클리자 수, 첨부파일 열람자 수는<표 3>과 같다.
보안교육 실험의 직접적인 영향을 최소화하고 실험 상황에 대한 통제 수준을 높이기 위하여 두 실험 간에는 약 반 년 정도의 시간차를 두었다. 보안 서비스를 제공하기 전 1차 스팸 이메일을 발송했고, 보안서비스를 제공 시기에 맞춰 2차 스팸 이메일을 발송했다. 자료는 약 2개월에 걸쳐 수집되었다.
보안교육 실험을 실시하고 약 6개월이 지난 후 보안 서비스 제공 효과를 검증하는 실험을 진행하였다. 연구 1과 마찬가지로 무작위로 실험집단과 통제집단을 나누고 보안서비스를 제공하기 전에 두 집단의 스팸이메일 열람 현황을 사전 조사하였다.
본 연구를 위해 임직원 수 약 3천명 규모의 국내 대기업 A사를 대상으로 현장실험을 수행하였다. 보안교육의 효과성과 지속성에 관해 알아보는 연구 1을 약 5개월에 걸쳐 진행한 후 시간차를 두고 그 다음 해 보안서비스 효과를 알아보는 연구 2를 약 2개월 동안 진행하였다.
이러한 보안서비스는 교육 효과의 지속성을 높일 수 있고 일부 조직구성원이 교육을 통해 일정한 인식 수준에 도달하지 못한다 할지라도 보완적인 기술적 지원을 통해 이들로부터 보안정책 준수 행동을 유도할 수 있다. 본 연구는 조직에서 자체적으로 사용하는 사내 이메일 시스템 환경을 이용해 스팸 이메일에 대한 실험연구를 진행하였고, 관련 보안정책과 교육 및 서비스에 대하여 아래와 같이 정의하였다.
본 연구에서는 실험 상황의 통제 수준을 높이기 위해 기업의 사내 이메일 시스템 사용에 대한 영역으로 연구 범위를 한정하였고, 이와 관련된 보안교육을 진행하고, 기업 차원의 보안정책은 ‘발신처가 불분명하거나 스팸 또는 바이러스, 악성 이메일로 의심되는 경우는 열람하지 않고 즉시 삭제’하는 것이었다.
보안서비스 제공 전과 후에 사용된 스팸 이메일 내역은 <표 2>와 같다. 서비스 제공 전 1차 스팸 이메일을 발송한 후 열람률을 조사했고, 2차 이메일을 발송하는 시점에 실험집단에만 보안서비스를 제공하고 통제집단에는 서비스를 제공하지 않았다.
실험재료는 일반적인 스팸 이메일과 유사해 보이도록 구성했으며, 사회공학적 측면에서 아주 정교한 수준으로 설계하지는 않았고, 보통 수준을 유지하도록 했다. 예를 들어, 발신자 계정은 조직구성원이 어느 정도 주의를 기울이면 스팸 이메일인지 확인할 수 있는 수준으로 설정하였다.
실험집단에 실시한 보안교육은 오프라인에서 1시간 동안 진행되었다. 특히 스팸 이메일을 통한 바이러스 및 악성코드의 감염으로 발생한 보안사고 사례들을 소개하고 이메일을 통한 해킹이 이뤄지는 과정에 대해 교육하였다.
임직원을 대상으로 무작위로 교육(실험)집단과 미 교육(통제)집단으로 나누고 보안교육을 실시하기 전에 이들의 스팸 이메일 열람 현황을 조사하였다. 약 1개월 후 실험집단에는 보안교육을 실시하고 통제집단에는 보안교육을 실시하지 않은 상태에서 다시 스팸을 가장한 이메일을 발송한 뒤 열람률을 알아보았다. 마지막으로 약 3개월 뒤에 스팸 이메일을 다시 발송해 보안교육 효과의 지속성을 살펴보았다.
보안교육 실험을 실시하고 약 6개월이 지난 후 보안 서비스 제공 효과를 검증하는 실험을 진행하였다. 연구 1과 마찬가지로 무작위로 실험집단과 통제집단을 나누고 보안서비스를 제공하기 전에 두 집단의 스팸이메일 열람 현황을 사전 조사하였다. 약 2개월 후 실험집단에는 해당 기업에서 실제 사용하는 이메일 시스템 내 그룹웨어를 통해 과거 수신 내역이 없는 발신자를 식별하여 해당 이메일 열람을 시도하는 경우 팝업창 형태로 경고 메시지를 보여줌으로써 수신자의 주의를 환기시키는 보안서비스를 제공하였다.
임직원을 대상으로 무작위로 교육(실험)집단과 미 교육(통제)집단으로 나누고 보안교육을 실시하기 전에 이들의 스팸 이메일 열람 현황을 조사하였다. 약 1개월 후 실험집단에는 보안교육을 실시하고 통제집단에는 보안교육을 실시하지 않은 상태에서 다시 스팸을 가장한 이메일을 발송한 뒤 열람률을 알아보았다.
본 연구는 실제 조직구성원의 보안정책준수 행위에 초점을 맞춰 실험연구를 진행하였다. 현장실험을 통해 보안교육이 조직구성원의 보안 행동에 어떠한 영향을 미치는지, 교육의 효과는 얼마나 지속되는지, 보안 서비스를 제공하는 것이 보안정책준수 행동 향상에 도움이 되는지를 실증적으로 검증하였다.
대상 데이터
보안교육 실험에 참여한 참가자는 총 543명(실험집단 256명, 통제집단 287명)이었다. 실험은 약 5개월에 걸쳐 진행되었다.
본 연구를 위해 임직원 수 약 3천명 규모의 국내 대기업 A사를 대상으로 현장실험을 수행하였다. 보안교육의 효과성과 지속성에 관해 알아보는 연구 1을 약 5개월에 걸쳐 진행한 후 시간차를 두고 그 다음 해 보안서비스 효과를 알아보는 연구 2를 약 2개월 동안 진행하였다.
자료는 약 2개월에 걸쳐 수집되었다. 실험에 참여한 참가자는 총 270명(실험집단 132명, 통제집단 138명)이었다. 본 연구에서 보안서비스는 조직구성원의 정보보안 정책 준수 행동을 향상시키기 위해 보완적으로 제공하는 기술적 지원으로 정의하고, 스팸 이메일을 읽으려 시도할 때 잠재적 위험을 알리는 메시지 팝업을 제공하는 것으로 구현되었다.
보안교육 실험에 참여한 참가자는 총 543명(실험집단 256명, 통제집단 287명)이었다. 실험은 약 5개월에 걸쳐 진행되었다. 먼저 1차 스팸 이메일을 발송한 후, 1개월 내에 보안교육을 실시했고, 보안교육 후 1개월 이내에 2차 스팸 이메일을 발송했으며, 마지막으로 2차 이메일 발송으로부터 약 3개월 후 3차 스팸 이메일을 발송했다.
본 연구는 정보보안 정책준수 의도나 태도가 아닌 정책준수 행동에 대한 보안교육의 효과성과 지속성 그리고 기술적인 보안 지원 서비스 제공의 효과성을 알아보기 위해 실제 기업 현장에서 실험을 진행하였다. 실험의 통제 수준을 높이기 위해 정보보안 실험 대상은 스팸 이메일에 대한 대응으로 한정하였다.
전체 수신자 543명 중 13~14% 가량이 이메일 내 링크를 클릭한 것으로 나타났다. 이메일을 열람한 사람 290명을 기준으로 보면, 약 25.9%인 75명이 이메일 내 링크를 클릭한 것이다.
보안 서비스를 제공하기 전 1차 스팸 이메일을 발송했고, 보안서비스를 제공 시기에 맞춰 2차 스팸 이메일을 발송했다. 자료는 약 2개월에 걸쳐 수집되었다. 실험에 참여한 참가자는 총 270명(실험집단 132명, 통제집단 138명)이었다.
데이터처리
총 3번에 걸쳐 발송된 스팸 이메일의 열람자 수, 링크 클리자 수, 첨부파일 열람자 수는<표 3>과 같다. 보안교육을 이수한 실험집단과 미이수한 통제집단 간 유의한 차이가 있는지 알아보기 위해 SPSS Statistics 24 프로그램을 이용하여 교차분석을 실시하였다. 직급이나 성별 차이는 유의하게 나타나지 않았으므로 분석 결과는 교육 이수집단과 미이수집단을 비교한 결과만을 보고한다.
보안서비스 제공 전과 후 스팸 이메일의 열람, 링크 클릭, 첨부파일 열람 빈도는 <표 4>에 제시되어 있다. 서비스를 제공한 집단(실험집단)과 미제공한 집단(통제집단)의 차이를 알아보기 위하여 카이제곱검정 즉, 독립성 검증 교차분석을 실시하였고 결과변인은 연구 1과 마찬가지로 3개의 변수(이메일 열람, 링크 클릭, 첨부파일 열람)에 대한 빈도측정치를 사용했다.
성능/효과
001. 교육을 이수한 실험집단은 37.9%인 97명이 이메일을 열람했으나 교육을 이수하지 않은 통제집단은 52.3%에 해당하는 150명이 이메일을 열어본 것으로 나타나 이수집단에서는 열람률이 많이 낮아진 한편 미이수집단의 열람률은 교육 전과 크게 다르지 않았다. 따라서 스팸 이메일에 대한 보안교육이 조직구성원의 보안 정책 준수 행동에 긍정적인 영향을 미친 것으로 볼 수 있다.
2%(147명)이 이메일을 열어보았고, 이는 1차, 2차 이메일 발송 시기와 크게 다르지 않았다. 그러나 실험집단인 교육 이수집단의 이메일 열람률은 52.3%(134명)으로 교육 이전 수준으로 회귀하는 현상을 보여 보안교육의 효과가 3개월 이상 지속되지 않는다는 문제점이 드러났다.<그림 3>에 제시된 두 집단의 스팸 이메일 열람 퍼센티지를 보면 이러한 변화를 관찰할 수 있다.
보안경고 메시지를 제공했던 보안서비스의 효과는 매우 커서 스팸 이메일 열람률, 링크 클릭률, 첨부파일 열람률을 모두 유의하게 낮추는 것으로 드러났다. 그리고 전반적으로 정책 위반의 정도가 심해질수록 즉, 이메일 열람, 링크클릭, 첨부파일 열람 순으로 위반 행동의 빈도는 감소하는 경향이 있었다.
마지막으로 정보보안 정책에 대한 위반 강도가 가장 높다고 할 수 있는 스팸 이메일 안의 첨부파일 열람 분석결과를 보면, 보안서비스 적용 전에는 집단 간 차이가 없다가(χ2 (1, n = 270) = .013, p = .909), 보안서비스 적용 후 집단 간 차이가 유의하게 드러났다, χ2 (1, n = 270) = 7.076, p = .008.
그러나 마찬가지로 이러한 보안정책 준수 행동이 3개월 이상 지속되지는 않는 것으로 나타났다. 보안경고 메시지를 제공했던 보안서비스의 효과는 매우 커서 스팸 이메일 열람률, 링크 클릭률, 첨부파일 열람률을 모두 유의하게 낮추는 것으로 드러났다. 그리고 전반적으로 정책 위반의 정도가 심해질수록 즉, 이메일 열람, 링크클릭, 첨부파일 열람 순으로 위반 행동의 빈도는 감소하는 경향이 있었다.
보안교육 전 실험집단과 통제집단의 차이를 알아보기 위해 카이제곱 독립성 검정을 실시한 결과 이메일 열람 빈도수에 두 집단 간 차이가 유의하게 나타나지 않았다, χ2 (1, n = 543) = .015, p = .901.에도 나와 있듯이 실험집단에서는 256명 중 53.1%인 136명이, 통제집단에서는 287명 중 53.7%인 154명이 이메일을 열람했다.
보안정책 준수 행동이 3개월이 지난 뒤에도 지속되는지 알아보기 위해 3차 스팸 이메일을 발송한 후 두집단 간 이메일 열람률을 분석한 결과 집단 간 유의한 차이는 사라진 것으로 나타났다, χ2 (1, n = 543) =.068, p = .794.
본 실험연구에서 측정한 3가지 변수(이메일 열람, 링크 클릭, 첨부파일 열람) 중에서 보안 민감도가 가장 낮은 즉, 보안인식 수준이 가장 낮은 행위는 스팸이메일 내 첨부파일을 열어본 행동이라고 할 수 있다. 즉, 가장 적극적인 형태의 보안 정책 미준수 행동이기 때문에 발생빈도가 높지는 않았다.
실험에 참여한 참가자는 총 270명(실험집단 132명, 통제집단 138명)이었다. 본 연구에서 보안서비스는 조직구성원의 정보보안 정책 준수 행동을 향상시키기 위해 보완적으로 제공하는 기술적 지원으로 정의하고, 스팸 이메일을 읽으려 시도할 때 잠재적 위험을 알리는 메시지 팝업을 제공하는 것으로 구현되었다. 보안서비스 제공 전과 후 스팸 이메일의 열람, 링크 클릭, 첨부파일 열람 빈도는 <표 4>에 제시되어 있다.
연구 1과 마찬가지로 무작위로 실험집단과 통제집단을 나누고 보안서비스를 제공하기 전에 두 집단의 스팸이메일 열람 현황을 사전 조사하였다. 약 2개월 후 실험집단에는 해당 기업에서 실제 사용하는 이메일 시스템 내 그룹웨어를 통해 과거 수신 내역이 없는 발신자를 식별하여 해당 이메일 열람을 시도하는 경우 팝업창 형태로 경고 메시지를 보여줌으로써 수신자의 주의를 환기시키는 보안서비스를 제공하였다. 통제집단에는 이런 보안서비스를 제공하지 않았다.
008. <그림 8>에서 볼 수 있듯이 보안 경고 알림창 노출집단에서는 전체 132명의 스팸 이메일 수신자 중 겨우 1.5%에 해당하는 2명만이 첨부파일을 클릭했으나, 비노출집단에서는 전체 138명의 수신자 중 8.7%인 12명이 첨부파일을 클릭하는 단계까지 도달한 것으로 나타났다. 경고 알림창에 노출되었음에도 스팸 이메일을 열어본 수신자 18명 중 11.
에서 볼 수 있듯이, 교육이수 집단의 첨부파일 열람률은 교육 전 3.1%(8명) → 교육 직후 1.2%(3명) → 교육 3개월 후 6.3%(16명)로 변화하였고, 미이수집단은 교육 전 3.8%(11명) → 교육 후 3.1%(9명) → 교육 3개월 후 4.9%(14명)로 변화해 마지막에 발송된 스팸 이메일의 첨부파일 열람이 교육 이전보다 오히려 더 높게 나왔다.
연구 결과 스팸 이메일에 관한 정보보안 교육은 스팸 이메일 열람률을 낮추는데 효과가 있는 것으로 나타났다. 그러나 이 효과가 3개월 이상 지속되지는 않았다.
연구1의 결과 중 이벤트 당첨에 관한 1차 스팸 이메일이나 상품권 할인에 관한 2차 스팸 이메일보다 개인정보 변경과 관련된 3차 스팸 이메일에서 첨부파일 열람률이 가장 높았던 점, 그리고 교육 미이수집단보다 이수집단에서 오히려 더 열람률이 높았던 점에 주목할 만하다. 보안교육을 받은 집단이 개인정보와 관련된 이메일에 더 민감하게 반응한 것으로 해석될 수 있기 때문이다.
10 수준보다 약간 높은 값을 보여주어 통계적으로 유의하지는 않아도 경향성은 드러났다. 예상한대로 교육 이수집단은 3.9%(10명)가 링크를 클릭했고 교육 미이수 집단은 7.0%(20명)가 링크를 클릭해서 보안교육을 받은 집단이 상대적으로 보안정책을 더 잘 준수한 것으로 나왔다. 스팸 이메일을 열어본 사람 247명(이수집단: 97명, 미이수집단: 150명) 기준으로 링크를 클릭한 사람은 이수집단에서 10.
4%밖에 되지 않는 것으로 나타났다. 직종별 인력 현황을 보아도 일본의 경우 전체 정보보안 산업 인력의 7.5%가 정보보안 교육에 관여하고 있으나, 한국은 0.2% 정도만 교육에 종사하고 있는 것으로 조사되었다. 즉, 현재로서는 한국 기업에서 직원을 대상으로 한 보안 교육 및 훈련에 집중하고 있다고 보기 어려운 상황이다.
후속연구
향후 동일한 실험을 다른 여러 조직에서 수행한다면 본 연구결과의 타당도와 일반화가능성을 더욱 높일 수 있을 것이다. 그리고 스팸 이메일 이외의 정보보안과 관련된 주제(예: 기밀문서 취급에 관한 정보보호 정책과 준수)를 대상으로 후속 실험 연구를 진행할 수도 있다. 앞으로 더 다양한 후속연구들을 통해 조직구성원의 보안정책 준수 행동에 결정적인 영향 요인들을 밝히고 보안정책 준수율을 향상시키기 위한 보다 구체적인 방안이 수립되기를 기대한다.
또한 Straub &Welke(1998)는 조직에서 보안교육을 실시하면 이는 조직구성원에게 조직이 보안위반 행위에 대해 얼마나 심각하게 여기는지 암묵적으로 메시지를 전달하는 것과 같다고 말했다. 따라서 보안교육과 함께 정보보안 위반 가능성에 대한 사전 경고 및 알림 서비스를 제공한다면 정보보안 정책에 관해 교육을 이수한 후 교육 효과를 오래 지속시키고 보안위반 행동에 대한 심각성을 지속적으로 일깨울 수 있을 것이다.
연구 1에서 보안교육이 단기적으로는 효과가 있으나 장기적으로는 시간이 지날수록 효과가 사라지는 것을 확인하였기 때문에 조직 현장에서는 보안교육 기간과 연간 시행 횟수 등을 결정할 때 이 부분을 고려해서 프로그램을 설계할 필요가 있어 보인다. 또한 연구2에서 보안서비스 제공의 효과가 아주 큰 것으로 드러나 기술적으로 교육을 보완하는 여러 형태의 서비스가 지원된다면 보안교육과 시너지 효과를 낼 수 있을 것으로 기대된다. 본 실험에서는 보안교육의 효과와 보안서비스 효과를 독립적으로 알아보았으나 추후 보안교육과 보안서비스의 상호작용 효과를 검증하는 실험연구를 통해 보안서비스가 교육 효과의 향상과 지속성에 어떤 영향을 미치는지 살펴볼 필요가 있다.
또한 연구2에서 보안서비스 제공의 효과가 아주 큰 것으로 드러나 기술적으로 교육을 보완하는 여러 형태의 서비스가 지원된다면 보안교육과 시너지 효과를 낼 수 있을 것으로 기대된다. 본 실험에서는 보안교육의 효과와 보안서비스 효과를 독립적으로 알아보았으나 추후 보안교육과 보안서비스의 상호작용 효과를 검증하는 실험연구를 통해 보안서비스가 교육 효과의 향상과 지속성에 어떤 영향을 미치는지 살펴볼 필요가 있다.
본 연구는 효과적인 정보보안 대책을 고민하는 조직들에 기초적인 도움을 제공하고 조직구성원을 위한 보안교육 및 보안서비스 프로그램 구성에 단초를 제공할 수 있을 것으로 기대된다. 향후 동일한 실험을 다른 여러 조직에서 수행한다면 본 연구결과의 타당도와 일반화가능성을 더욱 높일 수 있을 것이다.
그리고 스팸 이메일 이외의 정보보안과 관련된 주제(예: 기밀문서 취급에 관한 정보보호 정책과 준수)를 대상으로 후속 실험 연구를 진행할 수도 있다. 앞으로 더 다양한 후속연구들을 통해 조직구성원의 보안정책 준수 행동에 결정적인 영향 요인들을 밝히고 보안정책 준수율을 향상시키기 위한 보다 구체적인 방안이 수립되기를 기대한다.
본 연구는 효과적인 정보보안 대책을 고민하는 조직들에 기초적인 도움을 제공하고 조직구성원을 위한 보안교육 및 보안서비스 프로그램 구성에 단초를 제공할 수 있을 것으로 기대된다. 향후 동일한 실험을 다른 여러 조직에서 수행한다면 본 연구결과의 타당도와 일반화가능성을 더욱 높일 수 있을 것이다. 그리고 스팸 이메일 이외의 정보보안과 관련된 주제(예: 기밀문서 취급에 관한 정보보호 정책과 준수)를 대상으로 후속 실험 연구를 진행할 수도 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
조직의 정보보안 유형에 따른 보안사고 대처법은 무엇인가?
조직의 정보보안 유형은 여러 학자들에 의해 다양한 분류가 시도되어 왔으며(Da Veiga & Eloff, 2007) 일반적으로는 기술적, 물리적, 관리적 유형으로 나눌 수 있다(김상훈·이갑수, 2015). 물리적 혹은 기술적 보안영역에서는 출입관리, 방화벽 설치, 백신프로그램 사용, 저장매체 차단, 특정 웹사이트 및 메신저의 차단 등 주로 시스템 통제를 통하여 조직구성원의 의도적인 행동을 제어하거나 기술적 방어체계를 구축한다. 반면 관리적 보안영역에서는 이러한 물리적, 기술적 통제로는 한계가 있는, 개인에 의해 발생하는 보안 사고를 방지하기 위해 보안정책을 수립하거나 보안교육을 실시하는 등의 노력을 통해 조직의 인적자원을 관리한다. 정보보안을 위한 기업의 노력은 이미 1960년대부터 시작되었으며 주로 물리적 설비 투자나 보안기술 개발에 집중되었고, 1990년대 들어서야 인적 보안에 대한 관심이 생기기 시작했다(Trcˇek,et al.
정보보안 정책이란 무엇인가?
정보보안 정책이란 조직의 정보와 기술 자원을 보호하기 위한 조직원의 역할과 책임에 대한 요구사항들을 명시해 놓은 것이다(Bulgurcu, et al., 2010).
조직의 정보보안 유형은 어떻게 구분되는가?
조직의 정보보안 유형은 여러 학자들에 의해 다양한 분류가 시도되어 왔으며(Da Veiga & Eloff, 2007) 일반적으로는 기술적, 물리적, 관리적 유형으로 나눌 수 있다(김상훈·이갑수, 2015). 물리적 혹은 기술적 보안영역에서는 출입관리, 방화벽 설치, 백신프로그램 사용, 저장매체 차단, 특정 웹사이트 및 메신저의 차단 등 주로 시스템 통제를 통하여 조직구성원의 의도적인 행동을 제어하거나 기술적 방어체계를 구축한다.
임명성 (2014). “정보보안 인식 교육의 효과에 대한 연구.”디지털융복합연구, 12(2): 27-37.
채명정.이진희.송인자.김진일 (2015). “심폐소생술 교육후 재교육이 간호대학생의 지식, 수행능력 및 자기효능감 지속에 미치는 효과.” 한국응급구조학회논문지, 19(1): 51-62.
최양서.서동일 (2006). “사회공학적 공격방법을 통한 개인정보 유출기술 및 대응방안 분석.” 정보보호학회지, 16(1): 40-48.
한국인터넷진흥원 (2015). 2015 국내 정보보호산업 실태조사. 미래창조과학부, 한국인터넷진흥원, 한국정보보호산업협회.
AhnLab (2011). ASEC Report Vol. 13. 경기: 안철수연구소.
Bulgurcu, B., Cavusoglu, H. & Benbasat, I. (2010).“Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and Information Security Awareness.” MIS Quarterly, 34(3): 523-548.
Dhillon, G. & Backhouse, J. (2000). “Technical Opinion: Information System Security Management in the New Millennium.” Communications of the ACM, 43(7): 125-128.
Fornell, C. & Larcker, D. F. (1981). "Evaluating Structural Equation Models with Unobservable and Measurement Error." Journal of Marketing Research, 18: 39-50.
Trcek, D., Trobec, R., Pavesic', N. & Tasic, J. F.(2007). “Information Systems Security and Human Behaviour.” Behaviour & Information Technology, 26(2): 113?118.
Warkentin, M. & Willison, R. (2009). “Behavioral and Policy Issues in Information Systems Security: The Insider Threat.” European Journal of Information Systems, 18(2): 101-105.
Workman, M. & Gathegi, J. (2007). “Punishment and Ethics Deterrents: A Study of Insider Security Contravention.” Journal of the Association for Information Science and Technology, 58(2): 212-222.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.