최근 피싱(Phishing)과 같은 새로운 유형의 악성코드를 이용한 사회공학 공격이 빈번해짐에 따라 정보보안 사고가 점차 고도화되고 있다. 조직에서는 정보보안 사고를 예방하기 위하여 다양한 노력을 하고 있지만 대부분 기술적 보안솔루션에 의존하는 경향이 있다. 그럼에도 불구하고 모든 보안사고를 완벽하게 예방할 수 없다. 최근에는 보안기술 기반 정보보안 접근방법의 한계를 극복하기 위하여 새로운 접근방법인 인간 중심 보안에 대한 관심이 높아지고 있다. 이러한 노력의 일환으로 일부 연구자들은 인간의 실제적 행동을 이해하고 그 행동에 따른 결과를 규명하는 행동경제학을 정보보안 분야에 접목시키고 있다. 본 연구는 행동경제학의 개념과 방법을 정보보안에 적용한 최근의 연구 흐름을 파악하는 동향 분석 연구로서, 141개의 관련 논문을 대상으로 연구 추세, 연구 주제, 연구방법론 등을 분석하였다. 분석 결과, 행동경제학의 개념과 아이디어를 '운영 보안' 분야에 적용한 실증연구가 대다수이며, 향후 폭넓은 연구 주제 선정과 문헌연구를 통해 실제로 사람의 행동을 바꾸는 문제에 행동 경제학을 적용하여 프레임워크 정립, 영향 요인을 식별하는 연구가 수행되어야 한다.
최근 피싱(Phishing)과 같은 새로운 유형의 악성코드를 이용한 사회공학 공격이 빈번해짐에 따라 정보보안 사고가 점차 고도화되고 있다. 조직에서는 정보보안 사고를 예방하기 위하여 다양한 노력을 하고 있지만 대부분 기술적 보안솔루션에 의존하는 경향이 있다. 그럼에도 불구하고 모든 보안사고를 완벽하게 예방할 수 없다. 최근에는 보안기술 기반 정보보안 접근방법의 한계를 극복하기 위하여 새로운 접근방법인 인간 중심 보안에 대한 관심이 높아지고 있다. 이러한 노력의 일환으로 일부 연구자들은 인간의 실제적 행동을 이해하고 그 행동에 따른 결과를 규명하는 행동경제학을 정보보안 분야에 접목시키고 있다. 본 연구는 행동경제학의 개념과 방법을 정보보안에 적용한 최근의 연구 흐름을 파악하는 동향 분석 연구로서, 141개의 관련 논문을 대상으로 연구 추세, 연구 주제, 연구방법론 등을 분석하였다. 분석 결과, 행동경제학의 개념과 아이디어를 '운영 보안' 분야에 적용한 실증연구가 대다수이며, 향후 폭넓은 연구 주제 선정과 문헌연구를 통해 실제로 사람의 행동을 바꾸는 문제에 행동 경제학을 적용하여 프레임워크 정립, 영향 요인을 식별하는 연구가 수행되어야 한다.
Recently, information security accidents are becoming more advanced as social engineering attacks using new types of malicious codes such as phishing. Organizations have made various efforts to prevent information security incidents, but tend to rely on technical solutions. Nevertheless, not all sec...
Recently, information security accidents are becoming more advanced as social engineering attacks using new types of malicious codes such as phishing. Organizations have made various efforts to prevent information security incidents, but tend to rely on technical solutions. Nevertheless, not all security incidents can be prevented completely. In order to overcome the limitations of the information security approach that depends on these technologies, many researchers are increasingly interested in People-Centric Security. On the other hand, some researchers have applied behavioral economics to the information security field to understand human behavior and identify the consequences of the behavior. This study is a trend analysis study to grasp the recent research trend applying the concept and idea of behavioral economics to information security. We analyzed the research trends, research themes, research methodology, etc. As a result, the most part of previous research is focused on 'operational security' topics, and in the future, it is required to expand research themes and combine behavioral economics with security behavioral issues to identify frameworks and influencing factors.
Recently, information security accidents are becoming more advanced as social engineering attacks using new types of malicious codes such as phishing. Organizations have made various efforts to prevent information security incidents, but tend to rely on technical solutions. Nevertheless, not all security incidents can be prevented completely. In order to overcome the limitations of the information security approach that depends on these technologies, many researchers are increasingly interested in People-Centric Security. On the other hand, some researchers have applied behavioral economics to the information security field to understand human behavior and identify the consequences of the behavior. This study is a trend analysis study to grasp the recent research trend applying the concept and idea of behavioral economics to information security. We analyzed the research trends, research themes, research methodology, etc. As a result, the most part of previous research is focused on 'operational security' topics, and in the future, it is required to expand research themes and combine behavioral economics with security behavioral issues to identify frameworks and influencing factors.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 J. Webter의 연구 방법에 따라 포괄적인 조사를 진행하기 위하여 특정 저널에 한정하지 않고 학술 검색 엔진을 활용하여 2009년부터 2018년까지의 행동경제학의 아이디어를 보안에 적용한 연구를 검색하였다[14]. 검색엔진은 ‘Google Scholar’, ‘IEEE’, ‘Emerald Insight’, ‘RISS’를 이용하여 자료를 수집하였다[16].
본 연구는 행동경제학의 개념과 아이디어를 정보보안에 적용한 연구 동향을 파악하기 위하여 기존에 수행했던 연구를 분석하였다. 또한 향후 발전 방향을 제시하고 국내외 141개의 논문을 대상으로 연구의 추세, 주제, 방법론을 중심으로 정량적 분석을 실시하였다.
최근 인간 중심의 보안에 대한 관심이 높아짐에 따라 사람의 심리적 특징과 행동을 연구하는 행동경제학을 정보보안에 적용하는 시도가 일부 연구자에 의해 진행되고 있다. 본 연구는 행동경제학의 개념과 아이디어를 정보보안에 적용한 최근의 연구 흐름을 파악하는 동향 분석 연구로서, 141개의 논문을 대상으로 연구 추세, 연구 주제, 연구 방법론을 살펴보고 이에 대한 시사점과 향후 연구 방향을 제시하고자 한다.
제안 방법
끝으로 과 (그림4)에서 보여준 듯이 향후 유망한 연구의 주제와 방법론을 찾기 위해, 주제와 연구 방법론을 교차분석 하였다.
따라서 본 연구의 연구 주제는 ISO 27002의 14개 통제항목 (정보보호 정책, 정보보호 조직, 인적자원보안, 자산관리, 접근통제, 암호화, 물리적 및 환경적 보안, 운영 보안, 통신 보안, 시스템 도입·개발·유지 보수, 정보보호 사고 관리, 업무 연속성 관리의 정보보호 측면, 준거성)을 참고하여 분류하였다[8].
선정된 검색엔진에 ‘behavioral economics, information security’, ‘heuristics, information security’, ‘bias, information security’, ‘nudge, information security’, ‘행동경제학, 정보보안’, ‘휴리스틱, 정보보안’, ‘편향, 정보보안’, ‘넛지, 정보보안’을 입력하여 행동경제학의 아이디어를 정보보안에 적용한 관련 연구 총 189개를 수집하였으며, 이 중에서 행동경제학을 단순 언급, 정보보안을 연구의 변수로 사용하는 논문을 제외 한 141개를 연구대상으로 선정하였다. 또한 선정된 논문은 전문을 검토하여 연구 주제와 연구 방법론으로 분류하고 교차 확인하였으며 이때 분류기준의 객관성 확보를 위하여 유사분야의 분류기준을 참고하였다[15].
본 연구는 행동경제학의 개념과 아이디어를 정보보안에 적용한 연구 동향을 파악하기 위하여 기존에 수행했던 연구를 분석하였다. 또한 향후 발전 방향을 제시하고 국내외 141개의 논문을 대상으로 연구의 추세, 주제, 방법론을 중심으로 정량적 분석을 실시하였다. 전반적인 추세를 볼 때, 행동경제학의 아이디어를 정보보안에 적용하는 연구들은 꾸준히 진행되고 있었고, 상세분석을 통해 도출된 시사점은 다음과 같다.
향후에는 운영 보안 이외의 다른 분야에 대한 연구도 많이 이루어질 필요가 있을 것으로 보인다. 마지막으로, 본 연구에서는 일부 국제표준 ISO 27002의 주제를 참고하고 연구주제 분류기준을 설정하였다. 아직 다루지 못한 주제(‘물리적 및 환경적 보안’, ‘자산보안’, ‘공급자 관계’, ‘보안사고 관리’, ‘업무 연속성 관리의 정보보호 측면’)에 행동경제학의 개념과 아이디어의 적용 타당성 및 기여점을 찾아볼 필요가 있을 것으로 판단된다.
검색 방법은 일반적으로 논문 제목, 키워드, 요약 등에 특정 용어를 입력하는 형태로 수행되며, 이때 전 기간을 대상으로 하거나 희망하는 특정 기간으로 한정 지을 수 있다. 수집된 논문은 연구자가 검토하여 참고문헌의 기준을 인용하여 연구 방법론, 주제 등을 분석한다.
연구방법론에 대한 분류기준은 Gronlund의 기준을 참고하여 분류하였으며, 본 연구에서는 (그림 3)과 같이 크게 두 종류의 연구로 분류하였다[13].
행동경제학의 개념과 아이디어를 적용하기 어려운 항목 제외하고 총 9개의 주제 ‘정보보호 정책’, ‘정보보호 조직’, ‘인적자원 보안’, ‘통신 보안’, ‘도입·개발·유지보수’, ‘개인정보 보호’로 최종 분류하였다.
대상 데이터
검색엔진은 ‘Google Scholar’, ‘IEEE’, ‘Emerald Insight’, ‘RISS’를 이용하여 자료를 수집하였다[16].
선정된 검색엔진에 ‘behavioral economics, information security’, ‘heuristics, information security’, ‘bias, information security’, ‘nudge, information security’, ‘행동경제학, 정보보안’, ‘휴리스틱, 정보보안’, ‘편향, 정보보안’, ‘넛지, 정보보안’을 입력하여 행동경제학의 아이디어를 정보보안에 적용한 관련 연구 총 189개를 수집하였으며, 이 중에서 행동경제학을 단순 언급, 정보보안을 연구의 변수로 사용하는 논문을 제외 한 141개를 연구대상으로 선정하였다.
이론/모형
ISO 27002를 참고한 이유는 행동경제학의 아이디어를 적용한 정보보안의 특정 분야가 아닌 정보보안의 전반에 대한 연구 동향 분석이 목표이기 때문이다. 또한 연구방법론은 Gronlund의 기준을 참고하였다. Gronlund는 연구의 유형을 ‘기술적(Descriptive)’, ‘철학적(Philosophical)’, ‘이론적(Theoretical)’, ‘이론 생성(Theory generating)’, ‘이론 테스트(Theory testing)’으로 분류된 바가 있으며, 세부 설명은 <표 1>과 같다[13].
성능/효과
둘째, 행동경제학의 아이디어를 정보보안에 적용한 연구에 사용된 연구 방법론에 대해서는 정량적인 수치를 통해 테스트 및 입증까지 하는 실증연구가 상대적으로 많이 수행되었는데, 문헌연구를 통해 인간의 태도와 행동 문제를 행동경제학을 접목하여 프레임워크 정립, 정보보안에 영향 주는 요인을 식별하는 연구가 수행되어야 한다. 셋째, 현재까지 수행된 연구의 주제 중 운영 보안이 상대적으로 많이 수행되었다. 휴리스틱 기법을 통한 악성코드 탐지 프로그램 개발 및 실효성 검증, 발견적 평가방법을 통해 컴퓨터 프로그램이나 웹사이트 등 복잡한 시스템을 위한 사용자 인터페이스 디자인 개발에 사용성 문제를 탐지를 목적으로 시스템을 개발 및 평가하는 연구가 상당수인 것으로 파악이 되었다.
인적자원 보안, 통신 보안, 암호화 분야는 실증연구와 문헌연구 두 가지 방법의 사용 비중이 같았으며 시스템 도입·개발·유지보수 분야는 실증연구보다 문헌연구를 더 많이 수행한 것으로 나타났다.
전반적인 추세를 볼 때, 행동경제학의 아이디어를 정보보안에 적용하는 연구들은 꾸준히 진행되고 있었고, 상세분석을 통해 도출된 시사점은 다음과 같다. 첫째, 정보보안의 가장 취약한 링크는 인간이고, 사람의 심리를 이해하고 행동을 유도하는 행동경제학의 이론은 조직원의 자발적인 정보보안 정책 준수 실현이 가능하다고 본다. 하지만 행동경제학의 이론을 정보보안에 적용한 연구는 전반적으로 부족한 편이고, 특히 국내에 더 많은 연구가 필요할 것으로 보인다.
후속연구
본 연구에서 사용한 키워드로 검색한 결과, 해외의 129건에 비해 국내의 연구는 12건에 불과하였다. 둘째, 행동경제학의 아이디어를 정보보안에 적용한 연구에 사용된 연구 방법론에 대해서는 정량적인 수치를 통해 테스트 및 입증까지 하는 실증연구가 상대적으로 많이 수행되었는데, 문헌연구를 통해 인간의 태도와 행동 문제를 행동경제학을 접목하여 프레임워크 정립, 정보보안에 영향 주는 요인을 식별하는 연구가 수행되어야 한다. 셋째, 현재까지 수행된 연구의 주제 중 운영 보안이 상대적으로 많이 수행되었다.
이는 행동경제학의 개념과 아이디어의 정보보안 적용에 관심 있는 연구자들이 관련 연구 동향을 파악하고, 연구 방향을 설정하는데 도움이 될 것이다. 또한 행동경제학은 사람의 심리적 특징과 행동을 연구하는 학문이므로 이를 인간 중심의 정보보호 전략 수립에 활용할 수 있을 것으로 기대된다.
본 연구에서는 검색의 범위에 있어 특정 용어만을 검색한 것으로 다른 용어로 이루어진 연구를 분석하지 못했다는 점, 연구자의 주관적인 판단으로 분류하였다는 점에서 한계가 존재한다. 하지만, 본 연구는 국내뿐만 아니라 해외 연구를 대상으로 종합적인 관점에서 정량적인 분석을 통해 행동경제학을 정보보안 분야에 활용한 논문의 주제를 식별하고 연구 동향을 파악하였다는 의의를 가진다.
아직 다루지 못한 주제(‘물리적 및 환경적 보안’, ‘자산보안’, ‘공급자 관계’, ‘보안사고 관리’, ‘업무 연속성 관리의 정보보호 측면’)에 행동경제학의 개념과 아이디어의 적용 타당성 및 기여점을 찾아볼 필요가 있을 것으로 판단된다.
또한 신경민 외 3명은 휴리스틱 기법을 이용하여 보안 애플리케이션을 설계하였다[18]. 향후에는 운영 보안 이외의 다른 분야에 대한 연구도 많이 이루어질 필요가 있을 것으로 보인다. 마지막으로, 본 연구에서는 일부 국제표준 ISO 27002의 주제를 참고하고 연구주제 분류기준을 설정하였다.
질의응답
핵심어
질문
논문에서 추출한 답변
연구 동향 분석은 무엇인가?
연구 동향 분석은 일종의 메타분석으로, 기존에 수행된 다양한 개별 연구들을 분석 및 종합하여 연구자에게 통합된 관점의 연구 동향을 제동하기 위한 연구 방법이다[11]. 분석방법은 크게 기본 분석과 상세 분석으로 구분할 수 있으며, 기본 분석에는 분야별 논문 건수, 논문 게재 추세 등이 해당되며, 논문 주제, 연구방법론, 교차분석 등 이상세 분석에 해당된다.
연구 동향 분석의 방법은?
연구 동향 분석은 일종의 메타분석으로, 기존에 수행된 다양한 개별 연구들을 분석 및 종합하여 연구자에게 통합된 관점의 연구 동향을 제동하기 위한 연구 방법이다[11]. 분석방법은 크게 기본 분석과 상세 분석으로 구분할 수 있으며, 기본 분석에는 분야별 논문 건수, 논문 게재 추세 등이 해당되며, 논문 주제, 연구방법론, 교차분석 등 이상세 분석에 해당된다. 연구동향 분석을 위한 자료의 수집은 특정 저널이나 학술대회에 게재된 논문을 대상으로 하거나 연구검색을 위한 학술 데이터베이스를 활용하여 수집할 수 있다[12].
보안인식 프로그램이 실패하는 가장 큰 원인은 무엇인가?
하지만 그 효과는 이상적이지 않은 경우가 많다. 그 중에는 보안담당자의 전문성 부족 등의 이유로 보안인식 프로그램이 실패할 수 있지만 조직원의 이해 부족과 저조한 참여도가 가장 큰 원인으로 작용한다. Osterman Research에서 실시한 ‘조직원의 보안인식 훈련 프로그램에 대한 태도 조사’에 따르면, 조직에서 전개한 보안활동에 ‘적극적으로 반대’하는 직원은 없지만 전체의 38%는 ‘중립적’이거나 그들이 받은 훈련에 대해 ‘다소 반대’하는 입장을 보였다[4].
※ AI-Helper는 부적절한 답변을 할 수 있습니다.