$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] 스팸메일 모의훈련 현장실험을 통한 기업의 인적 취약요인 연구
A Study on Human Vulnerability Factors of Companies : Through Spam Mail Simulation Training Experiments 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.4, 2019년, pp.847 - 857  

이준희 (고려대학교 정보보호대학원) ,  권헌영 (고려대학교 정보보호대학원)

초록
AI-Helper 아이콘AI-Helper

최근 랜섬웨어, 스피어 피싱, APT공격 등 전자메일을 통한 다양한 수법의 사이버 위협이 커지고 있다. 이러한 공격의 특징은 과거 패턴기반탐지 등의 기술적 대책을 우회하기 때문에 개인의 보안인식 개선을 통한 관리적 대응이 중요하다는 점이다. 본 연구는 현장실험을 통해 이러한 스팸메일 공격에 취약한 임직원들의 인적요인을 연구하고 향후 개선방안을 수립하고자 하였다. 한 기업의 임직원을 대상으로 7차례에 걸쳐 훈련용 스팸메일을 발송하고 열람정보를 분석한 결과 훈련의 횟수와 수신자의 성별, 나이, 근무지 등의 인적요인이 열람율과 관계가 있음을 확인하였다. 이러한 분석 결과를 바탕으로 훈련개선 방안을 도출하여, 향후 각 기관의 실효성 있는 모의훈련 수행과 인식개선을 통한 대응능력 향상에 도움이 되고자 한다.

Abstract AI-Helper 아이콘AI-Helper

Recently, various cyber threats such as Ransomware and APT attack are increasing by e-mail. The characteristic of such an attack is that it is important to take administrative measures by improving personal perception of security because it bypasses technological measures such as past pattern-based ...

주제어

#experiment   #phishing   #training   #spam mail   #security awareness  

표/그림 (12)

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 결국 본 실험에서는 앞선 선행연구를 정리한 결과, 반복적 훈련의 효과 더불어 사용자의 근무환경, 성별, 나이 등의 인적 요인에 대한 연구를 수행하고자 한다.
  • 앞선 선행 연구결과에서 손유승[12]과 윤덕상[13]은 공통적으로 교육을 중요성을 설명함과 동시에 단발성 모의훈련이 아닌 장기간의 지속적인 훈련이 효과적으로 인식을 개선할 수 있다하였다. 따라서 본 실험에서도 훈련의 반복에 따른 열람 율의 변화 추이를 살펴보기로 하였다.
  • 스팸(spam)이란 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 “정보통신망을 통하여 전송되는 영리목적의 광고성 정보”를 의미한다. 본 논문에서는 발신자의 금전적 이득 또는 수신자의 피해를 입힐 목적으로 피싱, 스피어피싱, 스미싱 등 다양한 형태로 전송되는 불법적인 전자메일을 통칭하여 스팸메일이라고 개념을 정의 하고자 한다[3].
  • 본 연구는 모의훈련을 통해 수집한 데이터를 사용하여 임직원들의 스팸메일 열람 율을 분석하고 그 결과와 시사점을 제시한 연구로써 몇 가지 한계점이 있었다. 가장 먼저 훈련을 수행하고 결과를 수집하는 과정에서 개인정보 보호법 준수와 정보통신기반보호법, 기업비밀 등으로 수집 가능한 자료에 대한 한계가 있었으며, 이는 모든 인적 요인과 메일 송수신 내역 분석을 통해 세그먼트 별 공격에 취약한 주제를 분석하고자 했던 초기 목적을 이루기 어려웠다.
  • 본 연구는 앞선 선행연구 결과 분석을 통해 앞선 사례들이 국내 현실에도 부합한지 재확인 할뿐만 아니라 교육기관으로 한정된 연구 환경 한계성을 극복하고자, 국내 한 공공기관의 협조를 통해 기업 실무자들을 대상으로 훈련을 수행하고 데이터를 수집하여 연구를 진행하였다.
  • 메릴랜드 대학에서는 1,350명의 학생을 대상으로 피싱 공격을 수행하고 스팸메일 열람 율 및 인구 통계 조사를 실시하였다[14]. 연구는 여러 인구통계 요인과 학생의 피싱 공격에 대한 취약성 사이의 연관성을 발견했는데, 근무환경(컴퓨터 사용시간, 전공), 성별, 연령, 학년 등의 인적요인과 열람율에 관한 실험 이였다. 연구결과 IT와 관련이 있는 학부이거나 컴퓨터 사용시간이 길고, 활용에 더 친숙한 인원일수록 피싱 공격에 대한 인식이 더 높다는 것을 나타낸다.
  • 연구가설1(H1)부터 4(H4)를 검증하기 위해 각 독립변수와 종속변수간의 상관관계가 있음을 규명하기 위하여 H1을 제외한 나머지 가설은 단순 교차분석을 실시 하였으며, H1은 별도로 선형 분석을 실시하였다. 이어 가설을 모두 검증하고, 마지막으로 인과관계 분석을 위해 회귀분석을 수행한 결과도 살펴보고자 한다.
  • 또한, 스팸메일 모의훈련 프로세스 역시 실제 공격 방식과 동일한 조건과 방식의 환경을 구성함으로써 현실성 있는 현장 실험 결과를 수집하였으며, 반복적 훈련을 통해 임직원들의 보안 인식 향상을 꾀하였다. 즉 단순히 훈련 성공률을 높이는 것에 목적을 두지않고 실제로 기업에 도움이 되는 연구를 수행하며, 훈련 결과를 분석하고 취약점을 찾아내 개선방향을 제시하는데 목적을 둠으로써 실무적으로 기여하였다.
  • 횟수 별 열람 율의 감소는 위의 그래프에서 확인했으나, 선형 분석 결과를 통해 재확인 하고자 한다. 아래의 표 Table 4.

가설 설정

  • 가설1(H1): 모의 훈련의 반복 횟수에 따라서 스팸메일 열람 율에 차이가 있을 것이다.
  • 가설2(H2): 근무지에 따라 스팸메일 열람 율에 차이가 있을 것이다.
  • 가설3(H3): 나이대에 따라서 스팸메일 열람 율에 차이가 있을 것이다.
  • 가설4(H4): 성별에 따라서 스팸메일 열람 율에 차이가 있을 것이다.
  • 인터뷰 결과, 기관 특성상 지역사무소의 경우 본사에 비해 현저히 업무강도가 낮으며 이메일 사용량이 극히 적다고 들었다. 따라서 근무 환경에 따라 업무량과 이메일 사용시간이 다르기 때문에 열람 율에도 차이가 있을 것이라고 가정하였다.
  • Zarka[16]의 연구에서 여성은 남성에 비해 더 높은 빈도로 피싱 메일을 열람하고 피싱 웹사이트에 정보를 제공 했는데, 이러한 차이점은 여성이 IT기술적인 면에서 교육과 지식이 비교적 부족하기 때문이라 밝혔으며, Jagatic[18]의 인디애나 대학 현장 실험 연구결과에서도 성별에 따른 피싱 성공률에 차이를 보였다. 따라서 본 실험에서도 성별과 열람 율에 상관관계가 있을 것이라 가정하였다.
  • 앞선 Sheng[15]의 연구에 따르면, 젊은 실험 참가자가 나이든 사람에 비해 피싱 메일에 더 취약했는데, 그 이유는 젊은 나이의 실험 참가자들의 보안 인식 개선을 위한 교육기간이 비교적 짧으며 사이버 공격 위험에 대한 회피 성향이 적기 때문이라고 하였다. 또한 실제 기업 내에서도 직급이 낮고 어린 직원의 업무량이 관리자보다 훨씬 많으므로, 나이대 별 스팸메일 열람 율에 차이를 보일 것이라 가정하였다.
  • 연구가설1(H1)은 모의 훈련의 지속적이고 정기적인 반복 횟수와 임직원의 훈련 메일 열람 율과의 영향을 알아보기 위한 가설이다. 앞선 선행 연구결과에서 손유승[12]과 윤덕상[13]은 공통적으로 교육을 중요성을 설명함과 동시에 단발성 모의훈련이 아닌 장기간의 지속적인 훈련이 효과적으로 인식을 개선할 수 있다하였다.
  • 연구가설2(H2)는 본사와 사업소 간에 스팸메일 열람 율에 차이가 있을 것이라는 가설이다. 앞서 Diaz[14]는 사용자의 근무환경에 따른 보안 인식이 차이를 나타낸다고 하였으며, Vishwanath[17]는 높은 수준의 이메일로드가 있을 때 미디어 사용 습관 패턴은 관련성 높은 이메일에 대한 자동 응답을 시작하는 경향이 있기에 스팸메일에 취약하고 하였다.
  • 연구가설3(H3)은 임직원의 나이와 열람 율과의 관계에 대한 가설이다. 앞선 Sheng[15]의 연구에 따르면, 젊은 실험 참가자가 나이든 사람에 비해 피싱 메일에 더 취약했는데, 그 이유는 젊은 나이의 실험 참가자들의 보안 인식 개선을 위한 교육기간이 비교적 짧으며 사이버 공격 위험에 대한 회피 성향이 적기 때문이라고 하였다.
  • 연구가설4(H4)는 성별에 따른 열람 율과의 관계이다. 선행 연구를 살펴보면 연구 결과는 약간씩 차이가 있지만, 공통적으로 남성과 여성의 열람 율에 약간의 차이가 있음을 알 수 있다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
스팸의 정의는 무엇인가? 스팸(spam)이란  정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 “정보통신망을 통하여 전송되는 영리목적의 광고성 정보”를 의미한다. 본 논문에서는 발신자의 금전적 이득 또는 수신자의 피해를 입힐 목적으로 피싱, 스피어피싱, 스미싱 등 다양한 형태로 전송되는 불법적인 전자메일을 통칭하여 스팸메일이라고 개념을 정의 하고자 한다[3].
피싱은 어떤 공격인가? 피싱(phishing)공격은 개인 정보(private data)와 낚시(fishing)의 합성어로 개인정보를 낚는다는 의미로 사용되며, 주로 금융기관 또는 공공기관 등을 사칭하여 전화나 이메일로 피싱 사이트 링크접속을 유도하여 개인의 접속정보(id/pw) 또는 금융정보(보안카드, 공인인증서 정보) 등을 입력하도록 요구해 사용자의 중요한 정보를 몰래 빼가는 수법이다[1].
스팸메일 공격에 대응하는 방안은 무엇인가? 따라서 이론적으로 가장 좋은 케이스는 적절한 교육을 통해 임직원 모두가 이메일 공격에 대한 인식을 하고 의심스러운 메일을 열람하지 않는 것이지만, 실제 상황에서 열람했거나 악성코드에 감염된 경우에는 신속하고 정확하게 대응하는 것이 중요하다. 하지만 보안부서가 아닌 일반직원의 경우 긴급상황에서 쉽게 당황할 수 있기 때문에, 현실적인 모의훈련을 시행하여 체득할 수 있도록 해야 한다.
질의응답 정보가 도움이 되었나요?

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로