윤덕상, 이경호, 임종인,

Vol. 27, No. 2, pp. 267-280, 4월. 2017
10.13089/JKIISC.2017.27.2.267, Full Text:
Keywords: Phishing, Email, Social Engineering, APT, Advanced Persistent Threat, security awareness training
Abstract

본 연구는 한 회사에서 실제 업무 중에 있는 임직원들을 대상으로 장기간 여러 차수에 걸쳐 외부 해커들이 공격하는 동일한 경로와 방식으로 피싱(phishing)메일을 발송하고, 차수가 경과됨에 따라 메일 수신자들의 피싱 메일에 대한 식별능력과 대응행동을 측정하였으며, 훈련 간 부가적으로 외부통제 조건을 변화시켜 수신자들의 대응행동이 추가적으로 어떻게 변화되는지를 분석하였다. 분석결과 단발적 훈련보다는 지속적인 훈련이 임직원들의 피싱메일 식별능력과 감염율 감소에 정(+)의 영향을 주고 있음을 확인하였으며, 사회적 이슈나 시기적 이벤트와 연계한 피싱공격에 더 많은 임직원들이 감염이 되며, 감염자에 대한 인사조치와 같은 내부통제정책 강화가 임직원들의 피싱공격 대응행동에 정(+)의 영향을 주고 있음을 확인할 수 있었다. 이러한 결과에 따라 각 기관이 임직원들의 피싱공격 대응역량 강화를 위한 올바른 훈련방향을 제시하고자 한다.

Statistics
Cite this article