검색 상세

침해행동과 조직구성요소와의 상관성 연구 : K발전회사의 피싱 침해사례 중심으로

초록/요약

요 약 초고속 인터넷을 이용한 정보화의 발전은 그 속도를 더해가고 있으며, SNS, 전자메일 등의 서비스는 현대 사회에서 필수 불가결한 삶의 일부로 자리잡게 되었다. 최근 해킹 기법들은 기존보다 정교한 기술을 바탕으로 악성화되어 그 피해 규모가 증가하고 있으며, 자료유출, 자원파괴, 원격조정 등 그 수법이 고도화, 지능화되어 위력이 더욱 커지고 있다. 특히 자료유출을 목적으로 제작한 피싱 메일에 첨부된 악성코드의 피해가 급증하고 있다. 이러한 공격은 고도의 해킹 기술을 이용하여 사용자가 인지하지 못한 상황에서 시도되는 경우도 있었으나, 최근에는 정보보호에 대한 인식이 부족한 일반 직원들을 대상으로 중요 정보를 직접 제공하게 만드는 피싱(phishing) 등 사회공학적 공격 기법을 이용하는 경우가 증가하고 있다. 일반인을 대상으로 한 피싱 공격은 개인 정보를 절취하는데 목적이 있지만 국가 주요기반시설을 목표로 한 공격은 심각한 경우 국가 안전보장 및 국가이익에 치명적인 위험을 초래할 수 있다. 한편, 발전소의 제어시스템은 국가의 기간 산업을 운영하는데 필수적인 중요한 시스템이다. 만일 제어시스템에 사이버 공격으로 인한 피해가 발생할 경우 국가적인 재앙을 초래할 수 있다. 최근 조직적이며 지속적인 APT 공격과 스턱스넷(stuxnet), 듀큐(duqu) 등 주요 기반시설을 목표로 하는 사이버공격이 갈수록 증가하는 추세이다. 발전회사를 비롯한 공공기관에서는 이러한 위협에 대비하여 최신 정보보호시스템 구축, 망분리, 보안프로그램 운영 등 각종 정보보안 대책을 수립·운영하고 있으나 정보보호에 대한 인식이 부족한 내부 직원들에 의한 악성코드 감염에는 취약한 실정이다. 또한, 피싱메일 열람 등에 의한 사이버 침해사고 방지를 위한 교육 및 훈련 성과에 대한 계량화한 자료가 없어 교육 및 훈련 방안을 결정하기 어렵고, 그 효과를 평가하기도 어려운 실정이다. 본 논문에서는 국가 주요기반시설 보유 회사인 K발전회사에 대한 피싱메일 대비 훈련 결과를 기반으로 실증적인 자료 분석을 통해 직원들의 보안 침해행동에 영향을 미치는 조직구성요소와의 상관성을 분석함으로써, 보안 취약개소를 개선하고 직원들의 보안의식을 개선하는 방안을 찾는 길잡이가 되는데 그 의의가 있다. 그리하여 국가 주요기반시설을 안정적으로 운영하고 회사 경영 연속성을 확보하여 국민의 기본 생활 및 경제 안정에 기여하는데 도움이 될 것으로 생각한다. 연구의 결과는 다음과 같다. 첫째, 최근 급격히 증가하고 있는 피싱 침해율과 조직구성요소와의 관계를 분석하여 보안 교육이나 훈련이 침해행동을 감소시키는 긍정적인 영향을 나타낸다는 점을 확인하였다. 둘째, 조직구성요소가 보안침해행동에 미치는 영향은 K발전회사의 피싱침해 사례를 중심으로 부서, 직군, 직급 등 여러 가지 변수를 설정하여 분석한 결과 상관성이 매우 미약한 것으로 나타났다. 즉, 피싱침해율은 조직, 직급, 직군, 사업소의 위치, 인원 등의 조직구성요소에 대하여 유의한 상관관계를 보이지 않으며. 기존의 조직구성요소가 보안행동에 상관성이 있다는 선행 연구는 보편적 적용이 어려움을 증명하였다. 본 연구에서는 개개인의 특징이나 조직의 성격별로 교육 및 훈련의 방식이 달라져야 한다는 많은 선행연구와 달리 보안 침해행동에 조직구성요소가 영향을 나타내지 않을 수 있다는 관점에서 연구를 시도했다는 점에서 의의가 있다. 다만 발전회사 한 곳의 결과만으로 연구 범위를 제한하였다는 한계와 본 연구에서 도출해내지 못한 새로운 변수가 있을 것이다. 그러므로 새로운 변수를 찾아 상관관계를 도출하려는 향후 연구가 필요하며, 기존의 연구는 예외적인 환경을 고려하여 전반적으로 재검토할 필요가 있다.

more

목차

목 차

제 1 장 서 론 1
제1절 연구배경 및 목적 1
제2절 연구범위 및 방법 3
제3절 논문 구성 4

제 2 장 이론적 논의 및 선행연구 검토 6
제1절 침해사고 동향 및 유형 6
제2절 피싱 공격기법에 대한 정의 및 선행연구 13
제3절 보안 의식과 행동에 영향을 미치는 요인 분석 23
제4절 정보보안 교육 및 훈련에 대한 선행연구 26
제5절 선행연구와의 차별성 연구 32

제 3 장 연구모형 및 가설 34
제1절 연구모형 34
제2절 연구가설 34
제3절 연구 변수의 정의 35

제 4 장 분석결과 37
제1절 차수별 빈도분석 37
제2절 조직구성요소별 상관 분석 38


제 5 장 결론 및 향후 발전방향 45
제1절 요약 및 시사점 45
제2절 연구의 한계 및 향후 발전방향 48

참고문헌 50
부 록 53

more