경영정보학연구 (Information Systems Review)

  • 제26권4호
  • /
  • Pages.1-22
  • /
  • 2024
  • /
  • 2982-6551(pISSN)
  • /
  • 2982-6837(eISSN)
한국경영정보학회 (The Korea Society of Management Information Systems)
권호 표지
DOI QR코드

DOI QR Code

일반인 피싱 피해 감소를 위한 피싱 모의훈련 서비스 모델

Phishing Simulation Training Service Model for Reducing Phishing Damage to the General Public

  • 이한철 (충북대학교 융합보안협동과정) ;
  • 김태성 (충북대학교 경영정보학과 )
  • 투고 : 2024.06.18
  • 심사 : 2024.08.31
  • 발행 : 2024.11.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

피싱은 뚜렷한 해결책이 없기 때문에 전 세계적으로 피싱 피해자 수와 피해 규모가 매년 증가하고 있다. 피싱 모의훈련은 피싱 피해 예방을 위한 효과적인 방법으로, 국공립기관과 일부 기업에서는 매년 의무적으로 실행하고 있으나 재직자가 아닌 일반인이 피싱 모의훈련 서비스를 받을 수 있는 시스템은 찾아볼 수 없다. 본 연구는 일반인 대상의 피싱 피해를 줄이기 위해 일반인을 위한 피싱 모의훈련 서비스를 제공하고자 새로운 모델을 제시한다. 제시된 모델에는 기존 훈련 시스템의 단점을 보완하여, 효율적이고 효과적인 훈련기법을 적용하였다. 제안된 모델의 실현성, 효율성, 효과성을 검증하기 위해 제안 모델을 일부 구현한 다음 118명을 모집하여 실험군 60명과 대조군 58명으로 나눠 모의훈련을 실시하였다. 모의훈련 결과, 제안 모델을 누구나 참여 가능한 온라인으로 구현하여 실현성을 확인하였고, 제안 모델이 제공한 맞춤형 훈련 콘텐츠를 통해 훈련 참가자들의 관심을 유도하여 효율적인 훈련으로 이어지는 것을 확인하였다. 또한, 제안 모델이 제공한 재훈련을 통해 효과적인 훈련으로 이어지는 것을 확인하였다. 향후 해당 모델을 통해 재직자가 아닌 일반인에게 효과적이고 효율적인 피싱 예방 훈련을 제공할 것으로 기대된다.

As there is no clear solution to phishing, the number of phishing victims and the amount of damage are increasing every year around the world. Phishing simulation training is an effective method to prevent phishing damage, and is mandatory every year in national and public institutions and some companies, but no system can be found where the general public, other than employees, can receive phishing simulation training services. This study proposes a new model to provide a phishing simulation training service for the general public in order to reduce phishing damage to the general public. A more efficient and effective training technique that complements the shortcomings of the existing training system was applied to the presented model. To verify the feasibility, efficiency, and effectiveness of the proposed model, we partially implemented the proposed model, recruited 118 people, divided them into an experimental group of 60 people and a control group of 58 people, and conducted simulation training. As a result of the simulation training, the feasibility of the proposed model was confirmed by implementing it online in which anyone can participate, and it was confirmed that the customized training content provided by the proposed model induced the interest of training participants, leading to efficient training. Additionally, it was confirmed that the retraining provided by the proposed model leads to effective training. In the future, it is expected that this model will provide effective and efficient phishing prevention training to the general public, not just employees.

키워드

과제정보

이 논문은 2024년도 정부(과학기술정보통신부)의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임(RS-2024-00438796, 클라우드 기반 사이버 훈련장 구축 기술 및 사이버 훈련 시나리오 기술 언어(K-SDL) 개발).

참고문헌

  1. 경찰청, 사이버 금융범죄 현황", 2022.
  2. 과학기술정보통신부, "2022년 하반기 사이버위기대응 모의훈련 결과 및 상시 모의훈련 플랫폼 확대 개편", 2022.12.15.
  3. 과학기술정보통신부, "22년 상반기 모의훈련 실시 결과 및 상시 모의훈련(해킹메일) 플랫폼 개설", 2022.06.30.
  4. 국가정보원, "국가 정보보안 기본지침(제96조)", 2023.
  5. 국가정보원, "사이버안보 업무규정(제11조)", 2020.
  6. 금융감독원, "221006(보도자료) 가족지인 등을 사칭한 메신저피싱 등 소비자경보 주의 발령", 2022.10.06.
  7. 매일경제, "그놈에게 또 당했다"…금융권, '생체 인증'으로 보이스피싱 막는다", 2023.04.12.
  8. 안전신문, "국회 정무위, 신․변종 보이스피싱 방지법 의결", 2023.02.21.
  9. 연합뉴스, "'39만 시민안전 강화' 세종경찰청 조직 확대․개편 단행", 2023.02.18.
  10. 연합뉴스, "보이스피싱 범죄 정부합동수사단 내일 공식 출범", 2022.07.28.
  11. 윤덕상, 이경호, 임종인, "지속적 실전형 모의훈련을 통한 피싱공격 대응역량 및 행동변화에 관한 연구", 정보보호학회논문지, 제27권, 제2호, 2017, pp. 267-279. https://doi.org/10.13089/JKIISC.2017.27.2.267
  12. 이준희, 권헌영, "스팸메일 모의훈련 현장실험을 통한 기업의 인적 취약요인 연구", 정보보호학회논문지, 제29권, 제4호, 2019, pp. 847-857. https://doi.org/10.13089/JKIISC.2019.29.4.847
  13. ㈜시큐와우 주식회사, "악성메일 모의훈련 자동화 플랫폼 시스템 및 운영방법", 특허출원 제10-2021-0026824, 2021.
  14. ㈜에스지시큐리티컨설팅, "사이버 위협 대응 훈련 플랫폼 시스템", 특허출원 제10-2019-0069880, 2019.
  15. ㈜지란지교시큐리티, "머드픽스", Available at https://www.jiransecurity.com/products/mudfix, 2024년 7월 19일 조회.
  16. ㈜큐어리드, "G-POST", Available at http://g-post.co.kr, 2024년 7월 19일 조회.
  17. ㈜파수, "mind-SAT", Available at https://www.fasoo.com/services/security-awareness-training, 2024년 7월 19일 조회.
  18. ㈜파이오링크, "이메일 모의훈련", Available at https://www.piolink.com/kr/service/eMail-Simulation-Service.php, 2024년 7월 19일 조회.
  19. ㈜한시큐리티, "DTS-FM", Available at https://www.hangrp.com/sw/sw_01.php, 2024년 7월 19일 조회.
  20. 통계청, 한국의 사회동향 2022, 2022.
  21. 한국인터넷진흥원, "민간분야 사이버 위기대응 모의훈련", Available at https://www.kisa.or.kr/1020407, 2024년 7월 19일 조회.
  22. KBS NEWS, "보이스피싱 공범도 찾는다…음성분석모델 세계 첫 개발", 2023.02.22.
  23. Asfoor, A. H., H. Kasim, A. B. A. Latif, and F. B. A. Rahim, "Investigate the roles of sanctions, psychological capital, and organizational security resources factors in information security policy violation", Asia Pacific Journal of Information Systems, Vol.33, No.4, 2023, pp. 863-898. https://doi.org/10.14329/apjis.2023.33.4.863
  24. Can I Phish Pty Ltd, "caniphish", Available at https://caniphish.com/, 2024년 7월 19일 조회.
  25. Dodge, R., C. Kathryn, and E. Rovira, "Empirical benefits of training to phishing susceptibility", Information Security and Privacy Research, Vol. 376, 2012, pp. 457-464. https://doi.org/10.1007/978-3-642-30436-1_37
  26. Federal Trade Commission, CSN Data Book 2022, 2023.2.
  27. Gomes, V., R. Joaquim, and B. Alturas, "Social engineering and dangers of phishing", 2020 15th Iberian Conference on Information Systems and Technologies, 2020, pp. 1-7.
  28. Gordon, W. J., A. Wright, R. J. Glynn, J. Kadakia, C. Mazzone, E. Leinbach, and A. Landman, "Evaluation of a mandatory phishing training program for high-risk employees at a US healthcare system", Journal of the American Medical Informatics Association, Vol. 26, No. 6, 2019, pp. 547-552. https://doi.org/10.1093/jamia/ocz005
  29. Infosec, "Security awareness training & phishing simulations", Available at https://www.infosecinstitute.com/iq/, 2023년 9월 1일 조회.
  30. Jampen, D., G. Gür, T. Sutter, and B. Tellenbach, "Don't click: Towards an effective anti-phishing training. A comparative literature review", Journal of Information Security, Vol.11, No.3, pp.212-226, 2020. https://doi.org/10.1186/s13673-020-00237-7
  31. Jansson, K. and R. von Solms, "Phishing for phishing awareness", Behaviour & Information Technology, Vol.32, No.6, 2013, pp. 584-593. https://doi.org/10.1080/0144929X.2011.632650
  32. JP Morgan Chase Bank, N.A., "System and Method for Phishing Email Training", (US) 20210152596, 2021.
  33. Jung, W. J., Y. Shin, and S. T. Lee, "The behavioral attitude of financial firms' employees on the customer information security in Korea", Asia Pacific Journal of Information Systems, Vol.22, No.1, 2012, pp. 53-77. https://doi.org/10.1111/j.1365-2575.2011.00369.x
  34. Knobe4, 'PhishER', Available at https://www.knowbe4.com/, 2024년 8월 1일 조회.
  35. KnowBe4, Inc., "Using Smart Groups for Simulated Phishing Training and Phishing Campaigns", (US)20180307844, 2018.
  36. MITRE ATT&CK, "Phishing Mitigations", Available at http://attack.mitre.org/techniques/T1566/, Accessed on May 31, 2023.
  37. Mohebzada, J. G., A. El Zarka, A. H. Bhojani, and A. Darwish, "Phishing in a university community: Two large scale phishing experiments", 2012 International Conference on Innovations in Information Technology, 2012, pp. 249-254.
  38. Nonoichi Takanori, Cyber Attack Mail Handling Training System, (JP)29091478, 2017.
  39. Phished BV, "Cyber Resilience Training Platform", Available at https://phished.io/, 2024년 7월 19일조회.
  40. Proofpoint, "Aegis Threat Protection Platform", Available at https://www.proofpoint.com/, 2024년7월 19일 조회.
  41. Sumner, A., X. Yuan, M. Anwar, and M. McBride, "Examining factors impacting the effectiveness of anti-phishing trainings", Journal of Computer Information Systems, Vol.62, No.5, 2022, pp. 975-997. https://doi.org/10.1080/08874417.2021.1955638
  42. Trend Micro Inc, "Security Awareness Training", Available at https://phishinsight.trendmicro.com/service/training.html, 2024년 7월 19일 조회.
  43. Wright, R. T., S. L. Johnson, and B. Kitchens, "Phishing susceptibility in context: A multilevel information processing perspective on deception detection", MIS Quarterly, Vol.47, No.2, 2023, pp. 803-832.