DOI QR코드

DOI QR Code

Effect of Information Security Training and Services on Employees' Compliance to Security Policies

보안교육 및 보안서비스가 조직구성원의 정보보안정책 준수에 미치는 영향

  • Received : 2018.02.06
  • Accepted : 2018.02.23
  • Published : 2018.03.30

Abstract

In the past, organizations tended to focus on physical and technical aspects of managing corporate's information security (IS), rather than the aspect of human resources related to IS. Recently, increasing security incidents caused by organization members raise the issue of how to improve employees' compliance with security policies. This study conducted a field experiment to examine the effect of security awareness training and technical security services on employee's security behaviors. In Study 1, the number of spam opening cases were measured right after the IS training and re-measured three months later. In Study 2, a spam warning message was provided and then the number of employees' spam opening cases were counted to find out the effect of security services. It was found that both the IS training and the technical IS service were effective; they significantly decreased spam opening rates. However, the training effect did not last longer than three months. These findings suggest that organizations need to consider providing regular training programs and supplementary technical services to improve employees' compliance with security policies.

조직의 정보보안은 물리적, 기술적, 관리적 영역에서 균형적으로 이뤄져야 한다. 그러나 과거 기업의 정보보안 대책은 주로 물리적, 기술적 영역에 집중되는 경향이 있었다. 최근 조직구성원에 의한 보안사고가 늘어남에 따라 기업에서도 인적 보안 관리나 정보보안 교육에 관심이 점차 높아지는 추세이다. 본 연구는 현장실험을 통해 보안교육이나 보안서비스 제공이 조직구성원의 보안정책 준수 행동에 어떤 영향을 미치는지 알아보았다. 연구 1에서 국내 대기업 임직원을 대상으로 스팸 이메일 대응교육을 실시한 후 교육 효과를 알아보기 위해 스팸 이메일 열람 여부를 측정했고, 3개월이 지난 후에도 효과가 지속되는지 알아보았다. 연구 2에서는 보안서비스의 효과를 알아보기 위해 보안경고 알림 메시지를 제공한 후 그 효과를 측정하였다. 실험 결과, 보안교육은 보안정책 준수 행동에 긍정적인 영향을 미치는 것으로 나타났다. 보안교육 직후 교육 이수집단이 미이수집단에 비해 스팸 이메일 열람률이 낮았다. 그러나 3개월 후 이러한 집단 간 차이는 사라졌다. 또한 보안위험 경고 알림 메시지는 스팸 이메일을 열람률을 낮추는 데 효과가 큰 것으로 나타나 보안정책 준수 행동에 긍정적인 영향을 미쳤다. 이 결과는 조직의 인적보안관리를 위해서는 지속적인 보안교육이 필요하고, 보완적으로 보안서비스를 활용할 필요가 있음을 시사한다.

Keywords

References

  1. 권영관.염흥열 (2007). “스팸 이메일 현황과 대응에 대한고찰.” 정보보호학회지, 17(2): 66-79.
  2. 김기영.안개일.장종수.이상호 (2001). “실시간 인터넷 보안 서비스 제공을 위한 정책기반 통합 서버 설계 및 시뮬레이션.” 정보처리학회논문지C: 정보통신,정보보안, 8(5): 565-572.
  3. 김상훈.박선영 (2011). “정보보안 정책 준수 의도에 대한 영향요인.” 한국전자거래학회지, 16(4): 33-51. https://doi.org/10.7838/JSEBS.2011.16.4.033
  4. 김상훈.이갑수 (2015). "정보보안기술 사용의 영향요인에 관한 실증적 연구." 한국전자거래학회지, 22(4): 151-175.
  5. 김수홍.김상희.심정신 (2007). “간호 대학생의 심폐소생술교육 효과 및 교육효과 지속에 대한 연구.” 대한응급의학회지, 18(6): 496-502.
  6. 김종기.강다연 (2008). “보안정책, 보안의식, 개인적 특성이 패스워드 보안효과에 미치는 영향.” 정보보호학회논문지, 18(4): 1-26.
  7. 김종기.전진환 (2006). “컴퓨터 바이러스 통제를 위한 보안행위 의도 모형.” 정보화정책, 13(3): 174-196.
  8. 박서기.황경태 (2016). “빅데이터 보안 분야의 연구동향 분석.” 정보화정책, 23(1): 3-19. https://doi.org/10.22693/NIAIP.2016.23.1.003
  9. 박수진.박명찬.이새롬.최용락 (2002). “실시간 e-mail 대응 침입시도탐지 관리시스템의 설계 및 구현.” 정보처리학회논문지C: 정보통신,정보보안, 9(3): 359-366.
  10. 박철주.임명성 (2012). “보안 대책이 지속적 보안 정책 준수에 미치는 영향.” 디지털정책연구, 10(4): 23-35.
  11. 신희은 (2014). "대기업에 당하고 직원이 빼가고 스파이에 멍든 中企." 머니투데이. 11월 24일.
  12. 임명성 (2012). “조직 구성원들의 정보보안 정책 준수행위의도에 관한 연구.” 디지털정책연구, 10(10): 119-128.
  13. 임명성 (2014). “정보보안 인식 교육의 효과에 대한 연구.”디지털융복합연구, 12(2): 27-37. https://doi.org/10.14400/JDC.2014.12.2.27
  14. 채명정.이진희.송인자.김진일 (2015). “심폐소생술 교육후 재교육이 간호대학생의 지식, 수행능력 및 자기효능감 지속에 미치는 효과.” 한국응급구조학회논문지, 19(1): 51-62.
  15. 최양서.서동일 (2006). “사회공학적 공격방법을 통한 개인정보 유출기술 및 대응방안 분석.” 정보보호학회지, 16(1): 40-48.
  16. 한국인터넷진흥원 (2015). 2015 국내 정보보호산업 실태조사. 미래창조과학부, 한국인터넷진흥원, 한국정보보호산업협회.
  17. AhnLab (2011). ASEC Report Vol. 13. 경기: 안철수연구소.
  18. Bulgurcu, B., Cavusoglu, H. & Benbasat, I. (2010).“Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and Information Security Awareness.” MIS Quarterly, 34(3): 523-548. https://doi.org/10.2307/25750690
  19. Dhillon, G. & Backhouse, J. (2000). “Technical Opinion: Information System Security Management in the New Millennium.” Communications of the ACM, 43(7): 125-128. https://doi.org/10.1145/341852.341877
  20. Fornell, C. & Larcker, D. F. (1981). "Evaluating Structural Equation Models with Unobservable and Measurement Error." Journal of Marketing Research, 18: 39-50. https://doi.org/10.2307/3151312
  21. Trcek, D., Trobec, R., Pavesic', N. & Tasic, J. F.(2007). “Information Systems Security and Human Behaviour.” Behaviour & Information Technology, 26(2): 113–118. https://doi.org/10.1080/01449290500330299
  22. Desman, M. B. (2002). Building an IS Security Awareness Program. Boca Raton: Auerbach Publishing.
  23. Mitnick, K. D. & Simon, W. L. (2002). The Art of Deception: Controlling the Human Element of Security. Indianapolis: Wiley Publishing, Inc.
  24. Sheeran, P. (2002). “Intention-Behavior Relations: A Conceptual and Empirical Review.” European Review of Social Psychology, 12(1):1-36. https://doi.org/10.1080/14792772143000003
  25. Straub, D. (1990). “Effective IS Security: An Empirical Study.” Information Systems Research, 1(3): 255-276. https://doi.org/10.1287/isre.1.3.255
  26. Straub, D. & Welke, R. (1998). “Coping with Systems Risk : Security Planning Models for Management Decision Making.” MIS Quarterly, 22(4): 441-469. https://doi.org/10.2307/249551
  27. Da Veiga, A. & Eloff, J. H. P. (2007). “An Information Security Governance Framework.” Information Systems Management, 24(4): 361-372. https://doi.org/10.1080/10580530701586136
  28. Warkentin, M. & Willison, R. (2009). “Behavioral and Policy Issues in Information Systems Security: The Insider Threat.” European Journal of Information Systems, 18(2): 101-105. https://doi.org/10.1057/ejis.2009.12
  29. Workman, M. & Gathegi, J. (2007). “Punishment and Ethics Deterrents: A Study of Insider Security Contravention.” Journal of the Association for Information Science and Technology, 58(2): 212-222.