가장 최근의 Verizon 데이터 유출 조사 보고서에 따르면 사회적 공격, 오류, 오용 등 인적 요소가 유출 사고의 82%를 차지하는 주요 원인인 것으로 나타났습니다. 의심할 여지 없이 인간의 실수는 엄청난 보안 문제를 야기합니다. 한편, 사이버 침해의 비율과 이로 인한 비용은 계속 증가하고 있습니다. 그렇다면 직장인의 절반 이상이 보안 인식 교육을 받지 않았거나 사용하지 않는 이유는 무엇일까요?
보안 팀이 보안 교육을 믿지 않기 때문일 수도 있거나 어떤 종류의 교육이 효과적인지 정확히 모르기 때문일 수도 있습니다. 모범 사례를 뒷받침하는 데이터가 있을까요? 알아봅시다.
The most recent Verizon Data Breach Investigations Report reveals the human element continues to be a key driver of 82% of breaches, including social attacks, errors and misuse. Undoubtedly, human error generates massive security headaches. Meanwhile, the rate and cost of cyber breaches continue to climb. Why is it then that over half of employed people don’t have or don’t use security awareness training?
Maybe security teams don’t believe in security training. Or maybe they don’t know exactly what kind of training works. Is there any data to back up best practices? Let’s find out.
직원의 고위험 책임
Employee High-Risk Liability
보통 기업의 직원들은 방대한 정보 저장소에 액세스할 수 있습니다. 직원 한 명당 평균 1,080만 개의 파일을 처리할 수 있습니다. 대규모 조직의 직원은 2천만 개에 달하는 파일에 액세스할 수 있습니다.
최근 연구에 따르면 금융 서비스 조직의 64%는 직원들이 1,000개 이상의 민감한 파일을 아무런 제한 없이 볼 수 있도록 허용하고 있습니다. 많은 기업이 원격 근무 또는 하이브리드 근무로 전환함에 따라 IT 팀은 민감한 데이터를 공격으로부터 보호하기 위해 보안 조치의 우선순위를 정해야 합니다. 또한 기업은 심각한 법적 결과에 노출될 수 있는 SOX, GDPR, PCI와 같은 규정을 준수하는 것도 고려해야 합니다.
비밀번호 습관에 대해 살펴보면, Cybsafe의 연구에서 참가자의 29%가 하나의 사전 단어 또는 이름으로 구성된 비밀번호를 생성하는 것으로 나타났습니다. 16%만이 12자 이상의 비밀번호를 생성한다고 답했는데, 이는 비밀번호 보안에 큰 도움이 됩니다.
약 36%의 참가자는 고유 비밀번호를 절반 이하로만 사용한다고 답했으며, 또 다른 36%는 몇 달에 한 번씩 비밀번호를 변경한다고 답했습니다. 놀랍게도 참가자의 35%는 한두 글자만 변경하는 등 비밀번호를 약간만 수정한다고 답했습니다.
이러한 이유만으로도 사이버 위생에서는 많은 의미가 있습니다. 하지만 사이버 위생이 공격을 예방하는 데 효과가 있을까요?
Employees in the average company have the ability to access a vast repository of information. An average of 10.8 million files are at the disposal of each worker. Employees at larger organizations have access to as many as 20 million files.
A recent study found 64% of financial services organizations allow their employees to view more than 1,000 sensitive files without any restrictions. As many companies have moved to remote or hybrid work, IT teams must prioritize their security measures to ensure that their sensitive data is protected from attack. Firms must also consider compliance with regulations like SOX, GDPR and PCI, which can expose companies to serious legal consequences.
If we look at password practices, a study by Cybsafe found that 29% of participants created passwords consisting of a single dictionary word or name. Only 16% of participants reported creating passwords over 12 characters long, which goes a long way for password security.
Around 36% of participants reported using unique passwords only half the time or less, while another 36% changed their passwords every few months. Surprisingly, 35% of participants admitted to only making slight modifications to their passwords, such as changing a character or two.
For these reasons alone, cyber hygiene makes a lot of sense. But does it work to prevent attacks?
보안 인식은 정말 효과가 있을까요?
Does Security Awareness Really Work?
인적 오류에 대해 이야기하는 모든 사람들은 결국 직원 교육을 언급할 것입니다. 그러나 이것이 실제로 직원들의 온라인 활동을 변화시킬 수 있을까요? 더 중요한 것은 교육이 보안 침해의 위험과 비용을 줄일 수 있을까요? Cybsafe 보고서에 따르면 보안 교육 후 직원들의 습관이 바뀌는 것으로 나타났습니다.
우선, 사이버 보안 교육을 받은 직원의 57%가 직장이나 교육 기관을 통해 교육에 액세스했습니다. 28%만이 가정 환경에서 접속했습니다. 교육을 받은 사람들 중 59%는 일회성 과정을 이수했으며, 24%는 일정 기간 동안 지속적인 교육을 받았습니다. 안타깝게도 설문조사에 참여한 직장인 중 48%는 사이버 보안에 대한 조언이나 교육을 받은 적이 없으며, 9%는 접근 권한은 있지만 사용하지 않는다고 답했습니다.
이 연구에 따르면 사이버 보안 교육을 받은 참가자의 58%가 피싱 메시지를 인식하는 능력이 향상되었다고 응답했습니다. 또한 교육을 받은 응답자의 45%는 강력하고 고유한 비밀번호를 사용하기 시작했다고 답했습니다. 다음은 교육 후 직원들이 스스로 실행하고 있다고 보고한 몇 가지 다른 보안 습관입니다:
- 다단계 인증 사용: 40%
- 비밀번호 관리자 사용: 35%
- 정기적으로 업데이트 설치 40%
- 데이터 백업: 34%.
Everyone who talks about human error will eventually mention employee training. But does it really change workers’ online activity? Even more important, does training mitigate the risk and cost of a security breach? The Cybsafe report supports that employee habits do change after security training.
For starters, 57% of individuals who received cybersecurity training accessed it through their workplace or educational institution. Only 28% accessed it from their home environments. Among those who received training, 59% completed one-time courses, while 24% received ongoing training over a set period. Unfortunately, 48% of employed people surveyed do not have access to cybersecurity advice or training, and 9% have access but don’t use it.
According to the study, 58% of the participants who received cybersecurity training reported an improvement in their ability to recognize phishing messages. Also, 45% of those trained said they had begun using strong, unique passwords. Here are some other security practices people self-reported implementing after the training:
- Using multifactor authentication: 40%
- Using a password manager: 35%
- Regularly installing updates: 40%
- Backing up data: 34%.
지속적인 교육의 중요성
Ongoing Training Matters
앞서 언급한 바와 같이, Cybsafe 보고서의 응답자 중 4분의 3 이상이 지속적인 교육을 받지 않았다고 답했습니다. 이는 큰 실수일 수 있습니다.
USENIX SOUPS에서 발표된 한 논문에서는 피싱 교육의 지속적인 영향을 평가했습니다. 이 연구에서 연구원들은 직원들이 피싱 메시지를 식별하는 능력을 언제 잃게 되는지 확인하기 위해 주기적으로 테스트를 실시했습니다. 직원을 여러 그룹으로 나누어 대면 피싱 교육을 받은 후 4, 6, 8, 10, 12개월이 지난 시점에 테스트를 실시했습니다.
연구팀은 참가자들이 처음 교육을 받은 후 4개월이 지나면 피싱 이메일을 정확하게 찾아낼 수 있다는 사실을 발견했습니다. 그러나 6개월 이후에는 이러한 능력이 감소했습니다. 연구팀은 피싱 위협을 식별하는 직원들의 숙련도를 유지하기 위해 새로운 교육 세션을 실시할 것을 권장했습니다.
As mentioned, over three-fourths of respondents in the Cybsafe report did not receive ongoing training. This may be a huge mistake.
A paper presented at USENIX SOUPS assessed the lasting impact of phishing training. In the study, researchers conducted periodic tests at regular intervals to see when the employees would lose their ability to identify phishing messages. They divided the employees into several groups and tested them four, six, eight, 10 and 12 months after receiving an in-person phishing training session.
The research team discovered that participants were able to accurately spot phishing emails four months after their initial training. However, this ability diminished after six months and beyond. The team recommended conducting new training sessions to maintain the employees’ proficiency in identifying phishing threats.
어떤 종류의 보안 교육이 가장 효과적일까요?
Which Type of Cyber Awareness Training Works Best?
교육이 중요하다는 것은 당연하지만, 어떤 종류가 가장 효과적일까요? 이에 대한 데이터가 있을까요?
USENIX SOUPS 논문에서 연구자들은 문자 메시지, 동영상, 대화형 예시, 간단한 텍스트 등 네 가지 알림 방법을 네 그룹에 나눠서 조사했습니다. 튜토리얼이 끝난 지 1년 후, 연구진은 네 가지 알림 그룹 간의 지식 유지율을 비교했습니다. 그 결과 동영상과 대화형 방식이 가장 효과적인 것으로 나타났습니다. 이러한 효과는 시행 후 최소 6개월 동안 지속되었습니다.
사이버 전문가인 니폰 나친(Nipon Nachin)은 정보 시스템 감사 및 제어 협회(ISACA)에 기고한 글을 통해 추가 연구를 정리했습니다. 그는 사이버 보안에 대한 인식을 높이기 위해 조직이 보안 포스터, 인트라넷 콘텐츠, 화면 보호기 정보, 대면 교육, 비디오, 시뮬레이션 및 테스트와 같은 다양한 기법을 사용했다고 요약했습니다. 한 연구에 따르면 인트라넷을 보안 인식을 위한 플랫폼으로 사용하는 것이 가장 효과적인 접근 방식인 것으로 나타났습니다. 보안 인식 제고 노력의 효과를 극대화하려면 직원들이 조직의 보안 정책을 이해하는 것이 필수적입니다.
보안 인식을 구축하는 데 매우 효과적인 접근 방식 중 하나는 모의 멀웨어 이메일을 전송하여 사용자의 보안의식을 테스트하는 것입니다. 또 다른 새로운 방법은 게임을 사용하여 직원을 교육하는 것이지만, 이 접근 방식은 동영상을 사용하는 것만큼 효과적이지는 않습니다.
While it makes sense that training is important, what techniques work best? Is there any data on this?
In the USENIX SOUPS paper, researchers looked at four different reminder measures distributed among four separate groups: text message, video, interactive examples and a brief text. One year after the tutorial, the researchers compared the retention of knowledge among the four reminder groups. The results showed that the video and interactive measures were the most effective. Their impact lasted at least six months after they were implemented.
Additional research was compiled by cyber expert Nipon Nachin writing for the Information Systems Audit and Control Association (ISACA). He summarized that to raise awareness about cybersecurity, organizations have employed many techniques, such as security posters, intranet content, screensaver information, in-person training, videos, simulations and tests. One study has found that using the intranet as a platform for security awareness was the most effective approach listed. It is essential that employees comprehend the organization’s security policy to maximize the impact of security awareness efforts.
One highly effective approach to building security awareness is to send simulated malware emails to test users’ knowledge. Another novel method is using games to educate employees, although this approach does not appear to be as impactful as using videos.
기술과 인적 요소 모두 필요
Both Technology and a Human Element are Needed
조직은 여전히 사람의 실수로 인한 침해에 매우 취약합니다. 기술 도구는 공격을 막는 데 필수적이지만, 사이버 위생을 지원하기 위해 얼마나 더 많은 노력을 기울여야 하는지 궁금해집니다. 전체 직원의 절반 이상이 보안 교육을 받지 않거나 사용하지 않는다면 그 격차가 크다는 것은 분명합니다.
비용 대비 편익은 어떨까요? 직원의 사이버 보안 교육 비용은 조직의 규모와 교육 유형 및 빈도(대면 교육 대 원격 교육)에 따라 다릅니다. 평균적으로 교육 비용은 사용자당 한 달에 약 5달러입니다. 그리고 투자하는 시간은 한 달에 몇 분이면 충분합니다. 사이버 보안 지출을 고려하면 이는 매우 저렴한 비용입니다. 핵심은 지속성과 반복입니다.
일부 추정에 따르면 기업은 직원 1인당 연평균 2,700달러를 보안에 지출하는 것으로 나타났습니다. 60달러만 더 투자하면 인적 오류의 격차를 줄이는 데 큰 도움이 될 수 있습니다.
Organizations continue to be highly vulnerable to breaches based on human error. While technological tools are indispensable to thwart attacks, one wonders how much more should be done to support cyber hygiene. If over half of all employees aren’t getting or aren’t using security training, it’s evident that the gap is large.
What about the cost-benefit? The cost of employee cybersecurity training varies depending on the size of the organization and the type and frequency of training (in-person vs. remote). On average, training costs approximately $5 per user per month. And the time invested only needs to be a few minutes per month. When it comes to cybersecurity spending, that’s dirt cheap. The key is constancy and repetition.
Some estimates show that companies spend an annual average of $2,700 per employee on security. For $60 more, they might go a long way to fill the human error gap.
https://securityintelligence.com/news/proven-methods-prevent-human-based-security-mistakes/