Research Review: Cyber Security Awareness Campaigns: Why do they fail to change behaviour?
Analyzed Date: 2026.03.17 - 2026.03.21 Keywords: Security Awareness, Behaviour Change, Persuasion, Risk Perception, Security Culture Source: arXiv preprint (Global Cyber Security Capacity Centre, University of Oxford), 2014/2019
Why This Paper?
선정 배경
도메인 탐색 결과: 8편의 보안 컨설팅 논문 리뷰를 통해 컴플라이언스 전술, 리스크 분석, 개인 행동, 거버넌스, 감사, 공급망, 투자 경제학, 보안 문화를 순차적으로 학습했다. Da Veiga & Eloff (2010)에서 보안 문화 형성을 다룬 데 이어, 이제 그 문화가 실제로 작동하지 않는 이유, 즉 인식 캠페인이 행동 변화로 이어지지 못하는 메커니즘을 분석하는 단계로 진입한다.
이 논문을 선택한 이유: - Da Veiga & Eloff의 보안 문화 프레임워크가 조직 수준의 구조를 다뤘다면, 이 논문은 개인 수준의 행동 변화 실패 원인을 심리학적으로 분석함으로써 문화 수립의 실질적 한계를 보완한다 - 보안 컨설팅 실무에서 고객사가 인식 제고 프로그램(SETA: Security Education, Training and Awareness)을 도입해도 행동 변화가 일어나지 않는다는 문제를 직접 다룬다 - 경영진 대상 리스크 커뮤니케이션 및 임직원 보안 인식 제고 자문 역량을 강화하는 데 직결된다 - ISMS-P 인증 컨설팅에서 요구되는 보안 교육훈련 체계 수립 및 효과성 평가 항목과 연관된다
학습 목표: - 인식 캠페인이 행동 변화로 이어지지 못하는 심리학적 원인 구조를 이해한다 - 보호동기이론(PMT), 조절초점이론 등 행동 변화 이론을 컨설팅 권고안 설계에 활용할 수 있는 수준으로 습득한다 - 고객사의 보안 교육 프로그램 진단 및 개선 방향 제시 역량을 구체화한다
Day 1 – Research Context & Motivation
(인식은 충분한데 행동은 왜 바뀌지 않는가)
1. 연구 배경: 인식-행동 간 격차 문제
보안 인식 캠페인의 중요성
정부와 기업은 ICT 보안을 위해 기술적 통제와 보안 정책을 병행 운용한다. 그러나 정책이 명시하는 올바른 행동을 개인이 실제로 따르지 않는 현상이 반복된다. 이 논문은 그 핵심 원인으로 두 가지를 지목한다. 첫째, 개인이 리스크 자체를 인지하지 못하거나 인지하더라도 심각하게 받아들이지 않는다. 둘째, 올바른 행동이 무엇인지 알더라도 실제로 어떻게 해야 하는지를 이해하지 못한다.
보안 인식 캠페인의 1차적 목적은 안전한 행동의 채택을 유도하는 것이다. 그러나 단순히 해야 할 것과 하지 말아야 할 것을 알려주는 것만으로는 효과적인 영향력 행사가 불가능하다. 논문은 효과적인 영향력 행사를 위한 세 가지 조건을 제시한다. 정보가 자신에게 관련이 있다는 수용, 어떻게 대응해야 하는지에 대한 이해, 그리고 다양한 경쟁적 요구 속에서도 행동하려는 의지가 모두 충족되어야 한다.
현실의 한계
논문은 현재 보안 인식 캠페인의 근본적 실패를 세 가지 층위에서 진단한다.
첫째, 지식-행동 불일치 문제다. 사람들은 인식 관련 질문에 올바른 답을 알고 있으면서도 실제 생활에서는 그에 따라 행동하지 않는다. 인식 수준의 제고가 행동 변화를 자동으로 보장하지 않는다는 점이 반복적으로 확인된다.
둘째, 보안 피로(security fatigue) 문제다. 지나치게 많은 경고와 복잡한 지시에 노출된 개인은 결국 모든 보호 노력을 포기하고 위험 자체를 부정하는 방향으로 반응한다. 위협적이거나 공포를 유발하는 보안 메시지는 스트레스 수준을 높여 오히려 역효과를 낸다.
셋째, 설계 실패 문제다. 사용자가 최적의 행동을 취하지 못하는 핵심 이유 중 하나는 보안 시스템과 정책 자체가 사용하기 어렵게 설계되어 있다는 점이다. 이는 1999년에도 확인되었고 오늘날에도 동일하게 지적된다.
연구 문제의식
심리학적 행동 변화 이론을 적용하여 보안 인식 캠페인의 실패 요인을 체계적으로 분석하고, 캠페인의 성공과 실패를 결정하는 핵심 요소를 어떻게 도출할 것인가?
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| 보안 피로(Security Fatigue) | 과도한 보안 요구사항과 반복적 경고로 인해 개인이 보안 절차와 프로세스에 지쳐 보호 노력을 포기하는 심리적 상태 | 고객사 임직원의 보안 교육 참여도 저하, 정책 무시 현상의 원인 진단 시 핵심 지표로 활용 가능 |
| 보호동기이론(Protection Motivation Theory, PMT) | 위협 평가(위협의 심각성, 발생 가능성)와 대처 평가(자기효능감, 대응 효과성)가 결합되어 보호 동기를 형성한다는 이론. Rogers(1975)가 제안 | 고객사의 보안 인식 교육 설계 시 단순 위협 강조를 넘어 실행 가능한 대응 행동을 함께 제시해야 하는 근거로 활용 |
| 조절초점이론(Regulatory Focus Theory) | 개인의 행동이 촉진 초점(이상적 자아 달성, 이득 추구)과 예방 초점(의무 이행, 손실 회피) 중 어느 쪽에 의해 동기화되는지에 따라 메시지 효과가 달라진다는 이론. Higgins(1998)가 제안 | 조직 문화 및 국가 문화 특성에 맞게 보안 메시지 프레이밍 전략을 차별화해야 한다는 자문 근거 제공 |
| 지각된 통제감(Perceived Control) | 개인이 특정 상황에서 자신이 실제로 보유한 통제력과 무관하게 스스로 통제할 수 있다고 느끼는 정도 | 보안 교육에서 임직원에게 단순 금지 지시 대신 스스로 실행 가능한 행동 지침을 제공해야 참여율과 준수율이 높아진다는 설계 원칙의 근거 |
| 문화적 적합성(Cultural Congruency) | 메시지가 수신자의 문화적 테마, 인지적·정서적·동기적 특성과 일치할 때 설득력이 높아진다는 원리 | 다국적 기업 또는 다문화 조직의 보안 인식 프로그램 설계 시 개인주의/집단주의 문화 차이를 반영한 맞춤형 메시지 전략 필요성의 근거 |
3. 이론적 기반: 행동 변화의 다층적 결정 구조
[ 행동 변화의 전제 조건 ] 논문 Section 2, 3
- 정보 제공
>> ↓
- 관련성 수용 : 정보가 나와 관련 있다는 인식
>> ↓
- 대응 방법 이해 : 어떻게 해야 하는지 앎
>> ↓
- 행동 의지 : 하려는 동기
>> ↓
- 실제 행동 변화
[ 행동 변화에 영향을 미치는 세 가지 요인 ] Section 3
[ 개인적 요인 ] - 지식, 기술, 경험 - 개인 동기 ( 내재적 / 외재적 ) - 지각된 통제감 - 조절 초점 ( 촉진 / 예방 ) - 보안 피로
[ 사회·환경적 요인 ] - 사회적 규범 - 환경적 단서 - 주변의 영향 - 조직 문화
[ 문화적 요인 ] - 개인주의 vs. 집단주의 - 권력 거리 - 불확실성 회피 - 문화적 메시지 적합성
핵심 아이디어:
행동 변화는 단순한 정보 전달로 달성되지 않는다. 지식은 행동 변화의 필요조건이지 충분조건이 아니다. 개인의 심리적 요인(동기, 자기효능감, 피로도), 사회·환경적 요인(규범, 집단 압력), 문화적 요인(메시지 프레이밍 적합성)이 복합적으로 작용하여 실제 행동을 결정한다. 따라서 효과적인 캠페인은 이 세 가지 층위 모두를 설계 단계에서 고려해야 한다.
4. 연구의 핵심 기여
학술적 기여: - 보안 인식 캠페인 실패를 설명하는 데 심리학 이론(PMT, 조절초점이론, 확장병렬처리모델 등)을 체계적으로 적용한 통합 검토 프레임워크를 제시했다 - 행동 변화의 결정 요인을 개인적, 사회·환경적, 문화적 세 층위로 분류하는 분석 구조를 제공했다 - 영국과 아프리카 사례 비교를 통해 문화적 맥락이 캠페인 설계에 미치는 실질적 차이를 예시했다
실무 기여: - 보안 인식 캠페인의 성공 요소와 실패 요인을 5가지 실행 지침으로 정리하여 캠페인 설계자에게 직접 적용 가능한 체크리스트를 제공했다 - 공포 소구(fear appeal)가 특정 조건에서 역효과를 낼 수 있다는 근거를 제시하여 실무에서 광범위하게 사용되는 캠페인 전략의 재검토 필요성을 제기했다 - 단순 지식 측정이 아닌 실제 행동 변화를 기준으로 캠페인 효과를 측정해야 한다는 방향을 제시했다
5. 컨설팅 관점 인사이트
적용 가능성:
고객사의 보안 인식 제고 프로그램을 진단하거나 신규 설계할 때, 이 논문의 분석 틀은 진단 항목의 이론적 근거로 직접 활용할 수 있다. 특히 기존 프로그램이 지식 전달에 집중되어 있고 행동 변화 효과는 측정되지 않는 패턴이 국내 고객사에서도 반복적으로 나타난다. 임직원이 교육 이수 기록은 남기면서 실제 행동은 바뀌지 않는 현상, 즉 컴플라이언스와 행동 변화의 분리 문제는 이 논문이 제기하는 핵심 문제와 정확히 일치한다.
기존 학습과의 연결: - Bulgurcu et al. (2010) : 개인의 IS 정책 준수 의도를 합리적 행동 이론 기반으로 분석했다. 이 논문은 그 의도조차 형성되지 않는 심리적 선행 조건을 다룬다는 점에서 한 단계 앞선 문제를 다룬다 - Da Veiga & Eloff (2010) : 조직 수준의 보안 문화 수립 프레임워크를 제시했다. 이 논문은 그 문화가 개인 행동으로 전환되지 않는 이유를 설명하는 보완적 관점을 제공한다 - Foorthuis & Bos (2011) : 컴플라이언스 전술의 효과성을 분석했다. 이 논문은 전술 수준이 아닌 개인 심리 수준에서 왜 전술이 효과를 내지 못하는지를 설명한다
현실적 고려사항:
이 논문은 arXiv preprint로 동료심사를 거친 저널 논문이 아니다. 문헌 검토 기반의 개념적 논문으로, 자체 실증 데이터를 생성하지 않았다. 컨설팅 현장에서 이 논문의 주장을 인용할 때는 근거의 성격을 정확히 이해해야 한다. 즉, 이 논문이 제시하는 것은 기존 심리학 이론들의 종합적 해석이지, 새로운 실증 결과가 아니다. 고객사에 권고안을 제시할 때는 이 논문이 인용하는 원론적 이론(PMT, 조절초점이론 등)을 함께 제시하는 방식이 더 설득력 있다.
References
[1] Bada, M., Sasse, A. M., & Nurse, J. R. C. (2014/2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv preprint arXiv:1901.02672. Global Cyber Security Capacity Centre, University of Oxford.
[2] Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of Psychology, 91, 93–114.
[3] Higgins, E. T. (1998). Promotion and prevention: Regulatory focus as a motivational principle. Advances in Experimental Social Psychology, 30, 1–46.
[4] Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207.
[5] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523–548.
Tags
보안컨설팅 / SecurityConsulting / SecurityAwareness / BehaviourChange / PersuasionTechniques / PMT / RegulatoryFocusTheory / SecurityFatigue / PaperReview / SKShieldusRookies