Research Review: Cyber Security Awareness Campaigns: Why do they fail to change behaviour?
Analyzed Date: 2026.03.17 - 2026.03.21 Keywords: Security Awareness, Behaviour Change, Persuasion, Risk Perception, Security Culture Source: arXiv preprint (Global Cyber Security Capacity Centre, University of Oxford), 2014/2019
Why This Paper?
선정 배경
도메인 탐색 결과: 8편의 보안 컨설팅 논문 리뷰를 통해 컴플라이언스 전술, 리스크 분석, 개인 행동, 거버넌스, 감사, 공급망, 투자 경제학, 보안 문화를 순차적으로 학습했다. Da Veiga & Eloff (2010)에서 보안 문화 형성을 다룬 데 이어, 이제 그 문화가 실제로 작동하지 않는 이유, 즉 인식 캠페인이 행동 변화로 이어지지 못하는 메커니즘을 분석하는 단계로 진입한다.
이 논문을 선택한 이유: - Da Veiga & Eloff의 보안 문화 프레임워크가 조직 수준의 구조를 다뤘다면, 이 논문은 개인 수준의 행동 변화 실패 원인을 심리학적으로 분석함으로써 문화 수립의 실질적 한계를 보완한다 - 보안 컨설팅 실무에서 고객사가 인식 제고 프로그램(SETA: Security Education, Training and Awareness)을 도입해도 행동 변화가 일어나지 않는다는 문제를 직접 다룬다 - 경영진 대상 리스크 커뮤니케이션 및 임직원 보안 인식 제고 자문 역량을 강화하는 데 직결된다 - ISMS-P 인증 컨설팅에서 요구되는 보안 교육훈련 체계 수립 및 효과성 평가 항목과 연관된다
학습 목표: - 인식 캠페인이 행동 변화로 이어지지 못하는 심리학적 원인 구조를 이해한다 - 보호동기이론(PMT), 조절초점이론 등 행동 변화 이론을 컨설팅 권고안 설계에 활용할 수 있는 수준으로 습득한다 - 고객사의 보안 교육 프로그램 진단 및 개선 방향 제시 역량을 구체화한다
Day 1 – Research Context & Motivation
(인식은 충분한데 행동은 왜 바뀌지 않는가)
1. 연구 배경: 인식-행동 간 격차 문제
보안 인식 캠페인의 중요성
정부와 기업은 ICT 보안을 위해 기술적 통제와 보안 정책을 병행 운용한다. 그러나 정책이 명시하는 올바른 행동을 개인이 실제로 따르지 않는 현상이 반복된다. 이 논문은 그 핵심 원인으로 두 가지를 지목한다. 첫째, 개인이 리스크 자체를 인지하지 못하거나 인지하더라도 심각하게 받아들이지 않는다. 둘째, 올바른 행동이 무엇인지 알더라도 실제로 어떻게 해야 하는지를 이해하지 못한다.
보안 인식 캠페인의 1차적 목적은 안전한 행동의 채택을 유도하는 것이다. 그러나 단순히 해야 할 것과 하지 말아야 할 것을 알려주는 것만으로는 효과적인 영향력 행사가 불가능하다. 논문은 효과적인 영향력 행사를 위한 세 가지 조건을 제시한다. 정보가 자신에게 관련이 있다는 수용, 어떻게 대응해야 하는지에 대한 이해, 그리고 다양한 경쟁적 요구 속에서도 행동하려는 의지가 모두 충족되어야 한다.
현실의 한계
논문은 현재 보안 인식 캠페인의 근본적 실패를 세 가지 층위에서 진단한다.
첫째, 지식-행동 불일치 문제다. 사람들은 인식 관련 질문에 올바른 답을 알고 있으면서도 실제 생활에서는 그에 따라 행동하지 않는다. 인식 수준의 제고가 행동 변화를 자동으로 보장하지 않는다는 점이 반복적으로 확인된다.
둘째, 보안 피로(security fatigue) 문제다. 지나치게 많은 경고와 복잡한 지시에 노출된 개인은 결국 모든 보호 노력을 포기하고 위험 자체를 부정하는 방향으로 반응한다. 위협적이거나 공포를 유발하는 보안 메시지는 스트레스 수준을 높여 오히려 역효과를 낸다.
셋째, 설계 실패 문제다. 사용자가 최적의 행동을 취하지 못하는 핵심 이유 중 하나는 보안 시스템과 정책 자체가 사용하기 어렵게 설계되어 있다는 점이다. 이는 1999년에도 확인되었고 오늘날에도 동일하게 지적된다.
연구 문제의식
심리학적 행동 변화 이론을 적용하여 보안 인식 캠페인의 실패 요인을 체계적으로 분석하고, 캠페인의 성공과 실패를 결정하는 핵심 요소를 어떻게 도출할 것인가?
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| 보안 피로(Security Fatigue) | 과도한 보안 요구사항과 반복적 경고로 인해 개인이 보안 절차와 프로세스에 지쳐 보호 노력을 포기하는 심리적 상태 | 고객사 임직원의 보안 교육 참여도 저하, 정책 무시 현상의 원인 진단 시 핵심 지표로 활용 가능 |
| 보호동기이론(Protection Motivation Theory, PMT) | 위협 평가(위협의 심각성, 발생 가능성)와 대처 평가(자기효능감, 대응 효과성)가 결합되어 보호 동기를 형성한다는 이론. Rogers(1975)가 제안 | 고객사의 보안 인식 교육 설계 시 단순 위협 강조를 넘어 실행 가능한 대응 행동을 함께 제시해야 하는 근거로 활용 |
| 조절초점이론(Regulatory Focus Theory) | 개인의 행동이 촉진 초점(이상적 자아 달성, 이득 추구)과 예방 초점(의무 이행, 손실 회피) 중 어느 쪽에 의해 동기화되는지에 따라 메시지 효과가 달라진다는 이론. Higgins(1998)가 제안 | 조직 문화 및 국가 문화 특성에 맞게 보안 메시지 프레이밍 전략을 차별화해야 한다는 자문 근거 제공 |
| 지각된 통제감(Perceived Control) | 개인이 특정 상황에서 자신이 실제로 보유한 통제력과 무관하게 스스로 통제할 수 있다고 느끼는 정도 | 보안 교육에서 임직원에게 단순 금지 지시 대신 스스로 실행 가능한 행동 지침을 제공해야 참여율과 준수율이 높아진다는 설계 원칙의 근거 |
| 문화적 적합성(Cultural Congruency) | 메시지가 수신자의 문화적 테마, 인지적·정서적·동기적 특성과 일치할 때 설득력이 높아진다는 원리 | 다국적 기업 또는 다문화 조직의 보안 인식 프로그램 설계 시 개인주의/집단주의 문화 차이를 반영한 맞춤형 메시지 전략 필요성의 근거 |
3. 이론적 기반: 행동 변화의 다층적 결정 구조
[ 행동 변화의 전제 조건 ] 논문 Section 2, 3
- 정보 제공
>> ↓
- 관련성 수용 : 정보가 나와 관련 있다는 인식
>> ↓
- 대응 방법 이해 : 어떻게 해야 하는지 앎
>> ↓
- 행동 의지 : 하려는 동기
>> ↓
- 실제 행동 변화
[ 행동 변화에 영향을 미치는 세 가지 요인 ] Section 3
[ 개인적 요인 ] - 지식, 기술, 경험 - 개인 동기 ( 내재적 / 외재적 ) - 지각된 통제감 - 조절 초점 ( 촉진 / 예방 ) - 보안 피로
[ 사회·환경적 요인 ] - 사회적 규범 - 환경적 단서 - 주변의 영향 - 조직 문화
[ 문화적 요인 ] - 개인주의 vs. 집단주의 - 권력 거리 - 불확실성 회피 - 문화적 메시지 적합성
핵심 아이디어:
행동 변화는 단순한 정보 전달로 달성되지 않는다. 지식은 행동 변화의 필요조건이지 충분조건이 아니다. 개인의 심리적 요인(동기, 자기효능감, 피로도), 사회·환경적 요인(규범, 집단 압력), 문화적 요인(메시지 프레이밍 적합성)이 복합적으로 작용하여 실제 행동을 결정한다. 따라서 효과적인 캠페인은 이 세 가지 층위 모두를 설계 단계에서 고려해야 한다.
4. 연구의 핵심 기여
학술적 기여: - 보안 인식 캠페인 실패를 설명하는 데 심리학 이론(PMT, 조절초점이론, 확장병렬처리모델 등)을 체계적으로 적용한 통합 검토 프레임워크를 제시했다 - 행동 변화의 결정 요인을 개인적, 사회·환경적, 문화적 세 층위로 분류하는 분석 구조를 제공했다 - 영국과 아프리카 사례 비교를 통해 문화적 맥락이 캠페인 설계에 미치는 실질적 차이를 예시했다
실무 기여: - 보안 인식 캠페인의 성공 요소와 실패 요인을 5가지 실행 지침으로 정리하여 캠페인 설계자에게 직접 적용 가능한 체크리스트를 제공했다 - 공포 소구(fear appeal)가 특정 조건에서 역효과를 낼 수 있다는 근거를 제시하여 실무에서 광범위하게 사용되는 캠페인 전략의 재검토 필요성을 제기했다 - 단순 지식 측정이 아닌 실제 행동 변화를 기준으로 캠페인 효과를 측정해야 한다는 방향을 제시했다
5. 컨설팅 관점 인사이트
적용 가능성:
고객사의 보안 인식 제고 프로그램을 진단하거나 신규 설계할 때, 이 논문의 분석 틀은 진단 항목의 이론적 근거로 직접 활용할 수 있다. 특히 기존 프로그램이 지식 전달에 집중되어 있고 행동 변화 효과는 측정되지 않는 패턴이 국내 고객사에서도 반복적으로 나타난다. 임직원이 교육 이수 기록은 남기면서 실제 행동은 바뀌지 않는 현상, 즉 컴플라이언스와 행동 변화의 분리 문제는 이 논문이 제기하는 핵심 문제와 정확히 일치한다.
기존 학습과의 연결: - Bulgurcu et al. (2010) : 개인의 IS 정책 준수 의도를 합리적 행동 이론 기반으로 분석했다. 이 논문은 그 의도조차 형성되지 않는 심리적 선행 조건을 다룬다는 점에서 한 단계 앞선 문제를 다룬다 - Da Veiga & Eloff (2010) : 조직 수준의 보안 문화 수립 프레임워크를 제시했다. 이 논문은 그 문화가 개인 행동으로 전환되지 않는 이유를 설명하는 보완적 관점을 제공한다 - Foorthuis & Bos (2011) : 컴플라이언스 전술의 효과성을 분석했다. 이 논문은 전술 수준이 아닌 개인 심리 수준에서 왜 전술이 효과를 내지 못하는지를 설명한다
현실적 고려사항:
이 논문은 arXiv preprint로 동료심사를 거친 저널 논문이 아니다. 문헌 검토 기반의 개념적 논문으로, 자체 실증 데이터를 생성하지 않았다. 컨설팅 현장에서 이 논문의 주장을 인용할 때는 근거의 성격을 정확히 이해해야 한다. 즉, 이 논문이 제시하는 것은 기존 심리학 이론들의 종합적 해석이지, 새로운 실증 결과가 아니다. 고객사에 권고안을 제시할 때는 이 논문이 인용하는 원론적 이론(PMT, 조절초점이론 등)을 함께 제시하는 방식이 더 설득력 있다.
Day 2 – Research Model, Hypotheses, and Methodology
(심리학 이론의 렌즈로 보안 인식 실패를 해부하다)
1. 연구 모델 개요
이 논문은 실증 데이터를 수집하는 연구가 아니라 문헌 검토(literature review) 기반의 개념적 논문이다. 따라서 전통적인 연구 모델이나 가설 검증 구조는 존재하지 않는다. 대신 저자들은 심리학, 행동경제학, 문화 이론의 기존 연구를 체계적으로 검토하여 보안 인식 캠페인 실패의 원인 구조를 설명하는 분석 틀을 구성한다.
[ 논문의 분석 흐름 ]
[ 현상 진단 ] - 보안 인식 캠페인이 행동 변화로 이어지지 않는다 » →
[ 원인 분석 ] 개인적 / 사회환경적 / 문화적 - 행동 변화 결정 요인 분석 » ↓ - 심리학 이론 적용 - 보호동기이론 ( PMT ) - 조절초점이론 - 확장병렬처리모델 ( EPPM ) - MINDSPACE 프레임워크 » →
[ 처방 도출 ] - 성공 / 실패 요인 추출 - 실존 캠페인 사례 검토
설계 철학:
저자들은 보안 문제를 기술적 문제가 아닌 심리학적 문제로 재정의한다. 기존 연구가 캠페인의 내용(무엇을 전달할 것인가)에 집중한 반면, 이 논문은 전달 방식과 수신자의 심리적 반응 메커니즘(어떻게 받아들이는가)으로 분석의 초점을 이동한다.
2. 핵심 분석 가정
이 논문은 가설 검증 연구가 아니므로, 논문 전체를 관통하는 핵심 가정(assumptions)으로 정리한다.
| 가정 | 내용 | 근거 |
|---|---|---|
| A1 | 지식 전달만으로는 행동 변화가 일어나지 않는다 | ISF(2014), Kirlappos et al.(2014) 등 기존 연구의 반복적 확인 |
| A2 | 행동 변화는 개인적, 사회적, 문화적 요인이 복합적으로 작용한 결과다 | Dolan et al.(2010) MINDSPACE 프레임워크 |
| A3 | 공포 소구(fear appeal)는 조건에 따라 역효과를 낸다 | PMT, EPPM, Drive Model 등 다수 심리학 이론 |
| A4 | 문화적 맥락이 메시지 수용 방식을 결정한다 | Hofstede(2010), Triandis(1989), Kreuter & McClure(2004) |
| A5 | 보안 시스템과 정책의 설계 실패가 사용자 비준수의 핵심 원인 중 하나다 | Nurse et al.(2011), Whitten & Tygar(1999) |
3. 분석 방법론
A. 문헌 검토 범위
이 논문은 다음 세 분야의 기존 문헌을 체계적으로 검토한다.
| 분야 | 주요 이론/출처 | 활용 목적 |
|---|---|---|
| 심리학 및 행동과학 | PMT, 조절초점이론, EPPM, 자기효능감 이론 | 개인 수준의 행동 변화 메커니즘 설명 |
| 행동경제학 및 공공정책 | MINDSPACE 프레임워크(Dolan et al., 2010) | 행동에 영향을 미치는 9가지 환경적 요인 구조화 |
| 문화심리학 | Hofstede의 문화 차원 이론, Triandis의 집단주의 이론 | 국가·조직 문화가 메시지 수용에 미치는 영향 분석 |
데이터 수집 방식: 자체 설문, 실험, 인터뷰 없음. 기존 학술 문헌 및 실존 캠페인 사례(영국, 아프리카)의 공개 자료를 분석 대상으로 활용.
B. 핵심 이론 분석 틀
보호동기이론(Protection Motivation Theory, PMT)
목적: 공포 소구가 행동 변화로 이어지는 조건을 설명
[ 위협 평가 ] - 위협의 심각성 - 위협의 발생 가능성 » →
[ 대처 평가 ] - 대응 행동의 효과성 ( 반응 효능감 ) - 자신이 실행할 수 있다는 믿음 ( 자기효능감 ) » ↓
[ 보호 동기 형성 ] » ↓
[ 보호 행동 채택 ]
핵심 함의: 위협만 강조하고 실행 가능한 대응 행동을 제시하지 않으면 보호 동기가 형성되지 않는다. 자기효능감이 낮은 수신자는 위협 메시지에 공포 통제(fear control) 반응, 즉 위협 자체를 부정하는 방식으로 대응한다.
확장병렬처리모델(Extended Parallel Process Model, EPPM)
목적: 공포 소구의 역효과 발생 조건 설명
[ 공포 소구 메시지 수신 ] » ↓
[ 위협 인식 수준 평가 ] » ↓
[ 높음 ] - 대처 효능감 평가 » ↓ - 높음 : 위험 통제 → 보호 행동 - 낮음 : 공포 통제 → 부정, 방어적 회피
[ 낮음 ] - 메시지 무시 ( 위협 부정 )
핵심 함의: 위협 인식이 높더라도 대처 효능감이 낮으면 보호 행동 대신 위협 부정 반응이 나타난다. 이것이 공포 소구가 역효과를 내는 메커니즘이다.
MINDSPACE 프레임워크(Dolan et al., 2010)
목적: 행동에 영향을 미치는 9가지 환경적·심리적 요인 구조화
| 요인 | 내용 | 보안 캠페인 적용 |
|---|---|---|
| Messenger | 누가 메시지를 전달하는가가 수용도를 결정 | 경영진 vs. IT 담당자의 메시지 전달 효과 차이 |
| Incentives | 손실 회피 편향이 이득 추구보다 강하게 작동 | 보안 미준수의 결과를 손실 프레임으로 제시 |
| Norms | 타인의 행동이 강력한 영향력을 발휘 | 동료 집단의 보안 행동을 사회적 규범으로 제시 |
| Defaults | 기본 설정 옵션을 따르는 경향 | 보안 설정을 기본값으로 설정하는 시스템 설계 |
| Salience | 자신과 관련 있다고 느끼는 정보에 주의 집중 | 직무별, 역할별 맞춤형 보안 메시지 설계 |
| Priming | 무의식적 단서가 행동에 영향 | 보안 관련 시각적 환경 구성 |
| Affect | 감정적 연상이 행동을 강하게 형성 | 긍정적 감정 연결(보안 = 보호, 안심)로 메시지 설계 |
| Commitments | 공개적 약속과 상호성이 행동을 유도 | 보안 서약, 팀 단위 보안 목표 공개 설정 |
| Ego | 자아 이미지와 일관된 행동을 취하려는 경향 | 보안 전문가 이미지와 연결된 인식 캠페인 |
조절초점이론(Regulatory Focus Theory, Higgins 1998)
목적: 개인의 동기 유형에 따른 메시지 프레이밍 효과 차이 설명
[ 촉진 초점 ( Promotion Focus ) ] - 이상적 자아 달성 추구 - 이득 추구 - 서구 개인주의 문화에서 강함 » ↓ - 보안 혜택 중심 메시지 : 보안을 유지하면 얻는 것
[ 예방 초점 ( Prevention Focus ) ] - 의무와 책임 이행 - 손실 회피 - 동아시아 집단주의 문화에서 강함 » ↓ - 보안 미준수 결과 중심 메시지 : 보안을 지키지 않으면 잃는 것
C. 사례 분석 방법
영국(GetSafeOnline, Cyber Streetwise)과 아프리카(ISC Africa, Parents’ Corner) 캠페인을 선정하여 Hofstede의 문화 차원 이론(개인주의-집단주의 축)을 기준으로 메시지 전략의 차이를 비교 분석한다. 사례 선정 기준은 두 지역이 문화적 특성과 보안 투자 규모 측면에서 뚜렷한 대조를 이룬다는 점이다.
4. 컨설팅 관점 인사이트
방법론의 실무 적용성:
장점: - 이론 기반 분석 틀은 고객사의 현행 보안 교육 프로그램을 진단하는 체크리스트 형태로 즉시 변환 가능하다 - PMT와 EPPM은 공포 소구 중심의 보안 메시지가 왜 효과를 내지 못하는지를 경영진에게 설명하는 논리적 근거로 활용할 수 있다 - MINDSPACE의 9가지 요인은 보안 인식 프로그램 설계 시 점검해야 할 항목 목록으로 활용 가능하다
한계: - 자체 실증 데이터가 없어 인과관계의 강도를 정량적으로 제시하기 어렵다 - 영국과 아프리카 사례는 국내 기업 환경에 직접 적용하기에 문화적 거리가 있다. 한국 조직 특성(위계 구조, 집단주의 성향)에 맞는 별도 분석이 필요하다
기존 보안 접근법과의 차별점:
| 접근 방식 | 초점 | 강점 | 약점 |
|---|---|---|---|
| 기존 컴플라이언스 중심 접근 | 규정 준수 여부 측정 | 측정 용이, 감사 대응 명확 | 행동 변화 여부와 무관한 형식적 이수로 귀결 |
| 이 논문의 심리학적 접근 | 행동 변화의 심리적 선행 조건 | 실질적 행동 변화 설계 가능 | 효과 측정이 어렵고 장기 투자 필요 |
References
[1] Bada, M., Sasse, A. M., & Nurse, J. R. C. (2014/2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv preprint arXiv:1901.02672. Global Cyber Security Capacity Centre, University of Oxford.
[2] Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of Psychology, 91, 93–114.
[3] Higgins, E. T. (1998). Promotion and prevention: Regulatory focus as a motivational principle. Advances in Experimental Social Psychology, 30, 1–46.
[4] Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207.
[5] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523–548.
[6] Dolan, P., Hallsworth, M., Halpern, D., King, D., & Vlaev, I. (2010). MINDSPACE: Influencing behaviour through public policy. Institute for Government, Cabinet Office.
[7] Witte, K. (1994). Fear control and danger control: A test of the Extended Parallel Process Model (EPPM). Communication Monographs, 61, 113–134.
[8] Hofstede, G., Hofstede, J. G., & Minkov, M. (2010). Cultures and Organizations: Software of the Mind (3rd ed.). McGraw-Hill.
Day 3 – Empirical Results and Hypothesis Testing
(이론이 실제 캠페인과 만났을 때 무엇이 드러나는가)
1. 분석 환경
이 논문은 실험이나 설문 기반의 실증 연구가 아니다. Day 3에서 다루는 내용은 저자들이 기존 심리학 이론을 실존 캠페인 사례에 적용하여 도출한 분석 결과다. 수치 기반의 가설 검증 대신, 이론-사례 정합성 분석을 통해 캠페인 성공/실패 요인을 추출한다.
분석 대상: - 영국 : GetSafeOnline 캠페인, Cyber Streetwise 캠페인 - 아프리카 : ISC Africa 캠페인, Parents’ Corner 캠페인
분석 기준: - Hofstede의 개인주의-집단주의 문화 차원 - PMT 및 EPPM 기반 공포 소구 효과성 조건 - 조절초점이론 기반 메시지 프레이밍 적합성
2. 주요 발견
A. 지식-행동 불일치의 구조적 확인
논문이 도출하는 가장 핵심적인 발견은 인식 수준 향상이 행동 변화를 보장하지 않는다는 점이다. 이는 단순한 주장이 아니라 기존 연구의 반복적 확인 결과다.
| 발견 | 내용 | 의미 |
|---|---|---|
| 지식-행동 불일치 | 사람들은 인식 관련 질문에 올바른 답을 알면서도 실생활에서 그에 따라 행동하지 않는다 | 교육 이수 기록과 실제 보안 행동은 별개의 지표다 |
| 컴플라이언스-행동 분리 | 컴플라이언스 인식 프로그램이 원하는 행동을 만들어내지 않는다 | 규정 준수 형식을 갖추더라도 위험은 줄지 않을 수 있다 |
| 효과 측정 부재 | 대부분의 캠페인이 피싱 메일 클릭 수, 비인가 페이지 접속 수 등의 지표를 대규모로 측정하기 어렵다 | 캠페인 효과를 정량화하는 명확한 지표 설계가 선행되어야 한다 |
B. 공포 소구의 역효과 확인
논문은 보안 캠페인에서 가장 광범위하게 사용되는 전략인 공포 소구가 특정 조건에서 역효과를 낸다는 점을 EPPM을 통해 설명한다.
[ 공포 소구 역효과 발생 경로 ]
- 위협 메시지 수신 ( 해커 이미지, 위험 경고 )
>> ↓
- 위협 인식 높아짐
>> ↓
- 대처 효능감 낮음 ( 나는 어차피 막을 수 없다 )
>> ↓
[ 공포 통제 반응 ] - 위협 부정 ( 나는 해당 없다 ) - 방어적 회피 ( 생각하지 않으려 함 ) - 메시지 무시 또는 반발
실제 캠페인에서 확인된 패턴: 해커 이미지와 결합된 공포 메시지가 수신자에게 공포보다 우스꽝스럽게 느껴지거나, 자신과 무관한 이야기로 처리되는 현상이 반복 보고되었다.
C. 영국-아프리카 캠페인 비교 결과
| 비교 항목 | 영국 캠페인 | 아프리카 캠페인 |
|---|---|---|
| 문화 성향 | 개인주의 | 집단주의 |
| 메시지 초점 | 개인의 책임과 행동 (Get safe online) | 관계와 집단 보호 (Working together / Friends must protect friends) |
| 조절 초점 | 촉진 초점 ( 이득, 혜택 강조 ) | 예방 초점 ( 의무, 손실 회피 강조 ) |
| 문화 적합성 | 서구 개인주의 문화와 정합 | 아프리카 집단주의 문화와 정합 |
| 캠페인 수 | 다수, 분산적 | 소수, 통합적 |
핵심 관찰: 두 지역 모두 자국 문화적 특성을 캠페인 메시지에 반영하고 있었다. 다만 아프리카의 경우 캠페인 수가 적은 것이 자원 부족을 의미하는지, 아니면 더 집중된 전략을 의미하는지는 논문이 결론 내리지 않는다.
공통적 한계: 두 지역 캠페인 모두 전문가가 단방향으로 정보를 제공하는 방식에 머물렀으며, 사용자가 도움을 요청할 수 있는 채널(헬프라인 등)을 제공하지 않았다.
3. 캠페인 성공/실패 요인 분석
논문 Section 5에서 저자들이 도출한 실패 요인 6가지와 성공 조건 5가지를 이론과 연결하여 정리한다.
A. 캠페인 실패 요인
| 실패 요인 | 내용 | 연결 이론 |
|---|---|---|
| 보안 인식의 본질 오해 | 인식 캠페인을 단순 정보 전달로 인식 | NIST SP 800-16: 인식은 주의 집중이지 훈련이 아님 |
| 컴플라이언스와 행동 혼동 | 컴플라이언스 프로그램이 원하는 행동을 자동으로 만든다는 착각 | 지식-행동 불일치 연구 |
| 콘텐츠 부적합 | 흥미롭지 않고, 현재성 없고, 너무 일반적인 교육 자료 | MINDSPACE: Salience(관련성) 부재 |
| 인식을 독립 분야로 취급하지 않음 | 보안 인식 설계를 별도 전문성이 필요한 영역으로 보지 않음 | — |
| 효과 평가 부재 | 캠페인 이후 행동 변화를 측정하는 체계가 없음 | — |
| 단일 주제 반복 훈련 | 특정 위협 하나에만 집중하여 전체 보안 훈련 효과 미달 | — |
B. 캠페인 성공 조건
| 성공 조건 | 내용 | 컨설팅 적용 |
|---|---|---|
| 전문적 준비와 조직화 | 보안 인식은 즉흥적으로 설계할 수 없으며 전문적 기획이 필요하다 | SETA 프로그램 설계 단계에서 전문 기획 인력 또는 외부 자문 필요 |
| 공포 소구 자제 | 공포 유발은 효과적 전술이 아니며, 리스크를 감당할 여력이 없는 사람에게는 특히 역효과 | 경영진 보고 시 위협 강조보다 실행 가능한 대응 중심으로 프레이밍 |
| 실행 가능한 교육 설계 | 정보 제공을 넘어 목표 지향적, 실행 가능하고, 피드백을 포함해야 한다 | 교육 후 실습, 피드백 루프, 행동 변화 측정 체계 포함 |
| 지속적 피드백과 지원 | 행동 변화 의지가 생긴 후에도 변화 과정을 지속하는 지원이 필요하다 | 1회성 교육이 아닌 반복 접촉, 코칭 구조 설계 |
| 문화적 맥락 반영 | 대상 집단의 문화적 특성에 맞는 메시지 설계가 필요하다 | 조직 문화 진단 선행, 메시지 프레이밍 전략 차별화 |
4. 상세 분석
A. 보안-기능성-사용성 트라이앵글과 보안 피로의 관계
논문은 보안 피로를 단순한 심리적 현상으로 보지 않고 시스템 설계 실패의 결과로 해석한다. 보안-기능성-사용성 트라이앵글에서 보안 쪽으로 지나치게 치우친 설계는 사용자가 감당하기 어려운 요구사항을 만들어내고, 이것이 보안 피로로 이어진다.
관찰: 1999년 Whitten & Tygar의 연구에서 지적된 보안 인터페이스 설계 실패 문제가 이 논문이 작성된 시점까지 반복적으로 확인된다.
해석: 보안 행동 비준수 문제의 상당 부분은 개인의 의지 부족이 아니라 시스템과 정책 설계 실패에서 비롯된다. 책임을 사용자에게 전가하는 캠페인 전략은 구조적 문제를 가린다.
실무 시사점: 고객사의 보안 정책 준수율이 낮을 때, 첫 번째 진단 항목은 **정책의 실행 가능성(usability)**이어야 한다. 정책 자체가 현업 업무와 충돌하거나 지나치게 복잡하면 교육을 아무리 강화해도 준수율은 오르지 않는다.
B. 메시지 발신자(Messenger) 효과
MINDSPACE 프레임워크에서 Messenger 요인은 동일한 내용이라도 누가 전달하느냐에 따라 수용도가 달라진다는 점을 지적한다. 논문은 대부분의 공식 캠페인 사이트가 보안 전문가나 서비스 제공자 관점에서 단방향으로 정보를 제공하며, 이것이 사용자의 수용을 제한한다고 분석한다.
관찰: 보안 전문가가 제시하는 메시지(강한 패스워드를 사용하라)는 사용자에게 책임 전가로 받아들여지는 경향이 있다.
해석: 메시지의 신뢰성과 수용도는 발신자의 권위보다 발신자와 수신자 간의 관계, 맥락, 신뢰 수준에 의해 결정된다.
실무 시사점: 보안 인식 프로그램에서 경영진 또는 현업 리더가 직접 메시지를 전달하는 구조가 IT 보안 부서 단독 전달 구조보다 행동 변화 효과가 높을 수 있다. MINDSPACE의 Messenger 요인은 보안 문화 수립 자문 시 경영진 참여의 필요성을 설명하는 근거로 활용 가능하다.
5. 측정 문제 분석
논문은 효과 측정의 어려움을 캠페인 실패의 구조적 원인 중 하나로 지적한다.
| 측정 문제 | 내용 | 시사점 |
|---|---|---|
| 지식 측정과 행동 측정의 혼동 | 질문에 올바른 답을 하는 것이 실제 행동 변화를 의미하지 않는다 | 교육 이수율, 시험 점수 대신 행동 지표(피싱 시뮬레이션 클릭률 등) 측정 필요 |
| 대규모 측정의 기술적 한계 | 피싱 메일 클릭 수, 비인가 접속 수 등을 조직 전체 규모로 측정하기 어렵다 | 측정 가능한 행동 지표를 캠페인 설계 초기에 정의해야 한다 |
| 리스크 감소와 인식 수준의 인과 불명확 | 인식이 높아졌을 때 리스크가 실제로 감소했는지 인과를 입증하기 어렵다 | 캠페인 효과를 단기 지표가 아닌 장기 행동 추세로 평가해야 한다 |
6. 컨설팅 관점 인사이트
성공 사례:
문화적 적합성을 갖춘 캠페인이 효과적인 조건을 갖추는 사례로, 아프리카 캠페인은 집단주의 문화 특성을 메시지에 반영하여 수신자의 동기 구조(의무, 관계 보호)와 일치하는 프레이밍을 사용했다. 이는 조절초점이론의 예방 초점과 정합한다.
한계 사례:
영국과 아프리카 캠페인 모두 단방향 정보 제공 구조에서 벗어나지 못했다. 사용자가 질문하거나 도움을 요청할 수 있는 채널이 없다는 점은 행동 변화 지원 체계의 부재를 의미한다. 숙련도가 낮은 사용자에게는 이 구조적 한계가 특히 크게 작용한다.
고객 환경 적용 시 고려사항:
국내 기업 환경은 Hofstede 분류 기준으로 집단주의 성향이 강하고 권력 거리가 높다. 이는 두 가지 함의를 가진다. 첫째, 보안 메시지는 개인 이익보다 팀, 조직, 고객 보호를 강조하는 예방 초점 프레이밍이 더 효과적일 수 있다. 둘째, 경영진의 가시적 참여와 지지(Messenger 효과)가 임직원의 보안 행동에 미치는 영향이 서구 환경보다 크게 작용할 수 있다.
7. 개인 인사이트
인식과 행동의 간극이 이렇게 구조적인 문제였다는 점
단순히 교육을 많이 하면 보안이 좋아진다는 직관적 믿음이 왜 현실에서 반복적으로 실망으로 끝나는지, 이 논문은 심리학적 메커니즘으로 설명한다. 특히 EPPM이 설명하는 공포 통제 반응, 즉 위협을 부정하는 방식으로 대응하는 패턴은 실무에서 왜 위협 강조형 교육이 효과가 없는지를 설명하는 정확한 언어를 제공한다.
측정 문제가 모든 것의 출발점이라는 깨달음
캠페인 효과를 측정하지 않으면 무엇이 작동하고 무엇이 작동하지 않는지 알 수 없다. 그런데 대부분의 조직은 교육 이수율이라는 인풋 지표만 측정하고 행동 변화라는 아웃컴 지표를 측정하지 않는다. 컨설팅 진단 단계에서 고객사에 이 질문을 던지는 것 자체가 중요한 개입이 될 수 있다.
문화 맥락 반영이 선택이 아닌 설계 조건이라는 점
한국 기업 환경에서 서구형 보안 인식 캠페인 콘텐츠를 그대로 도입할 때 발생하는 효과 저하의 원인 중 하나가 바로 문화적 부적합성일 수 있다. 이 논문은 그 문제를 이론적으로 설명하는 틀을 제공한다.
Day 4 – Research Limitations and Scholarly Impact
(개념적 선구자가 남긴 것과 남기지 못한 것)
1. 연구의 한계점
A. 실증 데이터 부재
문제: 이 논문은 자체적인 실험, 설문, 인터뷰 데이터를 생성하지 않는다. 전체 논증이 기존 심리학 문헌의 검토와 두 지역 캠페인 사례의 정성적 비교에 의존한다.
영향: 제시된 실패 요인과 성공 조건이 얼마나 강력하게, 어떤 조건에서 작동하는지를 정량적으로 뒷받침하지 못한다. 결론이 규범적(normative) 수준에 머물며 인과적 설명력이 제한된다.
보완 방향: 후속 연구들이 이 논문이 제시한 프레임워크를 실증 연구의 출발점으로 활용하는 방식으로 한계를 보완했다. PMT, EPPM 기반 실험 연구, 피싱 시뮬레이션 기반 행동 측정 연구 등이 이 논문이 개념적으로 제기한 문제를 실증적으로 검증하는 흐름으로 이어졌다.
B. 사례 범위의 편향
문제: 영국과 아프리카 두 지역만을 비교 대상으로 삼았다. 저자들 스스로 논문 말미에 향후 북미와 아시아 캠페인으로 분석을 확장할 계획을 밝혔다.
영향: 동아시아, 특히 한국·일본·중국 등 집단주의와 높은 권력 거리가 결합된 문화권에서 캠페인 설계 시 어떤 차이가 나타나는지를 이 논문만으로는 알 수 없다. 국내 기업 환경에 적용할 때 별도의 문화 맥락 분석이 필요하다.
보완 방향: 이후 연구들이 아시아권, 중동권 등 다양한 문화권으로 보안 인식 캠페인 분석을 확장했다. 그러나 한국 기업 특화 보안 인식 연구는 여전히 상대적으로 부족한 상태다.
C. 효과 측정 지표의 미개발
문제: 논문은 행동 변화를 측정해야 한다는 필요성을 강조하지만, 구체적으로 어떤 지표로 무엇을 어떻게 측정해야 하는지에 대한 방법론을 제시하지 않는다.
영향: 실무 담당자 입장에서 이 논문을 읽고 나서도 실제 측정 체계를 어떻게 설계할지에 대한 답을 얻기 어렵다. 문제 진단은 명확하지만 처방의 구체성이 부족하다.
보완 방향: 이후 피싱 시뮬레이션 클릭률, 보안 사고 보고율, 반복 훈련 후 행동 변화 추세 등 측정 가능한 아웃컴 지표를 개발하는 연구들이 이 공백을 채웠다.
D. 조직 수준 분석의 부재
문제: 논문의 분석 단위가 주로 개인 심리 수준에 집중되어 있다. 조직 구조, 경영진 태도, 보안 예산 배분 등 조직 수준 변수가 캠페인 효과에 미치는 영향은 다루지 않는다.
영향: 동일한 캠페인이라도 경영진의 지원 수준, 조직 문화의 성숙도, 인사 정책과의 연계 여부에 따라 효과가 크게 달라진다는 점을 설명하지 못한다.
보완 방향: 이후 보안 문화 연구, 경영진 참여 효과 연구, 조직 수준 보안 성숙도 연구 등이 이 공백을 다루었다.
2. 후속 연구 동향
A. 인용 수와 영향력
학술적 임팩트: - 최초 발표 : 2014년 ( Oxford 기술보고서 ) - arXiv 등재 : 2019년 - 현재 인용 수 : Semantic Scholar 기준 354회, 고영향력 인용 31회 - preprint임에도 불구하고 보안 인식 분야 참고 문헌으로 광범위하게 인용됨
비교: 동료심사 저널 논문이 아닌 기술보고서 / preprint임을 감안하면, 354회 인용은 이 논문이 제기한 문제의식이 해당 분야에서 얼마나 공감을 얻었는지를 보여준다. 형식보다 내용의 적실성이 인용을 이끈 사례다.
B. 연구 트렌드의 변화
[ 이 논문 이전, -2014 ] 정보 제공 중심 - 보안 인식 = 올바른 행동에 대한 정보 전달 - 측정 = 교육 이수율, 지식 테스트 점수 - 방법 = 강의, 포스터, 이메일 공지 » ↓
[ 이 논문 시기, 2014-2018 ] 심리학적 접근 대두 - 보안 인식 = 행동 변화의 심리적 선행 조건 이해 - PMT, EPPM, 조절초점이론 등 적용 - 공포 소구의 역효과 비판 확산 » ↓
[ 이후, 2018-현재 ] 행동 개입 중심으로 전환 - 게임화 ( gamification ), 피싱 시뮬레이션, 넛지 ( nudge ) 기법 도입 - 행동 변화 아웃컴 지표 개발 ( 클릭률, 보고율 등 ) - Security Behaviour Curve 등 단계별 행동 형성 모델 등장 - AI 기반 개인화 훈련 연구 확대
C. 주요 후속 연구 흐름
행동 개입 기법의 실증 연구
| 연구 방향 | 핵심 내용 |
|---|---|
| 게임화 기반 보안 훈련 | 포인트, 리더보드, 시나리오 기반 게임을 통한 참여도 및 행동 변화 효과 측정 (2015년 이후 급증) |
| 피싱 시뮬레이션 | 실제 피싱 메일 발송 후 클릭 여부를 측정하는 행동 기반 훈련. 지식 테스트가 아닌 실제 행동을 지표로 사용 |
| 넛지 이론 적용 | 기본값 설정 변경, 사회적 규범 제시 등 선택 설계(choice architecture) 기법을 보안 인터페이스에 적용 |
Sasse의 후속 연구 (2022, ESORICS)
이 논문의 공저자인 Sasse가 2022년 발표한 후속 연구는 이 논문의 핵심 문제의식을 직접 계승한다. 보안 인식 교육이 수십억 달러 규모의 산업이 되었음에도 조직들이 의미 있는 효과 평가를 실시하지 않고 있다는 점을 재확인하며, Security Behaviour Curve 개념을 통해 인식에서 습관적 행동까지의 단계별 지원 구조를 제안했다. 조직이 단순히 임직원의 동기 부여에 그치지 않고 보안 행동을 실행 가능하고 반복 가능하게 만드는 환경을 조성해야 한다는 처방은 이 논문의 논지를 조직 설계 수준으로 확장한 것이다.
3. 실무 영향
A. 보안 인식 교육 산업에 미친 영향
이 논문 이전: 보안 인식 교육은 주로 연간 1회 집체 교육, 이메일 공지, 포스터 부착 방식으로 운영되었다. 효과 측정은 이수율 기록에 그쳤다.
이 논문 이후: 이 논문이 제기한 문제의식은 보안 인식 교육 설계 방식의 전환 논의를 촉진했다. 특히 두 가지 방향에서 실무 변화가 나타났다. 첫째, 피싱 시뮬레이션 플랫폼(KnowBe4, Proofpoint 등)이 지식 테스트 대신 실제 행동을 측정하는 도구로 주류화되었다. 둘째, 단일 주제 반복보다 역할별, 상황별 맞춤형 교육 콘텐츠 설계가 강조되기 시작했다.
B. 규제 및 표준에의 영향
NIST SP 800-50, ISO 27001 통제 항목(A.7.2.2 정보보안 인식, 교육 및 훈련), ISMS-P 인증 기준 모두 보안 인식 교육의 효과성 평가를 요구하지만 구체적 측정 방법은 지정하지 않는다. 이 논문이 제기한 효과 측정의 어려움과 지식-행동 불일치 문제는 규제 요건을 충족하는 방식이 실제 행동 변화와 동떨어질 수 있다는 실무적 긴장을 설명하는 이론적 근거로 기능한다.
4. 컨설팅 관점 인사이트
한계를 이해한 컨설팅 전략:
이 논문의 한계 중 가장 중요한 것은 측정 지표 미개발이다. 고객사에 보안 인식 프로그램 개선을 권고할 때, 이 논문의 프레임워크를 진단 근거로 사용하되 실제 측정 방법은 피싱 시뮬레이션, 보안 사고 보고율 추적, 반복 훈련 후 행동 추세 분석 등 후속 연구에서 발전된 방법론을 함께 제시해야 한다.
적용 가능 시나리오: - ISMS-P 인증 준비 과정에서 보안 교육 훈련 체계(관리적 통제)를 점검할 때, 현행 프로그램이 이수율 측정에만 집중하고 행동 변화 효과를 측정하지 않는다는 문제를 진단하는 근거로 활용 가능 - 경영진에게 보안 교육 예산 증액을 설득할 때, 단순 정보 전달 방식의 한계를 심리학적으로 설명하고 행동 개입 기반 접근으로의 전환을 제안하는 논거로 활용 가능 - 디지털 전환 과정에서 새로운 시스템 도입 시 보안 행동 설계를 시스템 설계 단계부터 포함해야 한다는 보안-기능성-사용성 균형 원칙의 근거로 활용 가능
적용 불가 시나리오: - 특정 보안 인식 캠페인의 효과를 수치로 입증해야 하는 상황. 이 논문은 측정 방법을 제시하지 않으므로 후속 연구의 실증 방법론이 필요하다 - 한국 기업 특화 문화 맥락 분석. 이 논문의 사례가 영국과 아프리카에 한정되므로 동아시아 맥락에서의 적용은 추가 문헌이 필요하다
5. 개인 인사이트
preprint의 영향력이 이 정도일 수 있다는 점
동료심사를 거친 저널 논문이 아님에도 354회 인용은 이 논문이 제기한 문제가 해당 분야에서 해결되지 않은 핵심 질문이었음을 보여준다. 형식적 권위보다 문제의 적실성이 학술적 영향력을 결정한다는 사례다. 컨설팅 현장에서도 마찬가지다. 완벽한 증거보다 정확한 문제 정의가 먼저다.
10년이 지나도 같은 문제가 반복된다는 점
Sasse의 2022년 후속 연구가 여전히 동일한 문제를 반복 확인하고 있다는 사실, 즉 조직들이 의미 있는 효과 평가를 하지 않는다는 점은 이 문제가 기술적 해결이 아닌 조직 문화와 관행의 문제임을 시사한다. 컨설팅에서 이 문제를 다룰 때 단기 솔루션보다 장기 문화 변화 관점이 필요하다.
다음 궁금증 (Day 5 Preview): 이 논문에서 배운 심리학적 행동 변화 프레임워크를 실제 보안 컨설팅 시나리오에 어떻게 적용할 것인지, 그리고 8편의 기존 논문 프레임워크와 어떻게 통합할 것인지를 Day 5에서 정리한다.
References
[1] Bada, M., Sasse, A. M., & Nurse, J. R. C. (2014/2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv preprint arXiv:1901.02672. Global Cyber Security Capacity Centre, University of Oxford.
[2] Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of Psychology, 91, 93–114.
[3] Higgins, E. T. (1998). Promotion and prevention: Regulatory focus as a motivational principle. Advances in Experimental Social Psychology, 30, 1–46.
[4] Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207.
[5] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523–548.
[6] Dolan, P., Hallsworth, M., Halpern, D., King, D., & Vlaev, I. (2010). MINDSPACE: Influencing behaviour through public policy. Institute for Government, Cabinet Office.
[7] Witte, K. (1994). Fear control and danger control: A test of the Extended Parallel Process Model (EPPM). Communication Monographs, 61, 113–134.
[8] Hofstede, G., Hofstede, J. G., & Minkov, M. (2010). Cultures and Organizations: Software of the Mind (3rd ed.). McGraw-Hill.
[9] Whitten, A., & Tygar, J. D. (1999). Why Johnny can’t encrypt: A usability evaluation of PGP 5.0. Proceedings of the 8th USENIX Security Symposium.
[10] Sasse, M. A., Hielscher, J., Friedauer, J., & Buckmann, A. (2023). Rebooting IT Security Awareness: How Organisations Can Encourage and Sustain Secure Behaviours. In Computer Security. ESORICS 2022 International Workshops. Lecture Notes in Computer Science, vol 13785. Springer.
[11] Mersinas, K., & Bada, M. (2024). Behavior Change Approaches for Cyber Security and the Need for Ethics. In Proceedings of the International Conference on Cybersecurity, Situational Awareness and Social Media. CYBER SCIENCE 2023. Springer.
Day 5 – Consulting Perspective and Key Takeaways
(인식과 행동의 간극을 컨설팅 개입점으로 전환하기)
1. 5일간 학습 여정 종합
A. 무엇을 배웠나
Day 1: 연구 배경과 문제의식
[ Day 1 요약 ] - 보안 인식 캠페인이 행동 변화로 이어지지 않는 현상이 반복된다 » ↓ - 지식 전달만으로는 행동 변화가 일어나지 않는다는 문제 제기 » ↓ - 인식 ( awareness )과 행동 ( behaviour )은 별개의 과정이며, 그 사이에는 동기, 능력, 문화적 맥락이 개입한다
Day 2: 이론적 분석 틀
[ Day 2 요약 ] - PMT, EPPM, 조절초점이론, MINDSPACE를 분석 도구로 활용 » ↓ - 행동 변화의 결정 요인을 개인적 / 사회환경적 / 문화적 세 층위로 구조화 » ↓ - 보안 교육 설계는 심리학적 행동 변화 원리를 반영해야 한다
Day 3: 이론의 사례 적용과 성패 요인 도출
[ Day 3 요약 ] - 영국 - 아프리카 캠페인 비교를 통해 문화적 적합성의 실질적 차이 확인 » ↓ - 공포 소구 역효과, 측정 체계 부재, 단방향 전달 구조의 한계 확인 » ↓ - 성공 조건 5가지 : 전문적 설계, 공포 자제, 실행 가능한 교육, 지속 피드백, 문화 맥락 반영
Day 4: 한계와 학술적 영향
[ Day 4 요약 ] - 실증 데이터 없음, 사례 범위 협소, 측정 지표 미개발, 조직 수준 분석 부재 » ↓ - 354회 인용, Sasse 본인의 2022년 후속 연구로 문제의식 계승 » ↓ - 10년이 지나도 같은 문제가 반복되는 것은 기술이 아닌 조직 관행의 문제임을 시사한다
Day 5 (지금): 컨설팅 관점 통합
지금까지 배운 심리학적 행동 변화 프레임워크를 보안 컨설팅 진단, 체계 수립, 경영진 자문 시나리오에 어떻게 구체적으로 적용할 것인가?
2. 논문에서 배운 핵심 원리 정리
A. 핵심 원리
원리 1: 지식은 행동의 필요조건이지 충분조건이 아니다
보안 교육이 지식을 전달하는 데 성공해도 행동 변화로 이어지지 않는 이유는, 행동 변화를 위해서는 지식 외에도 동기(하려는 의지), 능력(실행 가능한 방법), 지속적 지원(변화 과정 유지)이 모두 갖춰져야 하기 때문이다.
왜 작동하는가: 심리학적 행동 변화 이론들(PMT, 계획된 행동 이론 등)이 일관되게 확인한 원리다. 지식은 행동 의도에 영향을 미치지만, 의도에서 실제 행동으로의 전환에는 추가 조건이 필요하다.
왜 한계가 있는가: 이 원리는 개인 수준의 변수를 설명하지만, 조직 구조, 업무 부하, 시스템 설계 등 환경적 변수가 행동을 억제할 때는 개인 심리 개입만으로 효과가 제한된다.
원리 2: 공포는 효능감이 낮을 때 역효과를 낸다
EPPM이 설명하는 공포 통제 반응이 핵심이다. 위협 인식이 높더라도 대처 효능감(내가 이 위협을 막을 수 있다는 믿음)이 낮으면 보호 행동 대신 위협 부정, 방어적 회피, 메시지 무시로 이어진다.
왜 작동하는가: 공포 소구는 위협 인식을 높이는 데는 효과적이지만, 효능감을 함께 높이지 않으면 행동 변화 동기로 전환되지 않는다.
왜 한계가 있는가: 효능감을 높이기 위해 제시해야 하는 실행 가능한 대응 행동이 현실에서 너무 복잡하거나 시간이 많이 걸릴 경우, 이 전략도 한계에 부딪힌다.
원리 3: 메시지는 수신자의 문화적 맥락과 일치할 때 효과적이다
조절초점이론과 Hofstede의 문화 차원 이론이 결합되어 설명하는 원리다. 개인주의 문화권에서는 촉진 초점(이득, 혜택 강조) 메시지가, 집단주의 문화권에서는 예방 초점(의무, 손실 회피 강조) 메시지가 더 효과적이다.
B. 일반화 가능한 원칙
- 정책 준수율이 낮을 때 가장 먼저 확인할 것은 정책의 실행 가능성 ( usability )이다. 사람의 의지 부족이 아닌 설계 실패일 수 있다
- 어떤 개입이든 효과 측정 지표를 사전에 정의하지 않으면 성공 여부를 알 수 없다. 측정 설계는 개입 설계와 동시에 이루어져야 한다
- 임직원에게 책임을 전가하는 방식의 보안 교육은 장기적으로 보안 피로를 누적시켜 오히려 역효과를 낸다
3. 기업 환경에서의 적용 가능성 분석
A. 해결하는 비즈니스 문제
보안 측면: 내부자 부주의로 인한 보안 사고(피싱 클릭, 잘못된 첨부파일 전송, 비밀번호 공유 등) 감소. 기술적 통제만으로 방어할 수 없는 사람 요인(human factor) 기반 위협에 대응.
비즈니스 측면: 보안 교육 투자 대비 효과 개선. 형식적 이수 기록만 남는 교육 예산 낭비 방지.
규제 측면: ISMS-P 인증 기준 중 인적 보안(교육훈련 체계, 효과성 평가)에 해당하는 항목 대응. ISO 27001 A.7.2.2(정보보안 인식, 교육 및 훈련) 통제 이행의 실질적 근거 확보.
B. 적합한 기업 프로필
산업: 금융(전자금융감독규정의 보안 교육 의무), 의료(개인정보 처리 인력 대상 교육), 제조(내부자 위협 및 산업 스파이 대응), 공공기관(정보보안 교육 의무) 등 교육 의무가 법적으로 부과된 산업에서 우선적으로 적용 가능하다.
보안 성숙도: 이미 보안 교육을 실시하고 있으나 효과가 없다고 느끼는 중간 성숙도 조직에서 가장 큰 가치를 발휘한다. 교육 자체가 없는 초기 단계 조직에는 먼저 기본 체계 수립이 선행되어야 한다.
C. 도입 시 고려사항
비용: - 기존 교육 콘텐츠 재설계 비용 ( 콘텐츠 개발 또는 외부 구매 ) - 피싱 시뮬레이션 플랫폼 도입 시 연간 라이선스 비용 - 문화 진단 및 프로그램 효과 평가를 위한 측정 체계 구축 비용
시간: - 프로그램 재설계 및 파일럿 운영 : 3-6개월 - 행동 변화 효과가 측정 가능한 수준으로 나타나기까지 : 6-12개월 이상의 반복 운영 필요
4. 컨설팅 시나리오별 활용 방안
A. 보안 진단/점검
점검 항목 예시: - 교육 효과를 교육 이수율 외의 지표 ( 피싱 클릭률, 보안 사고 보고율 등 행동 지표 )로 측정하고 있는가 - 교육 콘텐츠가 직무별, 역할별로 맞춤화되어 있는가, 아니면 전 임직원에게 동일한 일반 콘텐츠를 제공하는가 - 공포 소구 ( 해킹 피해 사례, 위협 통계 ) 중심으로 구성되어 있으며, 실행 가능한 대응 행동이 함께 제시되고 있는가 - 교육 후 행동 유지를 위한 반복 접촉, 피드백, 후속 지원 체계가 있는가 - 경영진이 보안 인식 캠페인에 가시적으로 참여하고 있는가
B. 보안 체계 수립
적용 예시: - 신규 임직원 온보딩 프로세스 : 지식 전달 ( 1주차 ) » 행동 연습 ( 2-4주차 ) » 피드백 및 내재화 ( 2-3개월 ) 구조로 운영 - 보안 정책 개정 시 정책의 실행 가능성 검토를 의무화하여, 현업 업무 흐름과 충돌하는 정책이 보안 피로를 야기하지 않도록 설계 단계에서 조정
C. 기술 자문
질문 1: 매년 보안 교육을 실시하는데 왜 피싱 사고가 줄지 않는가?
현재의 교육이 지식 전달에는 성공하더라도 행동 변화가 보장되지 않는다. 교육이 행동 변화로 이어지려면 지식 외에도 실행 가능한 행동 지침 제시, 지속적 피드백, 반복 훈련이 함께 제공되어야 한다. 피싱 클릭률을 측정하고 있지 않다면 그것부터 시작해야 한다.
질문 2: 임직원들이 보안 교육을 귀찮아한다. 어떻게 해야 하는가?
보안 피로(security fatigue) 현상이다. 교육의 양을 줄이고 직무와 직접 관련된 내용으로 집중시켜야 한다. 사람을 바꾸려는 시도보다 행동하기 쉬운 환경을 만드는 것이 장기적으로 더 효과적이다.
질문 3: 경영진에게 보안 교육 예산 증액을 설득해야 한다. 어떤 논거를 써야 하는가?
현재 교육 방식의 비효율을 먼저 수치로 보여주는 것이 효과적이다. 연간 교육 이수율은 100%에 가깝지만 피싱 클릭률이나 보안 사고 건수가 개선되지 않는다면, 현재 예산이 형식적 이수 기록에만 쓰이고 있다는 근거가 된다. 손실 프레임으로 제시하면 설득력이 높아진다. 사람들은 이득보다 손실에 더 민감하게 반응한다는 심리학적 원리가 여기서도 적용된다.
5. 프레임워크/규제/표준과의 연계
A. ISMS-P / ISO 27001 관점
| 통제 항목 | 논문의 기여 | 적용 방법 |
|---|---|---|
| ISMS-P 2.2.4 보안 교육 및 훈련 | 교육 이수율만으로는 효과를 입증할 수 없다는 이론적 근거 제공 | 행동 지표(피싱 클릭률, 보안 사고 보고율) 기반 효과성 평가 체계를 인증 요건 충족 방식으로 제안 |
| ISMS-P 2.2.5 인적 보안 | 임직원의 보안 행동 형성이 정책 공지만으로는 달성되지 않는다는 근거 | 온보딩, 직무 변경, 위협 환경 변화 시점에 반복 접촉하는 행동 형성 프로그램 설계 |
| ISO 27001 A.7.2.2 정보보안 인식 교육 및 훈련 | 인식(awareness)과 행동(behaviour)의 차이를 명확히 하여 통제 목표 재정의 | 교육 목표를 인식 제고에서 행동 변화로 상향 설정하고 그에 맞는 평가 지표 설계 |
| ISO 27001 A.7.2.1 경영진의 책임 | Messenger 효과 이론: 경영진 참여가 메시지 수용도에 미치는 영향 | 보안 인식 캠페인에 경영진의 가시적 지지와 참여를 의무화하는 거버넌스 구조 설계 |
B. 보안 성숙도 모델
| 단계 | Before | After |
|---|---|---|
| Level 1 (초기) | 보안 교육 없음 또는 비정기 실시, 이수 기록 없음 | 기본 보안 인식 교육 체계 수립, 이수율 측정 시작 |
| Level 2 (관리) | 교육 이수율만 측정, 행동 변화 미확인, 단일 콘텐츠 전 직원 동일 적용 | 행동 지표(피싱 클릭률 등) 도입, 직무별 콘텐츠 차별화, 반복 훈련 구조 도입 |
| Level 3 (최적화) | 교육-행동-측정 체계가 연결되지 않음, 경영진 참여 없음 | 행동 변화 추세 기반 지속 개선, 경영진 참여 구조화, 조직 문화와 보안 교육 통합 |
6. 컨설턴트로서 얻은 인사이트
A. 고객 조언 역량
이 논문을 읽기 전: 고객사가 보안 교육을 실시하고 있다고 하면 그것으로 충분하다고 생각하거나, 교육 횟수나 이수율을 개선하라는 수준의 조언에 머물렀을 것이다.
이 논문을 읽은 후: 교육의 형식이 아니라 설계 원리를 진단할 수 있게 되었다. 이수율이 높아도 행동이 바뀌지 않는 이유를 심리학적 메커니즘으로 설명하고, 어떤 설계 요소가 빠져 있는지를 구체적으로 지적할 수 있다.
구체적 예시:
고객: 임직원 보안 교육을 매년 실시하고 있는데 ISMS-P 심사에서 효과성 입증이 어렵다는 지적을 받았습니다.
나: 지금 측정하고 계신 것이 이수율이라면, 그것은 교육을 받았다는 인풋 지표입니다. 심사에서 요구하는 효과성은 교육이 행동 변화에 기여했다는 아웃컴 지표입니다. 두 가지를 구분해야 합니다. 가장 빠르게 도입할 수 있는 아웃컴 지표는 피싱 시뮬레이션 클릭률입니다. 교육 전후 클릭률 변화를 비교하면 행동 변화 근거가 됩니다. 여기서 시작하고, 이후 직무별 맞춤 콘텐츠와 반복 훈련 구조를 단계적으로 추가하는 방향으로 가면 됩니다.
B. 보안 인식 솔루션 평가 기준
| 기준 | 설명 | 평가 방법 |
|---|---|---|
| 행동 측정 가능성 | 교육 이수율이 아닌 실제 행동 변화를 측정할 수 있는가 | 피싱 시뮬레이션, 보고율 추적 등 행동 지표 지원 여부 확인 |
| 콘텐츠 맞춤화 | 직무별, 역할별, 위협 프로파일별 콘텐츠 차별화가 가능한가 | 콘텐츠 라이브러리 범위 및 맞춤화 기능 확인 |
| 반복 훈련 구조 | 1회성 교육이 아닌 반복 접촉 및 피드백 루프를 지원하는가 | 캠페인 일정 관리, 반복 발송, 결과 피드백 기능 확인 |
| 경영진 보고 | 행동 변화 추세를 경영진에게 보고할 수 있는 형태로 제공하는가 | 대시보드 및 보고서 형태 확인 |
7. 5일간 리뷰 종합 표
| Day | 주제 | 핵심 학습 | 컨설팅 활용 |
|---|---|---|---|
| Day 1 | 연구 배경과 문제의식 | 인식과 행동은 별개이며, 지식 전달만으로 행동 변화가 일어나지 않는다 | 고객사 교육 체계 진단 시 인식-행동 간극을 첫 번째 확인 항목으로 설정 |
| Day 2 | 이론적 분석 틀 | PMT·EPPM·조절초점이론·MINDSPACE가 행동 변화 설계의 핵심 도구 | 보안 교육 설계 자문 시 이론 기반 설계 원칙 제시 근거로 활용 |
| Day 3 | 사례 분석과 성패 요인 | 공포 소구 역효과, 문화 적합성, 측정 체계 부재가 실패의 핵심 원인 | 진단 체크리스트 5개 항목(성공 조건)으로 현행 프로그램 점검 |
| Day 4 | 한계와 학술적 영향 | 실증 부재이나 354회 인용, 10년 후에도 동일 문제 반복 확인 | 이 논문의 한계를 인식하고 후속 실증 연구(피싱 시뮬레이션 등)와 함께 활용 |
| Day 5 | 컨설팅 관점 통합 | 진단-설계-측정-개선 순환 구조로 보안 인식 프로그램 자문 가능 | ISMS-P 심사 대응, 경영진 설득, 솔루션 평가 기준 제시 등 실무 적용 |
8. 최종 개인 인사이트
A. 이 논문이 나의 컨설팅 역량에 기여한 점
핵심 배움 1: 형식과 실질을 구분하는 진단 언어를 얻었다
보안 교육 이수율은 형식 지표다. 행동 변화는 실질 지표다. 이 두 가지를 구분하는 언어를 갖게 되면서, 고객사가 교육을 잘 하고 있다고 생각하지만 실제로는 형식만 충족하고 있는 상태를 진단하고 설명할 수 있게 되었다.
핵심 배움 2: 사람 문제가 아니라 설계 문제라는 시각
임직원이 보안 정책을 따르지 않을 때 흔히 나오는 반응은 교육이 부족하다거나 의식이 낮다는 것이다. 이 논문은 그 전에 먼저 정책과 시스템이 사람이 따르기 쉽게 설계되어 있는지를 확인하라고 한다.
핵심 배움 3: 심리학 이론이 컨설팅 논거가 된다
PMT, EPPM, 조절초점이론을 이해하면 왜 공포 강조형 교육이 역효과를 내는지, 왜 문화 맞춤형 메시지가 필요한지를 경영진에게 설명할 수 있다. 이론을 알면 경험이 없어도 논거를 만들 수 있다는 것을 이 논문에서 확인했다.
B. 9편의 논문을 읽고 나니
| 논문 | 핵심 아이디어 | 강점 | 약점 | 적용 시나리오 |
|---|---|---|---|---|
| Gashgari et al. (2017) | 보안 거버넌스 구조 설계 | 조직 수준 거버넌스 프레임워크 | 개인 행동 수준 설명 부족 | CISO 역할 정의, 거버넌스 체계 수립 자문 |
| Foorthuis & Bos (2011) | 컴플라이언스 전술 유형화 | 전술별 효과 조건 명확화 | 규제 맥락 의존도 높음 | 컴플라이언스 프로그램 설계 및 전술 선택 |
| Santos-Olmo et al. (2024) | 통합 리스크 분석 방법론 | 정량적 리스크 평가 체계 | 도입 복잡성 높음 | 리스크 평가 체계 수립 자문 |
| Bulgurcu et al. (2010) | 합리적 행동 이론 기반 정책 준수 | 개인 준수 의도의 결정 요인 실증 | 실제 행동과 의도의 간극 미설명 | 보안 정책 설계 및 준수 동기 분석 |
| Slapničar et al. (2022) | 감사 효과성 결정 요인 | 감사 설계-효과 연결 실증 | 내부 감사 맥락 한정 | 내부 감사 체계 설계 및 효과성 평가 |
| Ghadge et al. (2020) | 공급망 사이버 리스크 관리 | 공급망 전체 관점 | 공급망 가시성 확보 어려움 | 공급망 보안 리스크 진단 자문 |
| Gordon & Loeb (2002) | 보안 투자 최적화 모델 | 경제적 논거로 투자 정당화 | 모델 가정이 현실과 괴리 | 보안 투자 우선순위 결정 및 경영진 설득 |
| Da Veiga & Eloff (2010) | 보안 문화 프레임워크 | 조직 문화 수준의 보안 성숙도 | 측정 복잡성, 장기 소요 | 보안 문화 진단 및 개선 로드맵 수립 |
| Bada et al. (2014) | 인식-행동 간극의 심리학적 원인 | 교육 설계 실패 원인 명확화 | 실증 부재, 측정 방법 미제시 | 보안 교육 체계 진단 및 행동 개입 설계 |
통합적 이해: 9편을 통해 보안 컨설팅의 핵심 영역이 거버넌스(구조) » 리스크(분석) » 컴플라이언스(전술) » 투자(경제) » 문화(조직) » 행동(개인)으로 연결된 층위 구조임이 명확해졌다. Bada et al.은 이 구조의 가장 개인적인 층위, 즉 모든 보안 통제의 최종 실행자인 사람의 행동 메커니즘을 다룬다. 아무리 좋은 거버넌스, 리스크 분석, 투자 전략이 있어도 개인의 행동이 변화하지 않으면 그 모든 것이 형식에 머문다는 점에서, 이 논문은 앞선 8편 전체의 실행 층위를 담당한다.
C. 다음 학습 방향
우선순위 1: 보안 행동 측정 방법론 - Verizon DBIR 또는 피싱 시뮬레이션 효과성 관련 실증 연구 - 학습 목표 : 행동 변화 지표를 어떻게 설계하고 측정할지 실무 수준으로 습득
우선순위 2: 디지털 전환과 보안 거버넌스 연계 - 디지털 전환 맥락에서 보안 거버넌스가 어떻게 변화해야 하는지를 다룬 연구 - 학습 목표 : 클라우드, AI 도입 환경에서 보안 인식 및 행동 관리 전략 자문 역량 확보
우선순위 3: 한국 기업 보안 문화 특화 연구 - 국내 또는 동아시아 맥락의 보안 행동 및 문화 연구 - 학습 목표 : 국내 고객사 맥락에 최적화된 진단 및 자문 언어 개발
9. 최종 결론
A. Cyber Security Awareness Campaigns의 의의
학술적 의의: 보안 인식 문제를 기술적 문제가 아닌 심리학적 문제로 재정의하고, 행동 변화 이론을 보안 교육 설계에 체계적으로 적용한 초기 통합 검토 논문이다. preprint임에도 354회 인용은 이 논문이 제기한 문제의식이 해당 분야에서 얼마나 공감을 얻었는지를 보여준다.
실무적 의의: 보안 인식 교육 산업이 수십억 달러 규모로 성장하는 과정에서 지식 전달 방식의 한계를 명확히 지적하고, 피싱 시뮬레이션, 게임화, 넛지 기법 등 행동 개입 중심 접근으로의 전환을 촉진하는 이론적 근거를 제공했다.
나에게 주는 의의: 보안 교육 체계를 진단하고 개선 방향을 제시하는 자문 역량의 이론적 기반을 확보했다. 특히 형식 지표와 실질 지표를 구분하는 언어, 설계 실패를 개인 의지 문제로 귀결하지 않는 시각, 심리학 이론을 경영진 설득 논거로 전환하는 능력이 이 논문에서 비롯되었다.
B. 보안 컨설턴트로서의 다짐
[ Phase 1 ( 완료 ) : 논문 이해 ] - 거버넌스, 컴플라이언스, 리스크, 개인 행동, 감사, 공급망, 투자, 보안 문화, 보안 인식 및 행동 변화 9편 완료
[ Phase 2 ( 진행 중 ) : 연결 ] - 9편의 논문이 거버넌스 - 리스크 - 컴플라이언스 - 투자 - 문화 - 행동의 층위 구조로 연결됨을 확인 - 각 논문의 분석 단위 ( 조직 / 팀 / 개인 )와 시간 지평 ( 단기 / 장기 )의 차이 파악
[ Phase 3 ( 다음 ) : 적용 ] - 통합 컨설팅 제안서 구조 설계 - 실제 고객사 시나리오에 각 논문 프레임워크 매핑 연습
[ Phase 4 ( 목표 ) : 전문성 ] - 고객사 상황에 맞는 논문 기반 진단 - 권고 체계를 독립적으로 운용
References
[1] Bada, M., Sasse, A. M., & Nurse, J. R. C. (2014/2019). Cyber Security Awareness Campaigns: Why do they fail to change behaviour? arXiv preprint arXiv:1901.02672. Global Cyber Security Capacity Centre, University of Oxford.
[2] Rogers, R. W. (1975). A protection motivation theory of fear appeals and attitude change. Journal of Psychology, 91, 93–114.
[3] Higgins, E. T. (1998). Promotion and prevention: Regulatory focus as a motivational principle. Advances in Experimental Social Psychology, 30, 1–46.
[4] Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessment instrument for information security culture. Computers & Security, 29(2), 196–207.
[5] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523–548.
[6] Dolan, P., Hallsworth, M., Halpern, D., King, D., & Vlaev, I. (2010). MINDSPACE: Influencing behaviour through public policy. Institute for Government, Cabinet Office.
[7] Witte, K. (1994). Fear control and danger control: A test of the Extended Parallel Process Model (EPPM). Communication Monographs, 61, 113–134.
[8] Hofstede, G., Hofstede, J. G., & Minkov, M. (2010). Cultures and Organizations: Software of the Mind (3rd ed.). McGraw-Hill.
[9] Whitten, A., & Tygar, J. D. (1999). Why Johnny can’t encrypt: A usability evaluation of PGP 5.0. Proceedings of the 8th USENIX Security Symposium.
[10] Sasse, M. A., Hielscher, J., Friedauer, J., & Buckmann, A. (2023). Rebooting IT Security Awareness: How Organisations Can Encourage and Sustain Secure Behaviours. In Computer Security. ESORICS 2022 International Workshops. Lecture Notes in Computer Science, vol 13785. Springer.
[11] Mersinas, K., & Bada, M. (2024). Behavior Change Approaches for Cyber Security and the Need for Ethics. In Proceedings of the International Conference on Cybersecurity, Situational Awareness and Social Media. CYBER SCIENCE 2023. Springer.
Tags
보안컨설팅 / SecurityConsulting / SecurityAwareness / BehaviourChange / PersuasionTechniques / PMT / EPPM / MINDSPACE / RegulatoryFocusTheory / SecurityFatigue / CulturalCongruency / UsabilitySecurity / SecurityBehaviourCurve / PhishingSimulation / ConsultingPerspective / PaperReview / SKShieldusRookies