"스팸메일 클릭 마세요" 교육해도 세 달이면 잊고 또 클릭

보안 교육해도 3개월이면 무효화
열람 직전 경고창 띄우기 효과 커

스팸메일을 잘못 클릭했다간 바이러스 감염 또는 랜섬웨어, 스파이웨어 등에 의한 해킹 위험에까지 노출된다. 보안이 특히 중시되는 기업에서 조직원에게 스팸 메일 열람 방지를 수시로 경고하고 교육하는 이유다.

그러나 정작 이러한 교육에도 스팸 열람 방지효과는 3개월이면 무용지물이 되는 것으로 조사됐다. 3개월까지는 스스로 스팸을 걸러내지만, 그 이후에는 다시 클릭하는 경향이 나타난 것이다.

연세대학교 바른ICT연구소는 최근 발간한 '보안교육 및 보안서비스가 스팸 이메일 열람률을 낮출 수 있는가'라는 보고서에서 이 같은 연구결과를 소개했다.

연구소는 보안교육이나 보안서비스 제공이 조직구성원의 보안정책 준수 행동에 어떤 영향을 미치는지를 조사했다.

국내 대기업 임직원을 대상으로 스펨 이메일 대응 교육을 실시한 후 이들의 실제 스팸 이메일 열람 여부를 측정했다. 3개월이 지난 후에도 교육 효과가 지속되는지도 살폈다.

또한 보안서비스 효과를 알아보기 위해 보안경고 알림 메시지를 제공한 후 스팸 이메일 열람 여부도 측정했다.

그 결과, 보안교육을 받은 집단은 교육을 받지 않은 집단에 비해 스팸 이메일 열람률이 훨씬 낮은 것으로 조사됐다. 그러나 유효기간은 딱 3개월까지였다. 그 이후에는 집단 간 차이가 사라졌다. 교육 유무와 무관하게 스팸 이메일을 열어보곤 한다는 것이다.

김보라 바른ICT연구소 연구교수는 "보안교육이 단기적으로는 효과가 있으나 시간이 지날수록 효과가 사라지는 것을 확인했다"면서 "기업에서는 보안교육 기간과 시행 횟수 등을 결정할 때 이 부분을 고려해 (교육)프로그램을 설계해야 할 것으로 보인다"고 말했다.

한편 스팸 열람을 예방하기 위한 효과적인 수단은 실시간 위험 경고 메시지였다. 수상한 이메일을 열기 전 화면에 나타나는 보안 위험 경고 메시지는 스팸 이메일의 열람률을 낮추는데 매우 효과적인 것으로 나타났다.

김 교수는 "(경고 메시지와 같이) 보안교육을 보완하는 여러 형태의 기술적 서비스가 지원된다면 교육 효과를 배가시킬 수 있을 것으로 기대된다"고 말했다.

김동표 기자 letmein@asiae.co.kr