글로벌 사이버 보안 교육 기업 사이브레디(CybeReady)는 지난 5년간 엔터프라이즈 직원 교육을 통해 축적된 수백만 개의 데이터 포인트를 기반으로 한 연구 보고서를 발표했다. 이 보고서는 회사 내 직원들의 베테랑 직원들과 사이버 보안 위험 수준 사이에 직접적인 상관관계를 보여준다.

보고서에 따르면 신입 사원들이 베테랑 사원들에 비해 정기적으로 더 위험한 행동을 하는 경향을 보이는 것으로 나타났다.

새로운 연구 결과는 직원 학습 곡선의 중요성과 사이버 보안 위험에 미치는 영향을 강조한다. 이 데이터는 직원들을 위험 수준(낮음, 중간, 높은 위험)에 따라 세 개의 주요 클러스터로 분류하고 모든 직원이 지속적이고 정기적인 교육(직원 1인당 한 달에 한 번 이상의 짧은 교육)에 참여한다고 가정한다.

데이터에 따르면 조직에 입사한 첫 0~6개월 동안 리스크 기준선을 설정하기 위해 신입사원에게 기본 교육을 제공하는 경우가 많다. 초기 단계의 직원들은 6-12개월로 접어들면서 고급 교육 시뮬레이션에 노출되고 중간 수준의 위험을 노출한다. 그러나 12개월 후에는 중단점이 관찰되어 위험이 상당히 감소했음을 나타낸다.

이 연구는 신입 사원과 베테랑 사원의 행동이 극명하게 대조되는 것을 보여준다(그림 1). 평균적으로 신입 사원(회사에 입사한 지 6개월 미만)은 베테랑 사원에 비해 피싱 전자 메일을 클릭할 가능성이 두 배 이상 높아 사이버 위협에 대한 취약성이 증가하고 있다.

또한 이 연구에서는 피싱 시도 보고율을 조사하여 직원 위험 수준과 보고율 사이의 "반대 상관관계"를 확인한다. 저위험 직원은 중위험 직원보다 최대 50%, 또는 고위험 직원보다 최대 4배 이상 보고하는 경향이 있는 것으로 관찰되었다.

이는 교육이 안전한 습관을 길러주고 직원들이 피싱 전자 메일을 피할 수 있게 해줄 뿐만 아니라 이러한 위협을 보고하는 사전 예방적 접근 방식을 장려한다는 것을 의미한다. 이러한 행동 변화는 조직을 교육을 받지 않은 직원이 초래하는 잠재적인 결과로부터 보호하는 데 중요한 역할을 한다.

에이탄 포겔(Eitan Fogel) 사이브레디 CEO는 "우리의 데이터는 조직을 안전하게 유지하는 데 있어 직원들이 수행하는 중요한 역할과 관리 효율성 교육이 직원들의 행동을 어떻게 변화시킬 수 있는지를 보여준다."라며, "신규 직원의 증가된 취약성을 인식하고 다양한 수의 및 위험 수준의 단계에서 목표 교육을 제공해 조직은 사이버 위험을 완화하고 이에 따라 전체 보안 태세를 강화할 수 있다."고 말했다.