피싱 연구의 사용자 관점: 체계적 문헌 고찰을 통한 인사이트

초록

본 논문은 ACM 디지털 라이브러리에서 발표된 피싱 관련 논문 367편을 대상으로 체계적 문헌 고찰을 수행하여, 사용자 중심 연구가 전체의 13.9%에 불과함을 밝혀냈다. 특히, 사용자 연구에서 참여자 수, 모집 방법, 실험 설계 등 핵심 메타데이터 보고가 부족하고, 일부 연구는 모집 편향(recruitment bias) 문제를 내포하고 있다. 이러한 현황은 향후 피싱 방어 메커니즘 설계에 사용자 행동 이해가 충분히 반영되지 못하고 있음을 시사한다.

상세 분석

본 연구는 PRISMA‑ 기반의 체계적 문헌 고찰 절차를 적용해 ACM 디지털 라이브러리에서 “phishing” 키워드와 피어‑리뷰 논문을 검색하였다. 초기 검색 결과 1,024편이었으나, 제목·초록·전체 텍스트 검토를 거쳐 최종 367편이 포함되었다. 이 중 사용자 중심 연구는 인터뷰, 설문, 실험실 테스트 등 인간‑중심 방법론을 사용한 논문으로 정의했으며, 총 51편(13.9%)에 해당한다.

첫 번째 주요 발견은 사용자 연구 비중이 전체에 비해 현저히 낮다는 점이다. 2004년 초창기 논문부터 최근까지 연도별 추이를 살펴보면, 사용자 연구는 2010년대 초반부터 서서히 증가했지만, 여전히 전체의 1/7 수준에 머물러 있다. 두 번째로, 메타데이터 보고의 불완전성이 두드러진다. 참여자 수, 연령·성별·교육 수준 등 인구통계학적 특성이 명시되지 않은 논문이 38%에 달했으며, 실험 설계(예: 피싱 이메일의 유형, 시나리오 복잡도)와 통계 분석 방법에 대한 상세 기술도 부족했다.

세 번째는 모집 편향이다. 대학생 표본을 주로 활용한 연구가 전체의 45%를 차지했으며, 이는 실제 기업·공공기관 사용자를 대변하지 못한다는 비판을 받는다. 또한, 온라인 크라우드소싱 플랫폼(예: Amazon Mechanical Turk)을 이용한 경우, 참여자의 사전 지식 수준과 동기 부여가 통제되지 않아 결과의 일반화 가능성을 저해한다.

네 번째로, 연구 목적과 결과의 연결성이 약하다. 많은 논문이 피싱 인식률이나 클릭 행동을 측정했지만, 왜 그러한 행동이 발생했는지에 대한 심층적인 심리·사회적 요인 분석이 부족했다. 이는 설계된 교육 프로그램이나 방어 도구가 실제 사용자의 인지적·감정적 특성을 반영하지 못하게 만든다.

마지막으로, 연구 윤리와 데이터 공유에 대한 언급이 거의 없으며, 재현성을 확보하기 위한 원시 데이터 공개가 거의 이루어지지 않았다. 이러한 문제들은 학문적 신뢰성을 저해하고, 실무 적용에 한계를 만든다.

종합적으로, 본 논문은 사용자 중심 피싱 연구가 아직 초기 단계이며, 연구 설계·보고·표본 선정·재현성 측면에서 개선이 시급함을 강조한다. 향후 연구는 다변량 설계, 실제 조직 환경에서의 현장 실험, 그리고 투명한 메타데이터 보고를 통해 사용자 행동에 기반한 효과적인 방어 전략을 도출해야 한다.