Information Systems Review (경영정보학연구)

The Korea Society of Management Information Systems (한국경영정보학회)
권호 표지
DOI QR코드

DOI QR Code

How Vulnerability Research Motives Influence the Intention to Use the Vulnerability Market?

취약점 연구동기가 취약점마켓 이용의도에 어떠한 영향을 미치는가?

  • 김형열 (주식회사 에이쓰리시큐리티) ;
  • 김태성 (충북대학교 경영정보학과)
  • Received : 2017.07.18
  • Accepted : 2017.09.27
  • Published : 2017.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

Vulnerability information, which can cause serious damage to information assets, has become a valuable commodity, thereby leading to the creation of a vulnerability market. Vulnerability information is traded on the vulnerability market from several hundred dollars to hundreds of thousands of dollars depending on its severity and importance, and the types and scope of the vulnerability markets are varying. Based on previous studies on vulnerability markets and hackers, this study empirically analyzed the effects of the security researcher's vulnerability research motivation on his/her vulnerability market use intention. The results are discussed as follows. First, vulnerability research self-efficacy had a significant effect on flow and on white and black market use intention but not on perceived benefit. Second, flow had a significant effect on perceived benefit and on black market use intention but had no effect on white market use intention. Third, perceived profit had a significant effect on white and black market use intention. Fourth, vulnerability research self-efficacy had a significant effect on perceived benefit through flow. Fifth, flow had a significant effect on white and black market use intention through perceived profit. These findings can be used to predict the behavior of security researchers who have experience in exploiting vulnerabilities.

정보자산에 심각한 피해를 입힐 수 있는 보안 취약점 정보는 상품으로서 가치를 갖게 되었으며 취약점마켓이 형성되었다. 이러한 보안 취약점 정보는 심각성과 중요도에 따라 취약점마켓에서 수백 달러부터 수십만 달러로 거래되고 있으며 종류와 범위는 다양해지고 있다. 본 연구는 취약점마켓과 해커에 관한 선행연구를 토대로 보안 연구자의 취약점 연구동기와 취약점마켓 이용의도에 영향을 미치는 요인에 대한 실증 분석을 실시하였다. 연구결과는 다음과 같다. 첫째, 취약점 연구 자기효능감은 몰입, 화이트마켓 이용의도, 블랙마켓 이용의도에 유의한 영향을 미치고 인지된 이익에는 유의한 영향을 미치지 않았다. 둘째, 몰입은 인지된 이익과 블랙마켓 이용의도에 유의한 영향을 미쳤으나 화이트마켓 이용의도에는 유의한 영향을 미치지 않았다. 셋째, 인지된 이익은 화이트마켓 이용의도와 블랙마켓 이용의도에 모두 유의한 영향을 미쳤다. 넷째, 취약점 연구 자기효능감은 몰입을 매개로 인지된 이익에 유의한 영향을 미쳤다. 다섯째, 몰입은 인지된 이익을 매개로 화이트마켓 이용의도와 블랙마켓 이용의도에 모두 유의한 영향을 미쳤다. 본 연구는 취약점 연구경험이 있는 보안 연구자의 행동 예측에 활용될 수 있을 것이다.

Keywords

Acknowledgement

본 연구는 과학기술정보통신부 및 한국인터넷진흥원의 "고용계약형 정보보호 석사과정 지원사업"의 연구결과로 수행되었음(과제번호 H2101-16-1001). 이 논문은 2015년 대한민국 교육부와 한국연구재단의 지원을 받아 수행된 연구임(NRF-2015S1A5A2A01009763).

References

  1. 김기병, 봉미희, 서원석, "자기효능감이 관광몰입과 관광 만족에 미치는 영향", 관광․레저 연구, 제27권, 제2호, 2015, pp. 365-386. 
  2. 김민정, 유진호, "S/W 취약점으로 인한 손실비용 추정", 한국전자거래학회지, 제19권, 제44호, 2014, pp. 31-43.  https://doi.org/10.7838/jsebs.2014.19.4.031
  3. 김용일, 양현교, "정보시스템 수용자의 컴퓨터 자기효능감, 정보시스템 품질, 수용태도와 업무성과 간의 구조적 관계에 관한 연구", 관광연구, 제27권, 제2호, 2012, pp. 75-93. 
  4. 미하이 칙센트미하이, 몰입의 경영, (주)황금가지, 서울, 2006. 
  5. 박상호, "인터넷 이용동기가 인터넷 자기효능감, 인터넷 몰입과 인터넷 중독에 미치는 영향에 관한 연구", 정치커뮤니케이션 연구, 제22호, 2011, pp. 37-80. 
  6. 박신영, "스마트폰 사용자의 이용 동기와 이용정도에 따른 플로우 경험", 방송통신연구, 제81호, 2013, pp. 97-126.  https://doi.org/10.22876/KJBTR.2013.81.004
  7. 박찬현, 송인욱, 김민지, 장은희, 허준, 김현택, "해커들의 심리변인에 기반한 탈선적 해킹활동 및 해킹타입 예측 모델", 한국통신학회논문지, 제41권, 제4호, 2016, pp. 489-498.  https://doi.org/10.7840/kics.2016.41.4.489
  8. 배현숙, "항공사 객실승무원의 개인특성이 팀웍 및 팀만족, 조직몰입에 미치는 영향", 관광레저연구, 제27권, 제12호, 2015, pp. 355-374. 
  9. 성행남, 신재익, "모바일 학습에서 자기효능감이 행동의도에 미치는 영향에 관한 연구: 촉진조건의 조절효과를 중심으로", 인터넷전자상거래연구, 제15권, 제4호, 2015, pp. 349-364. 
  10. 우종필, 구조방정식모델 오해와 편견, 한나래 출판사, 서울, 2014. 
  11. 우형진, "해커의 심리변인이 해킹행위에 미치는 영향에 관한 연구", 한국언론학보, 제48권, 제3호, 2004, pp. 90-115. 
  12. 이현지, 정동훈, "스마트폰 게임센서에 따른 상호작용성과 플로우, 태도 그리고 이용의도에 관한 연구", 한국방송학보, 제26권, 제1호, 2012, pp. 126-166. 
  13. 장재영, 김범수, "동기적, 사회적, 그리고 환경적 요인이 해커의 기술 습득에 미치는 영향", Information Systems Review, 제18권, 제1호, 2016, pp. 57-78.  https://doi.org/10.14329/isr.2016.18.1.057
  14. 진경미, 장순자, "계획된 행동과 Flow 경험에 따른 항공사 모바일 앱 이용의도 연구", 관광연구, 제31권, 제4호, 2016, pp. 325-344.  https://doi.org/10.21719/KJTR.31.4.16
  15. 한국인터넷진흥원, "S/W신규 취약점", 2016, Available at https://www.krcert.or.kr/consult/software/vulnerability.do?orgSiteUrl=http://www.krcert.or.kr. 
  16. 허지현, "온라인 여행커뮤니티 이용동기와 플로우(flow) 경험 및 지속적 이용의도에 관한 연구", 관광연구, 제28권, 제2호, 2013, pp. 161-181. 
  17. A3Security, 크래커 잡는 명탐정 해커, 성안당, 파주, 2010. 
  18. Ablon, L., M. C. Libicki, and A. A. Golay, Markets for Cybercrime Tools and Stolen Data: Hackers' Bazaar, Rand Corporation, Santa Monica, CA, 2014. 
  19. Algarni, A. and Y. Malaiya, "Most successful vulnerability discoverers: Motivation and methods", In Proceedings of the International Conference on Security and Management (SAM), 2013, pp. 1-7. 
  20. Algarni, A. and Y. Malaiya, "Software vulnerability markets: Discoverers and buyers", International Journal of Computer, Information Science and Engineering, Vol.8, No.3, 2014, pp. 71-81. 
  21. Andy, G., "Shopping For Zero-Days: A Price List For Hackers' Secret Software Exploits", 2012, Available at http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/#1d95627b6033. 
  22. Arora, A., R. Krishnan, R. Telang, and Y. Yang, "An empirical analysis of software vendors' patch release behavior: Impact of vulnerability disclosure", Information Systems Research, Vol.21, No.1, 2010, pp. 115-132.  https://doi.org/10.1287/isre.1080.0226
  23. Bambauer, D. E. and O. Day, "Hacker's aegis, the," Emory Law Journal, Vol.60, No.5, 2011, pp. 1051-1107. 
  24. Bandura, A., "Self-efficacy mechanism in human agency", American Psychologist, Vol.37, No.2, 1982, pp. 122-147.  https://doi.org/10.1037/0003-066X.37.2.122
  25. Bandura, A., "Self-regulation of motivation through anticipatory and self-reactive mechanisms", In Perspectives on Motivation: Nebraska Symposium on Motivation, Vol.38, 1991, pp. 69-164. 
  26. Barclay, D., C. Higgins, and R. Thompson, "The partial least squares (PLS) approach to causal modeling: Personal computer adoption and use as an illustration", Technology Studies, Vol.2, No.2, 1995, pp. 285-309. 
  27. Beebe, N. L. and J. Guynes, "A model for predicting hacker behavior," AMCIS 2006 Proceedings, 2006, pp. 3394-3404. 
  28. Beveren, J. V., "A conceptual model for hacker development and motivations", Journal of E-Business, Vol.1, No.2, 2001, pp. 1-9. 
  29. Bohme, R., "Vulnerability markets: What is the economic value of a zero-day exploit?", Proc. of 22C3: Private Investigations, Berlin, 2005. 
  30. Campbell, K., L. A. Gordon, M. P. Loeb, and L. Zhou, "The economic cost of publicly announced information security breaches: Empirical evidence from the stock market", Journal of Computer Security, Vol.11, No.3, 2003, pp. 431-448.  https://doi.org/10.3233/JCS-2003-11308
  31. Chan, S. H. and L. J. Yao, "An empirical investigation of hacking behavior", Review of Business Information Systems (RBIS), Vol.9, No.4, 2011, pp. 41-58.  https://doi.org/10.19030/rbis.v9i4.4443
  32. Chau, P. Y. and P. J. H. Hu, "Information technology acceptance by individual professionals: A model comparison approach", Decision Sciences, Vol.32, No.4, 2001, pp. 699-719.  https://doi.org/10.1111/j.1540-5915.2001.tb00978.x
  33. Chin, W. W. and A. Gopal, "Adoption intention in GSS: Relative importance of beliefs", ACM SIGMIS Database, Vol.26, No.2-3, 1995, pp. 42-64.  https://doi.org/10.1145/217278.217285
  34. Chin, W. W., "The partial least squares approach to structural equation modeling", Modern Methods for Business Research, Vol.295, No.2, 1988, pp. 295-336. 
  35. Cohen, J. O., Statistical Power Analysis for the Behavioral Sciences, Lawrence Erlbaum, Hillsdale, NY, 1988. 
  36. Compeau, D. R. and C. A. Higgins, "Computer self-efficacy: Development of a measure and initial test", MIS Quarterly, Vol.19, No.2, 1995, pp. 189-211.  https://doi.org/10.2307/249688
  37. Csikszentmihalyi, M., Beyond Boredom and Anxiety: The Experience of Play in Work and Game, Jossey-Bass, San Francisco, CA, 2000. 
  38. Egelman, S., C. Herley, and P. C. Van Oorschot, "Markets for zero-day exploits: Ethics and implications", In Proceedings of the 2013 Workshop on New Security Paradigms Workshop, ACM, 2013, pp. 41-46. 
  39. Falk R. F. and N. B. Miller, A Primer for Soft Modeling, University of Akron Press, Ohio, OH, 1992. 
  40. Fidler, M., Anarchy or Regulation: Controlling The Global Trade in Zero-Day Vulnerabilities (Doctoral dissertation), Stanford University, 2014. 
  41. Finifter, M., D. Akhawe, and D. Wagner, "An empirical study of vulnerability rewards programs", In Presented as Part of the 22nd USENIX Security Symposium, 2013, pp. 273-288. 
  42. Fitch, C., "Crime and punishment: the psychology of hacking in the new millennium", Global Information Assurance Certification Paper, GSEC Practical Requirements 1, 2004. 
  43. Fornell, C. and D. Larcker, "Evaluating structural equation models with unobservable variables and measurement error", Journal of Marketing Research, Vol.18, No.1, 1981, pp. 39-50.  https://doi.org/10.1177/002224378101800104
  44. Gefen, D., E. Karahanna, and D. W. Straub, "Trust and TAM in online shopping: An integrated model", MIS Quarterly, Vol.27, No.1, 2003, pp. 51-90.  https://doi.org/10.2307/30036519
  45. Giboney, J. S., J. G. Proudfoot, S. Goel, and J. S. Valacich, "The security expertise assessment measure(SEAM): Developing a scale for hacker expertise", Computers and Security, Vol.60, 2016, pp. 37-51.  https://doi.org/10.1016/j.cose.2016.04.001
  46. Ha, I., Y. Yoon, and M. Choi, "Determinants of adoption of mobile games under mobile broadband wireless access environment", Information and Management, Vol.44, No.3, 2007, pp. 276-286.  https://doi.org/10.1016/j.im.2007.01.001
  47. Hair Jr, J. F., G. T. M. Hult, C. Ringle, and M. Sarstedt, PLS 구조모델의 이해-Basic-, 피엔 씨미디어, 고양, 2016. 
  48. Hewlett Packard Enterprise, "The Vulnerability Market Decoded", 2014, Available at https://www.hpe.com/h20195/v2/GetPDF.aspx/4AA6-4175ENW.pdf. 
  49. Hsu, C. L. and H. P. Lu, "Why do people play on-line games? An extended tam with social influences and flow experience", Information and Management, Vol.41, No.7, 2004, pp. 853-868. https://doi.org/10.1016/j.im.2003.08.014
  50. Kesan, J. P. and C. M. Hayes, "Bugs in the market: Creating a legitimate, transparent, and vendor-focused market for software vulnerabilities", Arizona Law Review, Vol.58, No.16-18, 2016, pp. 753-830. https://doi.org/10.2139/ssrn.2739894
  51. Lent, R. W., S. D. Brown, and K. C. Larkin, "Relation of self-efficacy expectations to academic achievement and persistence," Journal of Counseling Psychology, Vol.31, No.3, 1984, pp. 356-362.  https://doi.org/10.1037/0022-0167.31.3.356
  52. Locke, E. A. and G. P. Latham, A Theory of Goal Setting and Task Performance, Prentice Hall, Eaglewood Cliffs, NJ, 1990. 
  53. Mitchell, R. J., "Path Analysis," in S. M. Scheiner and J. Gurevitch (eds.) Design and Analysis of Ecological Experiments, Oxford University Press, Oxford, 2001, 217-234. 
  54. Nizovtsev, D. and M. Thursby, "Economic analysis of incentives to disclose software vulnerabilities," In WEIS, 2005, pp. 1-32. 
  55. Novak, T. P., D. L. Hoffman, and A. Duhachek, "The influence of goal-directed and experiential activities on online flow experiences", Journal of Consumer Psychology, Vol.13, No.1, 2003, pp. 3-16.  https://doi.org/10.1207/153276603768344744
  56. Nunnally, J. C., Psychometric Theory, McGrow-Hill, New York, NY, 1987. 
  57. Owen, K., Motivation and Demotivation of Hackers in the Selection of a Hacking Task: A Contextual Approach (Doctoral dissertation), McMaster University, 2016. 
  58. Stevens, J. P., Applied Multivariate Statistics for the Social Sciences, Routledge, New York, NY, 2012. 
  59. Telang, R. and W. Sunil, "Impact of Software Vulnerability Announcements on the Market Value of Software Vendors-an Empirical Investigation", 2005, Available at https://papers.ssrn.com/sol3/papers.cfm?abstract_id=677427. 
  60. Tenenhaus, M., V. E. Vinzi, Y. M. Chatelin, and C. Lauro, "PLS path modeling", Computational Statistics and Data Analysis, Vol.48, No.1, 2005, pp. 159-205.  https://doi.org/10.1016/j.csda.2004.03.005
  61. Venkatesh, V., M. G. Morris, G. B. Davis, and F. D. Davis, "User acceptance of information technology: Toward a unified view", MIS Quarterly, Vol.27, No.3, 2003, pp. 425-478.  https://doi.org/10.2307/30036540
  62. Voiskounsky, A. E. and O. V. Smyslova, "Flow-based model of computer hackers' motivation", Cyber Psychology and Behavior, Vol.6, No.2, 2003, pp. 171-180.  https://doi.org/10.1089/109493103321640365
  63. Wetzels, M., G. Odekerken-Schroder, and C. Van Oppen, "Using PLS path modeling for assessing hierarchical construct models: Guidelines and empirical illustration", MIS Quarterly, Vol.33, No.1, 2009, pp. 177-195.  https://doi.org/10.2307/20650284
  64. Young, R., L. Zhang, and V. R. Prybutok, "Hacking into the minds of hackers", Information Systems Management, Vol.24, No.4, 2007, pp. 281-287.  https://doi.org/10.1080/10580530701585823
  65. Zhao, M., J. Grossklags, and K. Chen, "An exploratory study of white hat behaviors in a web vulnerability disclosure program", In Proceedings of the 2014 ACM Workshop on Security Information Workers, ACM, 2014, pp. 51-58.