forage : Mastercard Cybersecurity Job Simulation
아젠다
- 피싱 인식이 낮은 부서를 식별하고, 부서별 맞춤형 교육 계획 설계
- 교육 자료를 기반으로 짧은 보안 인식 프레젠테이션 제작 및 발표
- 실제 피싱 이메일을 분석하여 더 정교하고 설득력 있게 수정
- 수정된 이메일을 통해 피싱 위험성과 대응 방법을 시뮬레이션
피싱 이메일에 대한 평가 퀴즈 진행 및 사내 보안 평가를 위한 피싱메일 제작
From: payroll-notices@maastercard.com
To: j.doe@mastercard.com
Subject: [Action Required] Year-End Tax Review Incomplete — Payroll Processing Affected
Dear John Doe,
As part of our 2024 year-end tax reconciliation process, we’ve identified missing information in your tax declaration form. Your account has been flagged as incomplete in our internal system.
Please review and sign the necessary documents by Tuesday, May 21st, 2025, 11:59 PM KST to avoid interruption in your payroll processing.
[Review and Sign Documents](https://mastercard-payroll-review.com/secure-docs)
Failure to act by the deadline may result in:
- A **200% penalty** based on National Tax Regulation (NTS Section 113-2)
- Temporary **freeze of payroll disbursement**
This is an automated notification. For inquiries, please contact Human Resources at
📧 hr-support@maastercard.com
Thank you,
Mastercard Global Payroll Team
보안 인식 제고 및 교육 자료 제작
다만 여기서 더 추가 하면 좋을 것 으로 생각 되는 것 은
1. 대상별 맞춤형 메시지
현재 슬라이드 내용이 전사 공통 설명 수준이라, 부서별 위험도 또는 최근 발생 사례를 반영하면 몰입도가 높아질 것으로 생각
예: “최근 ○○팀에서 실제로 발견된 피싱메일 사례” 스크린샷을 블러 처리 후 삽입.
2. 시각적 차별화
현재 텍스트 비중이 높아 가독성이 떨어질 수 있다는 생각함
“체크리스트”는 아이콘/심볼 추가
“하지 말아야 할 것”과 “해야 할 것”을 컬러로 구분
3. 행동 중심 메시지 강화
“Think before you click” 같이 추상적인 표현 대신 구체적 행동을 바로 안내
예: “링크 클릭 전 3초간 마우스를 올려 URL 확인”
“발신 도메인 끝까지 확인 (‘.com’ vs ‘.co.kr’)”
4. 실습형 요소 포함
단순 읽기보다 실제 예시 vs 가짜 예시 비교 퀴즈 슬라이드 추가
예: 이메일 스크린샷 2개 중 피싱메일을 고르게 하고, 정답과 해설 제공
사내 LMS(학습관리시스템)나 구글폼 퀴즈와 연동해 참여 기록 남기기
5. 최신 공격 트렌드 반영
단순 이메일뿐 아니라 QR코드 피싱(QRishing) MFA 우회 피싱
메신저/Slack 사칭등을 간단히 소개하면 현실성이 높아짐.
6. 보고 절차 명확화
“Report suspicious emails” 부분에서
사내 신고 버튼 위치 스크린샷
보안팀 이메일 주소/전화번호
등을 바로 넣어 행동 경로를 구체화.
추후 이것들을 보완해 다시 제작을 해서 업로드 할 예정 이다.
