정보보호 아키텍처 구성과 보안활동이 정보자산보호 및 조직성과에 미치는 영향 The Effect of Composition and Security Activities for Information Security Architecture on Information Asset Protection and Organizational Performance원문보기
본 연구는 정보보호 아키텍처 구성과 보안활동이 정보자산보호 및 조직성과에 미치는 영향력을 밝히는데 목적을 갖고 정부, 공공기관, 민간 기업 종사자 300명을 대상으로 설문조사 하였다. 연구결과 분류식별과 위험분석 관리요인이 내부정보 유출방지를 위한 정보보호 아키텍처 구성 및 보안활동에 유용성을 갖는 것으로 나타났다. 그리고 정보기술 아키텍처와 구성원의 인식과 교육요인은 기각됨으로써 제한적인 정보보호 아키텍처 구성 및 보안활동이 요구됨을 시사해 주었다. 독립변인으로서의 아키텍처와 구성원에 대한 재인식을 위한 교육은 그 만큼 중요함을 인식시켜 주고, 일반화된 프로세스로 정보보호 통제나 관리 활동에 크게 기여하지 못하고 다만 위험분류 식별관리와 위험분석 관리의 일반화를 통한 엄격한 보안활동이 유의적인 조직성과에 미치는 영향이 큼을 시사해 준 것이라 할 수 있다.
본 연구는 정보보호 아키텍처 구성과 보안활동이 정보자산보호 및 조직성과에 미치는 영향력을 밝히는데 목적을 갖고 정부, 공공기관, 민간 기업 종사자 300명을 대상으로 설문조사 하였다. 연구결과 분류식별과 위험분석 관리요인이 내부정보 유출방지를 위한 정보보호 아키텍처 구성 및 보안활동에 유용성을 갖는 것으로 나타났다. 그리고 정보기술 아키텍처와 구성원의 인식과 교육요인은 기각됨으로써 제한적인 정보보호 아키텍처 구성 및 보안활동이 요구됨을 시사해 주었다. 독립변인으로서의 아키텍처와 구성원에 대한 재인식을 위한 교육은 그 만큼 중요함을 인식시켜 주고, 일반화된 프로세스로 정보보호 통제나 관리 활동에 크게 기여하지 못하고 다만 위험분류 식별관리와 위험분석 관리의 일반화를 통한 엄격한 보안활동이 유의적인 조직성과에 미치는 영향이 큼을 시사해 준 것이라 할 수 있다.
This study was carried out for the purpose of inquiring into the effect of composition and security activities for information security architecture on information asset protection and organizational performance in terms of general information security. This study made a survey on 300 workers in the...
This study was carried out for the purpose of inquiring into the effect of composition and security activities for information security architecture on information asset protection and organizational performance in terms of general information security. This study made a survey on 300 workers in the government, public institutions and private companies, which it showed that management factors of risk identification and risk analysis, in general, have an usefulness to composition and security activities for information security architecture to prevent inside information leakage. And the understanding and training factors of IT architecture and its component were rejected, requiring the limited composition and security activities for information security architecture. In other words, from the reality, which most institutions and organizations are introducing and operating the information security architecture, and restrictively carrying out the training in this, the training for a new understanding of architecture and its component as an independent variable made so much importance, or it did not greatly contribute to the control or management activities for information security as the generalized process, but strict security activities through the generalization of risk identification and risk analysis management had a so much big effect on the significant organizational performance.
This study was carried out for the purpose of inquiring into the effect of composition and security activities for information security architecture on information asset protection and organizational performance in terms of general information security. This study made a survey on 300 workers in the government, public institutions and private companies, which it showed that management factors of risk identification and risk analysis, in general, have an usefulness to composition and security activities for information security architecture to prevent inside information leakage. And the understanding and training factors of IT architecture and its component were rejected, requiring the limited composition and security activities for information security architecture. In other words, from the reality, which most institutions and organizations are introducing and operating the information security architecture, and restrictively carrying out the training in this, the training for a new understanding of architecture and its component as an independent variable made so much importance, or it did not greatly contribute to the control or management activities for information security as the generalized process, but strict security activities through the generalization of risk identification and risk analysis management had a so much big effect on the significant organizational performance.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 연구에서는 정보보호에 대한 종합적인 관점에서 내부정보 유출이 급증하고 있는 최근 상황에서 이를 효과적으로 관리, 통제하려는 고유 속성에 대한 정보보호에 관한 연구를 한 단계 발전시킨 연구가 되기 위해 정보보호 아키텍처 구성 및 보안활동에 대한 정부, 공공기관, 민간기업의 사용자와 관리자간 카테고리별 활용 수준에 따른 정보 자산 보호에 미치는 영향력을 밝히는데 본 연구의 목적을 갖는다.
본 연구는 정보보호에 대한 종합적인 관점에서 내부정보유출이 급증하고 있는 최근 상황에서 이를 효과적으로 관리, 통제하려는 고유 속성에 대한 정보보호에 관한 연구를 한 단계 발전시킨 연구가 되기 위해 정보보호 아키텍처 구성 및 보안활동이 정보자산 보호 및 조직성과에 미치는 영향력을 밝히는데 목적을 갖고 연구하였는데 그 결과를 요약하면 다음과 같다.
본 연구에서는 측정오차를 줄이고 단일차원으로 구성된 개념의 대표성을 높이기 위하여 총합척도(summated scale)를 사용하였고, 평균점수가 높을수록 구성개념 내용에 더욱 동의한다고 볼 수 있다. 이상의 요인분석결과를 바탕으로 상관분석을 시행한 결과는 다음 <표 5>과 같다.
본 연구의 기본 연구 모형은 정보보호 아키텍처 구성과 보안활동이 정보자산보호 및 조직성과에 미치는 영향을 검증하는 데 있다.
정보보호 아키텍처 구성 및 보안활동이 정보자산보호에 영향을 미치고, 이와 같은 영향은 조직의 본질적인 고객만족과 유연한 사고대응에 기여함을 여러 연구에 제시하고 있어[26, 28, 36], 본 연구에서도 이를 반영하여 검증하고자 한다. 이에 따라 설정된 연구의 가설은 다음과 같다.
가설 설정
H1 : 정보보호 아키텍처 구성 및 보안활동은 물리적보안에 유의미한 정(+)의 영향을 미칠 것이다.
H1-1 : 아키텍처는 물리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H1-2 : 분류식별은 물리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H1-3 : 위험분석 관리는 물리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H1-4 : 구성원 인식교육은 물리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H1-4 : 구성원 인식교육은 물리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H2 : 정보보호 아키텍처 구성 및 보안활동은 기술적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H2-1 : 아키텍처는 기술적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H2-2 : 분류식별은 기술적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H2-3 : 위험분석 관리는 기술적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H2-4 : 구성원 인식교육은 기술적 보안에 유의미한 정(+) 의 영향을 미칠 것이다.
H3 : 정보보호 아키텍처 구성 및 보안활동은 관리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H3-1 : 아키텍처는 관리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H3-2 : 분류식별은 관리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H3-3 : 위험분석 관리는 관리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H3-4 : 구성원 인식교육은 관리적 보안에 유의미한 정(+) 의 영향을 미칠 것이다.
H3-4 : 구성원 인식교육은 관리적 보안에 유의미한 정(+) 의 영향을 미칠 것이다.
H4 : 정보자산보호는 조직성과에 유의미한 정(+)의 영향을 미칠 것이다.
H4-1 : 물리적 보안은 조직성과에 유의미한 정(+)의 영향을 미칠 것이다.
H4-2 : 기술적 보안은 조직성과에 유의미한 정(+)의 영향을 미칠 것이다.
H4-3 : 관리적 보안은 조직성과에 유의미한 정(+)의 영향을 미칠 것이다.
H3-3 : 위험분석 관리는 관리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H2-3 : 위험분석 관리는 기술적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
H1-3 : 위험분석 관리는 물리적 보안에 유의미한 정(+)의 영향을 미칠 것이다.
제안 방법
먼저, 설문 내용의 구성 타당성과 조사의 현실성을 판단 하기 위한 예비조사 및 본 조사에 있어서 자료수집의 방법은 문헌 조사 분석을 통해, 관련 논문 및 문헌, 간행물 등을 참고하여 조사하며, 실증조사 분석도를 각 기관별로 균등분할하여 조사하였다.
01에 의해서 수행하였다. 모델의 적합도는 모델과 실제 공분산 자료 사이의 일치성의 정도를 평가하는 것이며 모델의 적합성 평가를 통하여 초기 모델이 부적합한 경우 적합 모델을 찾기 위하여 수정지수(Modification Indices)를 이용토록 하였다.
본 연구에서 사용된 조사항목 및 설문지 구성은 정보보호 관리 및 통제활동에 미치는 영향에 대해 Michael Pastore (2003)와 Kevin Soo Hoo(2000)를 중심으로 자사 내 정보시스템 이용 관련 종사자를 대상으로 시스템 운영 관리시 느끼는 인식 차이를 비교 조사하기 위하여 3개 측정변수를 66문항과 인구 통계적 요인 6개 항목으로 총 72개 항목으로 구성하였다.
설문지 항목은 Likert가 개발한 5점 등간척도를 사용하였으며, 인구 통계적 요인인 개인적인 특성은 명목척도로 구성하였다.
설문지의 각 항목들은 선행연구에서 사용된 설문과 이론을 근거로 응답자의 일반적 특성, 시스템 이용자의 보호활동, 통제활동, 성과요인으로 분류된 세부적인 요인들에 대한 각 변수의 정의를 기초로 작성하였다.
또한 구조방정식 모형은 모형에 내재된 오차를 알 수 있고, 나아가 측정 모형과 이론 모형간의 관계를 전체적인 관점에서 검증할 수 있다는 점에서 큰 의의가 있다(김계수, 2004). 이에 본 연구에서는 구조방정식 모형을 활용하여 구성 개념들 간의 인과관계를 검정하였다.
정보보호관리 활동을 구성하는 변수는 이론적 고찰을 통해 정보보호 아키텍처 구성과 정보자산 분류 및 식별, 위험 분석 및 관리, 구성원의 정보보호 인식 및 교육활동으로 구성하였다.
대상 데이터
본 연구논문의 목적을 수행하기 위해 조사대상은 정부, 공공기관, 민간기업 종사자를 대상으로 내부 정보시스템에 대한 사용자 및 관리자 300명을 선정하여 설문조사를 실시하였다.
표본추출방법은 비확률 표본추출방법의 하나인 편의적 표본추출방법을 실시하였으며, 조사대상을 선정 후 2009년 8월 1일부터 8월 30일까지 약 한 달간 총 300부의 설문지를 배포하였으며 이중 총 272부를 회수하여 결측치와 불성실기재누락자를 제외한 유효설문지 총 210매를 분석에 사용하였다.
데이터처리
본 연구에서 설정된 가설들을 검증하기 위하여 수집된 자료의 실증분석은 통계 패키지 프로그램인 SPSS 12.0과 공 변량구조모형의 프로그램인 AMOS 4.01을 이용하였다. 자료 분석을 위한 통계적 기법은 기술적 통계 및 추론 통계로 대별할 수 있다.
기준 타당성(criterion-related validity)은 하나의 속성이나 개념의 상태에 대한 측정이 미래 시점에 있어서의 다른 속성이나 개념의 상태 변화를 예측하는 능력을 의미한다. 본 연구의 경우에 기준 타당성은 정보보호관리 통제활동에 대한 독립변수와 정보자산보호에 대한 매개변수, 조직성과에 대한 종속변수 간의 연관성을 검증하기 위하여 신뢰성 분석과 확인요인분석을 했고 단일 차원성이 증명된 각 요인들에 관한 상관관계를 알아보기 위하여 다중상관분석을 실시하였다. 분석결과가 유의하게 나타나는 경우 기준타당성을 만족시킨다고 할 수 있는 것이다.
자료 분석을 위한 통계적 기법은 기술적 통계 및 추론 통계로 대별할 수 있다. 이 중에서 기술통계, 신뢰성은 SPSS 12.0에 의해서, 그리고 적합성 검증, 가설의 검증을 위한 구조방정식 모델의 추정은 AMOS 4.01에 의해서 수행하였다. 모델의 적합도는 모델과 실제 공분산 자료 사이의 일치성의 정도를 평가하는 것이며 모델의 적합성 평가를 통하여 초기 모델이 부적합한 경우 적합 모델을 찾기 위하여 수정지수(Modification Indices)를 이용토록 하였다.
이론/모형
본 연구에서는 연구 가설의 확인을 위해 구조방정식 모형을 활용하여 이를 검증 하였다. 구조방정식은 회귀분석과 달리 공변량 분석을 통해 변수들 간의 직접효과와 이외에도 간접효과를 확인할 수 있기 때문에 복잡한 인과관계를 체계적으로 이해하는데 큰 도움을 준다.
성능/효과
위와 같은 지표 기준에 의한 분석 결과는 다음과 같다. TLI=(0.985), Delta 2 IFI(incremental fit index)=(0.998)로 기본적인 요건을 충족하고 있으므로, 본 연구에서 설정한 연구가설에 대한 이론적 모형에의 전반적인 적합도는 양호하다는 것이 증명되었다. 다음의 <표 4>는 연구의 전체적인 구조모형의 측정개념들의 확인 요인 분석 결과를 나타낸 것이다.
넷째, 정보자산보호가 조직성과에 미치는 영향을 검증한결과 독립변수별로 물리적 보안, 기술적 보안, 관리적 보안이 조직성과에 통계적으로 유의미한 정(+)의 영향을 미치는 것으로 나타났다(p<.05).
둘째, 정보보호 아키텍처 구성 및 보안활동이 기술적 보안에 미치는 영향을 검증한 결과 독립변수별로 아키텍처, 분류식별, 위험분석 관리가 기술적 보안에 통계적으로 유의미한 정(+)의 영향을 미치는 것으로 나타났다(p<.05).
이는 대다수 기관과 조직에서 정보기술 아키텍처를 도입 운영하고 이에 대한 교육이 이루어지고 있는 현실에서 독립변인으로서의 아키텍처와 구성원에 대한 재인식을 위한 교육은 그 만큼 일반화된 프로세스로 정보보호 통제나 관리 활동에 크게 기여하지 못하고 다만 위험분류 식별관리와 위험분석 관리의 일반화를 통한 엄격한 통제활동이 유의적인 조직성과에 미치는 영향이 큼을 나타내 준 것이라 할 수 있다. 따라서 조직 내부정보 유출과 보안사고가 급증하고 있는 현실에서 특정 기술 아키텍처에 의한 시스템 의존과 종사원의 인식교육에 기댄 기존의 보안 활동에서 벗어나 매우 철저한 분류기준에 의한 엄격한 분리시행과 주기적인 위험 분석 활동과 이의 공지를 통한 조직 내 분위기 조성과 조직 전반에의 위기의식 공유가 중요하고 이의 확산과 동시 모두에 공유될 때 성과 또한 높아짐을 의미한다. 이는 기존 조직의 보안활동이 물리적, 기술적, 관리적 보안활동 요인 모두 조직성과에 유의한 영향을 미침을 주장한 손상수 외(2006), 이재유(2008), 행정안전부(2008)의 선행연구 결과와 일치된 결과로서 본 연구의 유용성을 뒷받침해 준 것이라 볼 수 있다.
모형의 적합성 평가는 공분산 구조모형이 연구가설에 적합한 정도를 알아보는 과정으로 절대적합지수(absolute fit measures : x2, GFI, AGFI, RMSR), 증분적합지수(incremental fit measures : NNFI, NFI, Delta 2), 간명적합지수(parsimonious fit measures : PGFI, PNFI, AIC) 등이 이용되고 있다. 본 연구의 가설에 의한 전체적인 구조모형에 대한 분석을 실시한 결과 적합도지수중 x2 (카이자승 통계량)=(4.681), p-value=(0.197), RMR(원소간 평균제곱 잔차)=(0.006), GFI(기초적합지수)=(0.994), AGFI(조정적합지수)=(0.934), NFI(준적합지수)=(0.996), CFI(비교적합지수)=(0.998)로 분석되었다. 일반적으로 구조방정식 모형분석에는 다른 여러 기준의 적합지수가 이용되기 때문에 다른 통계치를 비교하여 평가하는 것이 합리적이며(Browne & Cudeck, 1993), 그에 따른 다른 적합지수의 판단 기준은 다음과 같다.
셋째, 정보보호 아키텍처 구성 및 보안활동이 관리적 보안에 미치는 영향을 검증한 결과 독립변수별로 아키텍처, 분류식별이 관리적 보안에 통계적으로 유의미한 정(+)의 영향을 미치는 것으로 나타났다(p<.05).
전체적으로 분류식별과 위험분석 관리요인이 내부정보 유출 방지를 위한 정보보호 통제활동에 유용성을 갖는 것으로 나타나고 정보기술 아키텍처와 구성원의 인식 교육 요인은 기각됨으로써 제한적인 보안 통제활동이 요구됨을 시사해 주었다. 이는 대다수 기관과 조직에서 정보기술 아키텍처를 도입 운영하고 이에 대한 교육이 이루어지고 있는 현실에서 독립변인으로서의 아키텍처와 구성원에 대한 재인식을 위한 교육은 그 만큼 일반화된 프로세스로 정보보호 통제나 관리 활동에 크게 기여하지 못하고 다만 위험분류 식별관리와 위험분석 관리의 일반화를 통한 엄격한 통제활동이 유의적인 조직성과에 미치는 영향이 큼을 나타내 준 것이라 할 수 있다.
05). 즉, 관리적 보안을 강조할 때 조직 성과는 .325높아지는 것으로 나타났고, 물리적 보안을 강조할 때 조직성과는 .297, 기술적 보안을 강조할 때 조직성과는 .186 높아지는 것으로 나타났다. 따라서 조직성과의 향상을 위해서는 물리적, 기술적, 관리적 정보자산보호가 중요한 요인임을 알 수 있다.
05). 즉, 분류식별을 강조할 때 관리적 보안은 .513 높아지는 것으로 나타났고, 아키텍처를 강조할 때 관리적 보안은 .195 높아지는 것으로 나타났다. 따라서 정보의 기술적 보안의 향상을 위해서는 아키텍처, 분류식별이 중요한 요인임을 알 수 있다.
05). 즉, 분류식별을 강조할 때 기술적 보안은 .357 높아지는 것으로 나타났고, 위험분석 관리를 강조할 때 기술적 보안은 .171, 아키텍처를 강조할 때 기술적 보안은 .115 높아지는 것으로 나타났다. 따라서 정보의 기술적 보안의 향상을 위해서는 아키텍처, 분류식별, 위험분석 관리가 중요한 요인임을 알 수 있다.
05). 즉, 분류식별을 강조할 때 물리적 보안은 .355 높아지는 것으로 나타났고, 위험분석 관리를 강조할 때 물리적 보안은 .226 높아지는 것으로 나타났다. 따라서 정보의 물리적 보안의 향상을 위해서는 분류식별, 위험분석 관리가 중요한 요인임을 알 수 있다.
첫째, 정보보호 아키텍처 구성 및 보안활동이 물리적 보안에 미치는 영향을 검증한 결과 독립변수별로 분류식별, 위험분석 관리가 물리적 보안에 통계적으로 유의미한 정(+)의 영향을 미치는 것으로 나타났다(p<.05).
후속연구
따라서 조직 내 내부 정보유출 방지를 위한 정보보호관리 통제활동이 조직성과에 미치는 영향을 극대화시키기 위해서는 조직구성원에 대한 내부보안 분류 기준의 엄격한 통제 적용과 동시 정보보호 마인드의 중요성에 대한 경각심과 함께 역기능에 대한 피해를 예방하기 위한 철저한 식별분류 관리와 주기적인 위험분석 활동 및 물리적, 기술적, 관리적 보안 통제활동의 상설운영으로 조직 내 정보자원의 효율적인 운영과 성과를 높이려는 노력이 병행되어져야 할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
정보화 사회의 특성은?
이 같은 피해는 인가 받지 않은 불법적인 사용자에 의한 정보시스템의 파괴, 개인 신상 비밀의 누설 및 유출, 불건전 정보의 유통 등과 같은 피해로 나타나고 있다[3]. 이렇듯 정보화 사회에서는 자신이 원하는 정보를 언제, 어디서든 손쉽게 얻을 수는 있지만 반면, 정보화의 부작용으로 인해 생기는 피해 또한 막대하다[2].
연구 가설의 확인을 위해 구조방정식 모형을 활용하여 이를 검증하였다. 이를 사용한 이점은??
본 연구에서는 연구 가설의 확인을 위해 구조방정식 모형을 활용하여 이를 검증 하였다. 구조방정식은 회귀분석과 달리 공변량 분석을 통해 변수들 간의 직접효과와 이외에도 간접효과를 확인할 수 있기 때문에 복잡한 인과관계를 체계적으로 이해하는데 큰 도움을 준다. 또한 구조방정식 모형은 모형에 내재된 오차를 알 수 있고, 나아가 측정 모형과 이론 모형간의 관계를 전체적인 관점에서 검증할 수 있다는 점에서 큰 의의가 있다(김계수, 2004). 이에 본 연구에서는 구조방정식 모형을 활용하여 구성 개념들 간의 인과관계를 검정하였다.
정보자산보호 요인 구성은?
그리고 정보자산보호 요인은 정보보호 수준에 따른 직접 적인 활동으로 관리적, 기술적, 물리적 보안 요인으로 정의하고, 정보에 대한 인가된 사람에게 접근을 허용하되 인가 되지 않은 사람에게는 접근을 통제하는 물리적 보안활동, 네트워크, 응용시스템에 대한 기술적 접근통제활동과 외부인의 불법적인 접근시도와 내부 관련자들의 부주의나 고의적인 행동에 의해 불법접근이 이루어질 가능성이 항상 존재한다는 점에서 이러한 불법적 접근에 의한 마지막 보호 수단인 암호화와 정보보호 정책에 의거하여 적절하게 운영되고 있는지를 확인하는 관리 운영적 통제활동을 반영하여 물리적 보안, 기술적 보안, 관리적 보안 요인을 변수로 구성하였다[12, 26, 32].
참고문헌 (36)
강성원, “아키텍처 기반의 결정적 소프트웨어 진화계획의 가치평가, 한국정보처리학회논문지,” 제16권 제5호, pp.755-766.2009.
Cavusoglu, H., Mishra, B. & Raghunathan, S., “The Value of Intrusion Detection Systems in Information Technology Security Architecture,” Information systems research, Vol.16 No.1, pp.28-46. 2005.
Dalton, M., Kannan, H. & Kozyrakis, C. “Raksha: A Flexible Information Flow Architecture for Software Security,” In: International Symposium on Computer Architecture new, Vol.35 No.2, pp.350-363, 2007.
Eloff, J. H. P. & Eloff, M., “Integrated Information Security Architecture,” Computer Fraud and Security, No.11, pp.10-16, 2005.
Pastore, M., New Enterprise Focus : Building Security Teams. Esecurity Planet, 2003.
Pulkkinen, M., Naumenko, A. & Luostarinen, K., “Managing information security in a business network of machinery maintenance services business - Enterprise architecture as a coordination tool,” The Journal of systems and software, Vol.80 No.10, pp.1607-1620, 2007.
Yan, H., Xiaorong, X. & Yingduo, H., “A Survey to Design Method of Security Architecture for Power Information Systems,” POWER SYSTEM TECHNOLOGY(BEIJING), Vol.29 No.1, pp.35-39, 2005.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.