[논문]조직 구성원들의 정보보안 정책 준수행위 의도에 관한 연구

임명성

doi:10.14400/jdpm.2012.10.10.119

문제 정의

기존 연구의 경우 보안의 4가지 요소 중 억제, 예방 등 특정한 하나의 관점에서 접근하였다. 그러나 정보보안은 억제와 예방을 동시에 고려한 접근이 필요하며, 본 연구는 이러한 필요성에 인식하고 억제, 예방을 모두 고려한 종합적 접근을 시도하였다.
따라서 본 연구는 내부조직원들이 보안정책을 준수하도록 유도할 수 있는 방안에 대해 연구해보고자 한다. 특히 기존연구와는 다르게 통합적 관점에서 접근하고자 한다.
기존 선행연구에서 사용된 이론의 문제점은 종합적 접근의 부족이다. 따라서 본 연구에서는 선행연구를 종합적인 관점에서 접근하고자 한다. 이를 위해 일반제재 이론, 예방동기이론, 사회결속이론을 중심으로 가설 및 연구모형을 수립하였다.
본 연구는 어떻게 하면 내부인들에 의해 발생하는 보안사고를 줄일 수 있는지에 대한 하나의 해결책을 제시하기 위해 시작되었다. 연구결과 적발가능성과 개인의 조직에 대한 애착심이 보안정책 준수의도를 유발할 수 있는 것으로 나타났다.
본 이론은 정보시스템 환경에서 조직 내에서 수립된 정보보안을 위한 방안들이 어떻게 수행되어야 하는지를 설명하기 위해 사용되어왔다[21]. 즉, 정보보안을 위한 방안들이 정보시스템을 오용하였을 경우 발생할 수 있는 처벌에 대한 확실성을 증가시켜, 사고 발생행위를 감소시킬 수 있다는 것이다[8].
따라서 본 연구는 내부조직원들이 보안정책을 준수하도록 유도할 수 있는 방안에 대해 연구해보고자 한다. 특히 기존연구와는 다르게 통합적 관점에서 접근하고자 한다. D'Arcy et al.

가설 설정

H4. 기술적 규범은 보안정책 준수의도에 정의 영향을 미칠 것이다.
H3a. 인지된 준수비용은 기술적 규범에 음의 영향을 미칠 것이다.
H3b. 인지된 준수비용은 보안정책 준수의도에 음의 영향을 미칠 것이다.
H2b. 적발가능성은 보안정책 준수의도에 정의 영향을 미칠 것이다.
H5b. 조직에 대한 애착심은 보안정책준수의도에 정의 영향을 미칠 것이다.
H5a. 조직에 대한 애착심은 인지된 준수비용에 음의 영향을 미칠 것이다.
하지만 본 이론은 내부인들이 처벌(Sanctions)대해 완전한 이해하고 있음을 가정하고 있다[10]. 즉, 자신의 행위가 어떠한 처벌을 유발하는지 개인들은 충분히 인지를 하고 있음을 가정하고 있다. 따라서 개인들이 처벌에 대해 완벽하게 인지하고 있지 못할 경우, 억제 행위가 유발되지 않을 가능성이 충분히 존재한다.

제안 방법

(2008), Herath and Rao(2009a)의 경우 일반 제재 이론(General Deterrence Theory), Johnston and Warkentin(2010), Lee and Larsen(2009)은 예방 동기 이론(Protection Motivation Theory) 등 특정이론을 중심으로 연구를 수행하였는데 여러 연구에서 제시하고 있는 바와 같이 정보보안은 특정한 이론보다는 종합적 관점에서 접근할 필요가 있다[1][15][20][21][33]. 따라서 본 연구는 기존 이론에 대한 검토와 함께 왜 종합적인 관점이 필요한지 살펴보고, 종합적인 관점에서 연구모형을 수립하고 실증적으로 분석하였다.
즉, 범죄 행위를 하는 사람은 처벌에 대한 비용이 범죄 행위로 인한 기대 이익보다 크지 않다. 따라서 본 이론은 범죄로 인한 인지된 비용을 증가시키기 위해 설계된 보안 정책, 보안 시스템, 보안 인지 프로그램과 같은 메커니즘에 초점을 맞추고 있다[20]. 하지만 이러한 메커니즘이 범죄 의도나 행위를 줄이는데 실패하는 경우가 많다.
본 연구의 한계로는 첫째, 공통방법오류에 대한 검증 절차에 있다. 믿을 수 있는 과학적 절차일 경우 사전에 공통방법오류를 제거하고 시작해야 하야 본 연구에서는 사후적 방법을 선택하였다. 따라서 이 부분에서 완전히 자유롭다고 할 수는 없다.
본 연구는 자료의 수집을 위해 국내 대표적 IT기업 5개사(모두 SI(System Integration)기업 임)를 선정하여 핵심 관계자(상위 관리자)와의 사전 동의를 통해 연구목적에 대해 설명하고 설문을 배포하였다. 설문배포에 대한 전체적인 관리는 해당 관계자를 통해 이루어졌다.
4이상의 교차요인(cross-loading)이 존재하지 않아야 한다. 본 연구에서는 본 기준에 따라 주성분 분석을 수행하였고 6개의 요인이 추출되었다. 결과는 <표 2>와 같다.
5이상이 되면 해당 측정변수의 설명력이 50%라는 것을 나타내며 적정수준이라고 판단한다[13]. <표 2>에 나타나 있듯이 최소 공통성이 0.550이기 때문에 본 연구에서는 주성분분석을 수행하였다.
따라서 본 연구에서는 선행연구를 종합적인 관점에서 접근하고자 한다. 이를 위해 일반제재 이론, 예방동기이론, 사회결속이론을 중심으로 가설 및 연구모형을 수립하였다.
최종 모형을 분석하기 전에 본 연구에서는 모형의 적합도를 평가하였다. 그동안 모형의 적합도는 20여 가지 이상 개발되었으나 모든 적합도 판별 지표들은 모두 χ²을 기반으로 하고 있기 때문에 공분산기반 구조모형 (covariance-based SEM)에만 국한되어 적용할 수 있다.
7이상이 될 경우 집중타당성이 있는 것으로 볼 수 있다고 하였다. 하지만 본 연구에서는 집중타당성을 위해 추가적인 검증절차를 수행하였다. 집중타당성은 평균 분산추출(Average Variance Extracted)을 통해 평가할 수 있다[25].

대상 데이터

IT 기업을 설문 대상으로 선정한 이유는 정보보안 관련 프로젝트를 수행한 경험이 있기 때문에 다양한 정보보안 방안을 마련하고 있기 때문에 국내 기업들의 정보보안 관련 상황을 대표적으로 보여주는데 충분할 것으로 판단되기 때문이다. 2011년 5월부터 9월까지 5개월간 총 300부를 배포하였고 이중 189부(응답률: 63%)가 회수되었다. 이중 불성실한 응답이나 무응답이 포함된 46부를 제외하고 143부를 최종분석에 사용하였다.
일반적으로 재표집 표본으로 200개를 설정할 경우 적정 수준의 표준 오차를 생성한다[6]. 본 연구는 더 견고한 분석을 위해 500개를 재표집을 위한 표본으로 설정하였다.
2011년 5월부터 9월까지 5개월간 총 300부를 배포하였고 이중 189부(응답률: 63%)가 회수되었다. 이중 불성실한 응답이나 무응답이 포함된 46부를 제외하고 143부를 최종분석에 사용하였다.

데이터처리

요인타당성(factorial validity)을 평가하기 위해 탐색적 요인분석(exploratory factor analysis)을 수행하였다. 탐색적 요인 분석은 주성분분석을 통해 검증하였는데, 주성분분석과 공통요인분석은 비교할 필요가 있다.

이론/모형

다음으로 Harman의 1요인 검증기법을 통해 공통방법 오류(common method bias)를 검증하였다[26]. 본 기법은 주성분분석과정에서 요인회전 전(unrotated factor analysis)에 나타난 결과에서 요인 하나의 설명력이 총 분산 설명력의 어느 정도를 차지하는지를 통해 평가하는데, 절대적 권고 기준은 존재하지 않는다는 단점이 존재한다.
배포된 설문은 Likert type 7점 척도법을 사용하였으며, 측정항목의 신뢰성을 위해 기존 문헌에서 신뢰성과 타당성이 존재한다고 규명된 지표들을 사용하였다.
측정도구로 인구통계학적 분석은 대표적 사회과학도구인 IBM SPSS Statistics v19를 사용하였다. 연구모형에 대한 검증은 컴포넌트 기반(component based approach) 추정방법을 활용하여 구조모형을 분석하는 기법인 PLS(Partial Least Squares) 기법을 활용하는 SmartPLS v2.0 M3을 사용하였다.
측정도구로 인구통계학적 분석은 대표적 사회과학도구인 IBM SPSS Statistics v19를 사용하였다. 연구모형에 대한 검증은 컴포넌트 기반(component based approach) 추정방법을 활용하여 구조모형을 분석하는 기법인 PLS(Partial Least Squares) 기법을 활용하는 SmartPLS v2.

성능/효과

다음으로 적발가능성은 기술적 규범에는 부의 유의관계를 나타낸 반면(β=-0.3554, p<0.001), 보안정책 준수의 도에는 정의 영향을 미치는 것으로 나타났다(β=0.2935, p<3.7108).
그렇기 때문에 권한 내에서 내부 시스템에 접속이 자유롭다. 둘째, 내부 시스템의 약점을 알고 있는 내부인에 의해 피하가 발생할 경우 외부의 악의적인 접속으로 인한 피해보다 클 수 있다. 특히 내부 직원이 우연히 아닌 의도적으로 피해를 입히는 경우 쉽게 예방할 수 없다.
둘째, 정보보안 인식교육은 기술적 규범(β=-0.1561)과 인지된 준수비용(β=-0.0761)에는 유의한 영향을 미치지 않는 것으로 나타났다.
따라서 이 부분에서 완전히 자유롭다고 할 수는 없다. 둘째로, 표본 추출 대상기업들이 모두 IT기업이었다는 것이다. 정보보안에 대한 인식이 IT기업과 비IT기업의 구성원 간에 차이가 존재할 수 있기 때문에 분석결과가 모든 산업군에 적용되기에는 다소 문제가 될 수 있다.
마지막으로 개인의 애착심은 인지된 준수비용에 아무런 영향도 미치지 않는 것으로 나타난 반면(β=-0.0183), 보안정책 준수의도에는 유의한 영향을 미치는 것으로 나타났다(β=0.3783, p<0.001).
본 기법은 주성분분석과정에서 요인회전 전(unrotated factor analysis)에 나타난 결과에서 요인 하나의 설명력이 총 분산 설명력의 어느 정도를 차지하는지를 통해 평가하는데, 절대적 권고 기준은 존재하지 않는다는 단점이 존재한다. 본 연구의 총 분산 설명력이 77.992이고, 가장 많은 설명력을 차지하는 요인이 29.917의 설명력을 나타내고 있는 것으로 나타났다. 이는 절대적인 기준이 없기 때문에 단언할 수는 없으나 하나의 요인이 전체 분산 설명력의 절반이하를 설명하고 있기 때문에 공통방법오류의 위험이 크지 않다고 판단할 수 있다[16].
본 이론은 태도 변화를 유발하는 요인을 규명하기 위해 개발되었으며, 공포는 위협의 심각성, 사건(위협)의 발생 가능성, 사건에 대한 대응을 위한 효용 등 세 가지 인지적 평가 과정을 통해 전달된다[27]. 본 평가과정을 통한 결과물은 예방 동기유발이다.
본 연구는 어떻게 하면 내부인들에 의해 발생하는 보안사고를 줄일 수 있는지에 대한 하나의 해결책을 제시하기 위해 시작되었다. 연구결과 적발가능성과 개인의 조직에 대한 애착심이 보안정책 준수의도를 유발할 수 있는 것으로 나타났다. 여기서 적발가능성은 정보보안 인식 교육에 영향을 받는 것으로 나타났다.

후속연구

본 연구의 한계로는 첫째, 공통방법오류에 대한 검증 절차에 있다. 믿을 수 있는 과학적 절차일 경우 사전에 공통방법오류를 제거하고 시작해야 하야 본 연구에서는 사후적 방법을 선택하였다.
추후 연구에서는 조직원들의 보안 정책 준수를 활성화하기 위해 억제 요인으로 규명된 보안정책 준수비용을 어떻게 절감할 수 있는지에 대해 연구해 볼 필요가 있다. 또한 정보보안 교육 전달 채널에 따른 차이를 규명해 볼 필요가 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

조직 구성원들의 정보보안 정책 준수행위 의도에 관한 연구
A Path Way to Increase the Intention to Comply with Information Security Policy of Employees 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

조직 구성원들의 정보보안 정책 준수행위 의도에 관한 연구 A Path Way to Increase the Intention to Comply with Information Security Policy of Employees 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

이 논문을 인용한 문헌

저자의 다른 논문 :

임명성 (53)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

조직 구성원들의 정보보안 정책 준수행위 의도에 관한 연구
A Path Way to Increase the Intention to Comply with Information Security Policy of Employees 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper