[논문]보안 대책이 지속적 보안 정책 준수에 미치는 영향

박철주; 임명성

doi:10.14400/jdpm.2012.10.4.023

문제 정의

본 연구는 기업에서 수행하는 보안 대책이 지속적 보안 정책 준수에 미치는 영향을 실증적으로 검증하기 위해 수행되었다. 기업 내 다양한 보안 대책이 존재하나 특히 본 연구에서는 많은 연구에서 제시하고 있는 대표적 보안 대책인 정보보안 인식교육과 정보보안 정책이 조직원들의 보안 정책 준수에 어떠한 영향을 미치는지 살펴보았다. 실증 연구를 토대로 도출된 결과를 정리하면 첫째, 보안인식 교육은 보안 정책의 포괄성과 간결성에 정의 영향을 미치는 것으로 나타났다.
이에 따라 최근 연구들은 무엇보다 먼저 인적 그리고 조직적 요인들이 조직 내 보안의 효과성에 어떠한 영향을 미치는지 더 고민해 볼 필요가 있음을 제시하였다[5][45]. 따라서 본 연구는 인적 그리고 조직적 관점에서 이러한 요인들이 정보보안 행위에 미치는 영향을 살펴보고자 한다.
즉, 기술적 요인이 잘 마련되어 있다하더라도 이를 사용하게 되는 조직원들의 동기가 결여되어 있을 경우 조직에서 마련한 대안들이 제대로 효과를 발휘할 수 없기 때문에 인적요인에 대한 고려가 우선시 되어야 한다는 것이다. 따라서 본 연구는 인적 요인관점에서 조직이 제시하는 보안인식 교육과 보안 정책에 대해 살펴보고자 한다.
하지만 기존 연구에서는 보안정책 준수 의도만 살펴봄에 따라 지속적 행위를 고려하지 않고 있다는 문제점이 있었다(예, [8][18][19][34]). 반면에 본 연구는 각각의 독립변수들이 조직원들의 지속적인 보안정책 준수에 미치는 영향을 살펴보았다. 둘째, 정보보안 정책은 정보기술을 보유한 대부분의 기업들이 수립하여 운영되고 있는 보안 대책 중 하나로 기업 입장에서 가장 저비용으로 효과를 볼 수 있다는 장점이 있다.
본 연구는 기업에서 수행하는 보안 대책이 지속적 보안 정책 준수에 미치는 영향을 실증적으로 검증하기 위해 수행되었다. 기업 내 다양한 보안 대책이 존재하나 특히 본 연구에서는 많은 연구에서 제시하고 있는 대표적 보안 대책인 정보보안 인식교육과 정보보안 정책이 조직원들의 보안 정책 준수에 어떠한 영향을 미치는지 살펴보았다.
태도(attitude)란 특정한 행위에 대한 평가가 호의적인지 비호의적인지를 나타낸다[2]. 본 연구에서는 개인이 기업의 정보보안 정책을 지속적으로 따르는 행위에 대해 어떻게 생각하는지를 평가하기 위해 사용하였다. 의도(intention)란 특정한 행위를 수행할 것인지 아닌지에 대한 개인의 판단을 말하는데[2], 본 연구에서 사용하고 있는 보안정책 준수 의도란 사내 정보보안 정책을 지속적으로 준수할 것인지를 나타낸다.
셋째, 연구목적에 따라, 예측(prediction) 혹은 탐색(exploratory)적 연구인 경우, 그리고 이론 검증(theory test) 혹은 개발(development)인 경우에 사용한다[31]. 본 연구의 경우 데이터의 정규성이 완벽히 충족되지 않으며, 개인의 행동에 대한 예측을 목적으로 하는 연구이기에 본 도구가 적합하다고 판단하였다.
앞으로도 보안 문제는 정보기술이 존재하는 한 누구나 자유롭지 못한 문제이다. 이를 위해 본 연구는 조직원들의 보안 행위에 대해 연구하였다. 앞으로 연구는 정보보안에 대한 다양한 대책이 존재하고 시행중임에도 불구하고 이러한 대책들이 왜 제대로 효과를 발휘하지 못하는지에 대한 연구가 필요할 것으로 판단된다.

가설 설정

H1.1) 정보보안 인식교육은 보안정책 포괄성에 정(+)의 영향을 미칠 것이다.
H1.2) 정보보안 인식교육은 보안정책 간결성에 음(-)의 영향을 미칠 것이다.
H2) 정보보안 인식교육은 보안정책 준수태도에 정의(+) 영향을 미칠 것이다.
H3) 정보보안 인식교육은 보안정책 준수의도에 정의(+) 영향을 미칠 것이다.
H4.1) 보안정책 포괄성은 보안정책 준수태도에 정(+)의 영향을 미칠 것이다.
H4.2) 보안정책 포괄성은 보안정책 준수의도에 정(+)의 영향을 미칠 것이다.
H4.3) 보안정책 간결성은 보안정책 준수태도에 음(-)의 영향을 미칠 것이다.
H4.4) 보안정책 간결성은 보안정책 준수태도에 음(-)의 영향을 미칠 것이다.
4를 넘는 값이 존재하지 않기에 교차 적재치에 문제가 없는 것으로 볼 수 있다. 셋째, 고유값(eigenvalue)가 1이상이 되어야 한다. 본 연구에서 추출된 5개의 요인들은 모두 고유값이 1이상의 값을 나타내고 있어서 이 기준도 충족하고 있음을 알 수 있다.

제안 방법

정보보안 정책의 효과성은 Goel et al.(2010)의 연구를 기반으로 이들 학자들이 제시한 정보보안 정책의 효과성 지표인 포괄성과 간결성을 차용하였다. 보안 정책의 포괄성(breath)이란 사내에 있는 보안 정책이 얼마나 포괄적인가(comprehensive)를 나타낸다[16].
구조모형 분석에 앞서 데이터와 모형간의 일치 수준을 나타내는 모형 적합도(model fit)를 분석하였다. 일반적으로 공분산기반 구조방정식(Covariance based SEM)은 모델의 적합성을 중요시하기 때문에 다양한 적합도 지수가 개발되었다.
다음으로 구조모형에 대한 분석을 수행하였다. 분석결과에 대한 판단은 경로계수와 표준오차 그리고 t-value를 통해 한다.
설문 대상 기업선정은 우선 사내에 정보보안 정책과 보안인식교육 훈련 프로그램이 마련되어 있는 기업을 대상으로 하였다. 또한 조직 내 개인들의 보안정책 준수의도를 파악하는 것이 본 연구의 목적이기에 분석단위(level of analysis)는 개인수준으로 설정하였다. 모든 설문항목은 선행연구에서 신뢰성과 타당성이 확보된 항목들을 사용하였다.
또한 조직 내 개인들의 보안정책 준수의도를 파악하는 것이 본 연구의 목적이기에 분석단위(level of analysis)는 개인수준으로 설정하였다. 모든 설문항목은 선행연구에서 신뢰성과 타당성이 확보된 항목들을 사용하였다. 각 설문항목과 출처는 [표 2]에서 제시하였다.
연구모형을 검증하기 위하여 본 연구는 설문을 통해 데이터를 수집하였다. 설문 대상 기업선정은 우선 사내에 정보보안 정책과 보안인식교육 훈련 프로그램이 마련되어 있는 기업을 대상으로 하였다.
분석결과에 대한 판단은 경로계수와 표준오차 그리고 t-value를 통해 한다. 오차항을 도출하기 위해서는 bootstrapping방법이 사용되는데 본 연구에서는 이를 위해 재표집(resampling)을 통해 추출된 1,000개의 표본을 가지고 bootstrapping을 수행하였다. 도출된 결과를 도식화하면 그림 3과 같다.
요인분석에 대해 살펴보기 전에 본 연구는 상관행렬(correlation matrix)의 전반적인 유의수준을 평가하였다. 요인 분석은 요인을 추출하는 것을 목적으로 하기 때문에 변수들의 집합에서 기본적으로 통계적 상관관계가 보장되어야 한다.
이상의 문헌검토를 기반으로 본 연구는 연구모형을 수립함에 있어서 연구목적인 보안 대책(security countermeasures)이 지속적인 보안 행위에 미치는 영향을 실증적으로 검증하기 위해 보안인식 교육과 보안 정책을 보안 대책으로 제시하고 이 대책들과 지속적 보안 정책 준수행위 간의 관계를 모형화하였다[그림 2].
주성분분석 결과는 다섯 가지 기준을 통해 판단하는데 첫째, 각각의 측정변수가 해당개념에 높은 요인 적재치를 나타내는가를 평가한다. 이 기준에 대해서 Hair et al.

대상 데이터

데이터 수집을 위해 itSMF Korea와 CIO학회 회원사들을 대상으로 설문의 목적을 설명하고 참여여부를 문의하였다. 참여를 희망하는 기업을 대상으로 총 1,000부의 설문을 이메일과 우편을 통해 배포하였으며, 792부를 회수하였다(응답률: 79.
연구모형을 검증하기 위하여 본 연구는 설문을 통해 데이터를 수집하였다. 설문 대상 기업선정은 우선 사내에 정보보안 정책과 보안인식교육 훈련 프로그램이 마련되어 있는 기업을 대상으로 하였다. 또한 조직 내 개인들의 보안정책 준수의도를 파악하는 것이 본 연구의 목적이기에 분석단위(level of analysis)는 개인수준으로 설정하였다.
2%). 이중 무응답의 오류가 많고 일관된 응답으로 분석에 사용하기에 부적합하다고 판단되는 82부를 제외하고 총 710부를 최종분석에 사용하였다. 응답자에 대한 특성은 [표 1]과 같다.
데이터 수집을 위해 itSMF Korea와 CIO학회 회원사들을 대상으로 설문의 목적을 설명하고 참여여부를 문의하였다. 참여를 희망하는 기업을 대상으로 총 1,000부의 설문을 이메일과 우편을 통해 배포하였으며, 792부를 회수하였다(응답률: 79.2%). 이중 무응답의 오류가 많고 일관된 응답으로 분석에 사용하기에 부적합하다고 판단되는 82부를 제외하고 총 710부를 최종분석에 사용하였다.

이론/모형

구조모형 분석 도구로는 JAVA기반의 SmartPLS를 사용하였다[32]. PLS(Partial Least Squares)의 사용목적은 다양한데 주로 다음의 경우에 사용한다.
본 연구에서는 수립된 연구모형과 가설을 검증하기 위해 구조방정식모형(structural equation modeling)을 사용하였다. 구조방정식 모형을 사용한 이유는 측정항목(measurements model)과 가설화된 인과 경로(structural model)를 동시에 측정한다는 장점이 있기 때문이다.

성능/효과

본 연구에서 추출된 5개의 요인들은 모두 고유값이 1이상의 값을 나타내고 있어서 이 기준도 충족하고 있음을 알 수 있다. 넷째, 각각의 측정항목들의 설명력을 나타내는 공통성(communality)은 0.5미만일 경우 충분한 설명을 하지 못하고 있다고 판단한다[17]. 본 연구에서 제시한 주성분분석 결과에서 모든 측정항목의 공통성은 0.
다음으로 보안정책의 포괄성은 보안정책 준수태도(β=.260, p<0.001)와 보안정책 준수의도(β=.098, p<0.05)에 유의한 영향을 미치는 것으로 나타났다.
이는 선행연구에서 제시한 결과와 일치하는 것으로 보안인식 교육은 보안정책의 준수를 유도하는 역할을 하기 때문에 나타난 결과라 판단된다. 둘째, 보안정책의 포괄성은 보안정책의 준수 태도와 의도에 유의한 영향을 미치는 것으로 나타났다. 보안정책의 포괄성은 자사의 보안 정책이 사내에서 발생할 수 있는 보안 사고에 대해 어느 정도의 범위까지 제시하고 있는지를 나타내고 있는 것으로 보안 정책이 포괄적으로 제시될 경우 보안 준수에도 긍정적 영향을 미칠 수 있음을 나타낸다.
보안 인식교육에는 이미 보안 정책에 대한 이해를 포함하고 있기 때문에 자사의 보안 정책의 어떠한 내용을 담고 있는지 그리고 어떻게 작성되었는지 조직원들로 하여금 인식하게 하는 역할을 하기에 나타난 결과라 생각된다. 또한 보안인식 교육은 보안정책 준수태도와 보안정책 준수의도에 영향을 미치는 것으로 나타났다. 이는 선행연구에서 제시한 결과와 일치하는 것으로 보안인식 교육은 보안정책의 준수를 유도하는 역할을 하기 때문에 나타난 결과라 판단된다.
마지막으로 보안정책 준수태도는 보안정책 준수의도(β=.632 p<0.001)에 유의한 영향을 미치는 것으로 나타났다.
반면에 보안정책의 간결성은 보안정책 준수태도(β=-.105, p<0.01)에는 유의한 영향을 미치는 반면 보안정책 준수 의도(β=.016)와는 아무런 관련이 없는 것으로 나타났다.
6이상이 되어야 한다고 주장하였다[14]. 본 분석에서는 각각의 요인적재값들이 5개의 요인으로 구분되었으며 각각의 요인적재값도 최소 0.669값을 나타내기에 본 기준을 충족하고 있다. 둘째, 교차 적재치(cross-loadings)가 없어야 한다.
이는 Bartlett 검증과 요인화가능성(factorability)을 검토하기 위해 사용되는 표본 적합성 검증(the measure of sampling adequacy)을 통해 확인할 수 있다[17]. 본 연구에서 Bartlett 검증은 .000 수준에서 유의하게 나타났는데 본 결과는 0상관이 존재하지 않음을 나타낸다. 또한 표본 적합성 검증 값은 0.
05수준에서 유의해야 한다[14]. 본 연구에서 사용한 모든 측정변수들은 모두 95% 수준에서 유의하게 나타났다. 다음으로 내적일관성(internal consistency)을 나타내는 Cronbach's alpha가 0.
5미만일 경우 충분한 설명을 하지 못하고 있다고 판단한다[17]. 본 연구에서 제시한 주성분분석 결과에서 모든 측정항목의 공통성은 0.5이상의 값을 나타내고 있기 때문에 모든 항목들이 최소 50%이상의 설명력을 확보하고 있다고 판단할 수 있다. 마지막으로 분산 설명력(variance explained)은 60%이상 되어야 한다[17].
셋째, 고유값(eigenvalue)가 1이상이 되어야 한다. 본 연구에서 추출된 5개의 요인들은 모두 고유값이 1이상의 값을 나타내고 있어서 이 기준도 충족하고 있음을 알 수 있다. 넷째, 각각의 측정항목들의 설명력을 나타내는 공통성(communality)은 0.
마지막으로 분산 설명력(variance explained)은 60%이상 되어야 한다[17]. 본 연구의 경우 총 분산설명력이 79.356으로 80%정도의 분산 설명력을 확보하고 있다고 볼 수 있다.
분석결과 정보보안 인식교육은 보안정책의 포괄성(β=.655, p<0.001)과 간결성(β=.359, p<0.001)에 유의한 영향을 미치는 것으로 나타났다.
016)와는 아무런 관련이 없는 것으로 나타났다. 뿐만 아니라 보안정책의 간결성과 보안정책 준수태도는 음의 관계가 존재하는 것으로 나타났다.
기업 내 다양한 보안 대책이 존재하나 특히 본 연구에서는 많은 연구에서 제시하고 있는 대표적 보안 대책인 정보보안 인식교육과 정보보안 정책이 조직원들의 보안 정책 준수에 어떠한 영향을 미치는지 살펴보았다. 실증 연구를 토대로 도출된 결과를 정리하면 첫째, 보안인식 교육은 보안 정책의 포괄성과 간결성에 정의 영향을 미치는 것으로 나타났다. 보안 인식교육에는 이미 보안 정책에 대한 이해를 포함하고 있기 때문에 자사의 보안 정책의 어떠한 내용을 담고 있는지 그리고 어떻게 작성되었는지 조직원들로 하여금 인식하게 하는 역할을 하기에 나타난 결과라 생각된다.
본 연구와 기존 연구와의 차이점은 다음과 같다. 첫째, 보안 행위는 일회성 이벤트가 아니라 지속적인 행위이다. 이러한 맥락에서 기존 연구들은 보안에 대한 인식교육을 지속적으로 운영해야함을 강조하고 있다[7].

후속연구

본 연구의 한계는 첫째, 분석에 있어서 응답 기업과 무응답 기업간의 차이(non-response bias)를 제시하지 않았다는 것이다. 본 연구의 경우 응답률이 매우 높은 수준이였기 때문에 왜 일부 기업이 응답하지 않았는지는 중요한 요인으로 작용하지는 않았으나 소수의 의견도 이유가 있을 수 있다는 점에서 한계라 볼 수 있다. 둘째, 공통 방법분산(common method variance)을 고려하지 않았다.
본 연구의 한계는 첫째, 분석에 있어서 응답 기업과 무응답 기업간의 차이(non-response bias)를 제시하지 않았다는 것이다. 본 연구의 경우 응답률이 매우 높은 수준이였기 때문에 왜 일부 기업이 응답하지 않았는지는 중요한 요인으로 작용하지는 않았으나 소수의 의견도 이유가 있을 수 있다는 점에서 한계라 볼 수 있다.
이를 위해 본 연구는 조직원들의 보안 행위에 대해 연구하였다. 앞으로 연구는 정보보안에 대한 다양한 대책이 존재하고 시행중임에도 불구하고 이러한 대책들이 왜 제대로 효과를 발휘하지 못하는지에 대한 연구가 필요할 것으로 판단된다.
둘째, 공통 방법분산(common method variance)을 고려하지 않았다. 이는 종속변수가 외적요인(spurious)에 영향을 받았는지 여부를 평가해야 하는 것이 필요하나 본 연구에서는 이를 제시하지 않음으로 인해 한계점이라 볼 수 있다.

핵심어	질문	논문에서 추출한 답변
	보안 시스템의 효과는 무엇인가?	일반적으로 보안 시스템은 조직 내 정보시스템의 취약성을 보완해주며, 정보 보안 침해를 감시함으로 정보 보안에 기여한다. 그러나 이러한 시스템은 개발 및 유지 보수에 많은 자본을 투자하지 못함으로 인해 기대한 결과를 얻지 못하는 경우가 많으며, 비용 절감을 위해 기업용 보안 제품(commercial security products)을 구매하는 경우 조직의 고유한 정보기술 환경과 요구사항에 부합하지 못함으로써 그 효과가 제대로 발휘되지 못하는 경우가 많다[24][26].
	금융산업에서 보안사고가 보고된 곳은 어디인가?	예를 들어, 금융산업에서는 이미 농협중앙회, 삼성카드, 국민은행 및 여러 대부업체, 저축은행 등에서 보안사 고가 보고되었고, 게임산업에서는 넥슨, 엔씨소프트 등에서, 그리고 전자상거래 업체에서는 옥션, 신세계몰, 포털 사이트로 SK컴즈(네이트), 기타 GS칼텍스, 채팅 사이트 등 산업을 불문하고 보안사고가 발생하고 있다. 그러나 그동안 정보보안에 대해 기업들은 소극적으로 대처해 왔다.
	조직원들의 지속적인 정보보안 준수행위를 유도할 있는 요인을 규명한 결과는 어떠한가?	이를 위해 기존연구에서 제시된 보안 대책인 보안인식교육과 보안정책을 선행요인으로 선정하였다. 연구결과 보안인식교육은 보안 정책과 정보보안 정책의 지속적 준수에 유의한 영향을 미치는 것으로 나타났다. 또한 정보보안 정책의 포괄성은 지속적 보안 정책준수 태도와 의도에 유의한 영향을 미치는 반면, 보안 정책의 간결성은 태도에만 유의한 영향을 미치는 것으로 나타났다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

보안 대책이 지속적 보안 정책 준수에 미치는 영향
An Understanding of Impact of Security Countermeasures on Persistent Policy Compliance 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

보안 대책이 지속적 보안 정책 준수에 미치는 영향 An Understanding of Impact of Security Countermeasures on Persistent Policy Compliance 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

박철주 (14) 임명성 (53)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

보안 대책이 지속적 보안 정책 준수에 미치는 영향
An Understanding of Impact of Security Countermeasures on Persistent Policy Compliance 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper