[논문]중소기업에 대한 ISMS 인증효과와 영향요인에 관한 연구

김인관; 박재민; 전중양

doi:10.14400/jdpm.2013.11.1.047

문제 정의

그 결과는 모든 평가영역에서 평균 이상의 보안성을 나타내지 못하였으며, 특히 정보 중요성 관점의 평가항목들을 충족하지 못한 것으로 평가하였다. 또 기존의 외부침입방어 관점의 보안성 평가와 달리 산업기술 유출방지 관점(내부적으로 안전한 정보유통, 정보반출시 책임성 있는 정보추적)의 새로운 보안시스템 평가모형과 측정방법을 제시하고 이에 대한 적합성을 논의하였다. 뒤이은 장항배•송지훈[13]은 1990년대 이후 컴퓨터의 비약적인 발전으로 모든 작업이 컴퓨터에 의존하고 있고, 이로 인해 외부침입자가 아닌 내부자에 의한 기술유출 사고가 빈번하게 발생하고 있다고 본다.
본 연구는 이 같은 문제의식을 바탕으로 산업기술 보호와 관련하여 법률적인 접근보다는 통합기술보안체제의 기능을 하는 국제표준에 대해 그 효과적 활용방안에 대해 접근하고자 하였다. 특히 산업기술 보호와 관련된 대표적 국제표준인 ISO/IEC 27001¹⁾을 토대로 수립된 ISMS(Information Security Management System)를 중소기업에 적용할 경우 그 효과성과 활용 정도에 영향을 미치는 요인을 분석함으로써 효과적인 기술보안체계 구축 및 운영을 위한 함의를 도출하고자 하였다.
반면 전술한 바와 같이 정보보호 제도나 그 영향요인을 분석한 선행연구는 거의 없다. 본 연구는 정보보호를 위해 국제적 표준으로 활용되고 있는 ISO/IEC27000과 관련해 ISMS 인증기업을 대상으로 이들 기업의 ISMS 인증효과에 대한 영향요인이 무엇이었는지 파악하는데 목적이 있다. 특히 ISMS의 활용 효율성과 그 성과의 영향요인을 도출하기 위해 다음과 같은 가설을 설정하였다.
하지만 고숙련인력의 유동성이 증가 하고, 업무활동의 상당부분을 IT기기에 의존하는 등 대 내외적으로 내부기밀 유출의 가능성이 높아짐에 따라 직원의 보안의식 제고를 전담하는 보안조직이 대기업 뿐 아니라 중소기업에서도 속속 설치되고 있다. 이 같은 보안조직이 ISMS 인증의 효과에 어느 정도나 기여하는 지를 확인해 보고자 하였다.
노민선•이삼열[7]에 따르면 기업 규모가 커짐에 따라 산업보안 역량 수준도 높은 것으로 나타났다. 이 같은 설문조사의 결과, 즉 ISMS 인증에 의한 효과가 기업의 규모에 따라 차이가 있는 지 실증적인 분석을 통해 확인하고자 한다.
즉 경영진의 보안의식이 높으면 해당기업의 영업비밀이나 중요기술의 유출이 상대적으로 제한될 수 있다고 볼 수 있다. 이 같은 지적을 바탕으로 통상적으로 인식하고 있는 경영진의 보안의식 수준이 ISMS 인증에 얼마나 효과가 있는지를 알아보고자 한다.
이 같은 현실에서 본 논문은 국내 중소기업의 산업기술 보호 및 유출방지와 관련된 ISMS 적용의 효과성과 활용 정도를 분석하였다. 특히 ISMS 효과에 대한 영향요인을 도출하고, 이러한 영향요인을 바탕으로 중소기업의 산업기술보호에 필요한 효율적인 정책대안을 제시하고자 하였다.
이 같은 현실에서 본 논문은 국내 중소기업의 산업기술 보호 및 유출방지와 관련된 ISMS 적용의 효과성과 활용 정도를 분석하였다. 특히 ISMS 효과에 대한 영향요인을 도출하고, 이러한 영향요인을 바탕으로 중소기업의 산업기술보호에 필요한 효율적인 정책대안을 제시하고자 하였다. 이를 위해 본 논문은 ISMS 인증을 받은 중소 기업을 대상으로 하여 그 활용성과와 관련된 6가지의 가설을 제시하고, 이에 대해 통계적인 가설검정을 실시하였다.
본 연구는 이 같은 문제의식을 바탕으로 산업기술 보호와 관련하여 법률적인 접근보다는 통합기술보안체제의 기능을 하는 국제표준에 대해 그 효과적 활용방안에 대해 접근하고자 하였다. 특히 산업기술 보호와 관련된 대표적 국제표준인 ISO/IEC 27001¹⁾을 토대로 수립된 ISMS(Information Security Management System)를 중소기업에 적용할 경우 그 효과성과 활용 정도에 영향을 미치는 요인을 분석함으로써 효과적인 기술보안체계 구축 및 운영을 위한 함의를 도출하고자 하였다. 명확한 실증분석을 위해 본 연구는 상기 국제표준의 인증을 받은 중소기업만을 대상으로 하였고, 국제표준 적용에 따른 중소기업의 성과는 한국인정원이 2010년도에 실시한 실태조사를 바탕으로 하였다.

가설 설정

2. ( )안은 heteroskedasticity-robust 표준오차를 나타냄. 로버스트 표준오차에 따른 추정 결과에서는 R-squared값을 제공함
[가설 3]은 보안조직이 있는 기업이 ISMS 인증효과가 있다는 것이다. 기업 내 보안전담조직 유무에 따라 ISMS 인증효과 및 성과의 차이가 있는지를 t-검정으로 검토하 기에 앞서 Levene의 등분산 검정을 실시하였는데, 시스템적 보안관리(p<.
가설 1: 제조업과 비제조업에 따라 ISMS 인증의 효과는 차이가 있을 것이다.
가설 2: 기업규모가 큰 기업이 ISMS 인증의 효과가 클 것이다.
가설 3: 보안조직이 있는 기업에서 ISMS 인증의 효과가 있거나 더 클 것이다.
가설 4: 경영진의 보안의식 수준이 높은 경우 ISMS 인증의 효과가 있다.
가설 5: 종업원의 보안의식 수준이 높은 경우 ISMS 인증의 효과가 있다.
가설 6: 정보보안에 대한 투자 수준에 따라 ISMS 인증의 효과가 증가한다.
또 인증에 필요한 비용은 일부 또는 전부 부담할 의사가 있는 것으로 나타났다. 따라서 정보보안에 대한 투자가 증대된다면 ISMS 인증의 효과가 나타날 것으로 가설을 설정하였다.

제안 방법

다음으로 ISMS 인증의 효과 중 운영성과 측면에 대한 총 설문문항 18개에 대해서 요인분석을 실시하였고, 결과적으로 5개의 요인이 추출되었다. ISMS의 운영성과 측면의 문항에 대한 첫 번째 요인은 ‘보안사고 예방과 보안업무의 체계적 관리에 효과적’이며 ‘일관된 목표관리 능력’과 ‘직원들의 보안에 대한 인식 제고’ 등을 포괄하는 『실행적 보안관리』에 대한 효과로 그룹화될 수 있으며, 두 번째 요인은 ‘시스템적 운영방식의 활성화’나 ‘정보 수집’ 및 ‘성과 예측 가능’ 등이 그룹화될 수 있는 『시스템 적 보안관리』로 구분되었다.
또 ISMS 인증의 성과요소 각각에 대해 2개의 회귀모형을 적용하였다. 첫 번째는 제조업 여부와 기업 규모를 통제변수로 하고, 앞서 실시한 t-검정과 F-검정에서 유의한 차이를 보였던 변수를 설명변수로 하여 추정한 것이다.
설문내용은 인증기업 및 전문가에 대해 별도로 작성 되었으며, 설문대상별 편차를 확인하기 위하여 일부 동일한 내용이 각각의 설문에 포함되어 있다. 이중 인증기업에 대한 설문항목은 7개 분야 174항목으로 구성되어 있는데, ISMS 인증의 효과 및 성과에 대해서는 먼저 경영성과 측면과 운영적 측면으로 구분하고 이들 각각에 대해 8개와 19개의 설문문항으로 조사하고 있다.
실증분석을 위해 우선 타당성을 분석하였다. 타당성 분석은 일반적으로 측정도구가 측정하고자 하는 변수에 대해 개념이나 속성을 얼마나 정확하게 측정하고 있는가를 알아보기 위함이다.
이 같은 주성분분석법은 상관관계가 높은 변수들을 조합해서 그 변수들의 정보를 가능한 많이 함축하고 있는 새로운 인위적인 변수를 만들어냄으로써 많은 자료를 단순화하고 요약•정리하기 때문에 “자료 축약기법”으로 불리는데, 본 논문에서는 이 과정을 통해 ISMS 인증 의 효과 및 성과를 구성하는 경영성과 측면과 운영성과 측면을 대표하는 요인을 도출하였다.
특히 ISMS 효과에 대한 영향요인을 도출하고, 이러한 영향요인을 바탕으로 중소기업의 산업기술보호에 필요한 효율적인 정책대안을 제시하고자 하였다. 이를 위해 본 논문은 ISMS 인증을 받은 중소 기업을 대상으로 하여 그 활용성과와 관련된 6가지의 가설을 제시하고, 이에 대해 통계적인 가설검정을 실시하였다. 실증분석 및 가설검정 결과는 다음과 같이 요약해 볼 수 있다.
회귀 분석을 실시하기 전에 설명변수 사이에 서로 상관관계가 없는지 확인하였다. 이를 위해 업종, 기업규모, 보안전담 조직 여부, 경영진 및 종업원의 보안의식 수준 그리고 정보보안에 대한 투자수준을 설명변수로 하는 회귀식의 VIF(Variance Inflation Factor)를 측정하였다. 결과적으 로 평균 VIF가 1.
타당성 분석은 일반적으로 측정도구가 측정하고자 하는 변수에 대해 개념이나 속성을 얼마나 정확하게 측정하고 있는가를 알아보기 위함이다. 이를 위해 일차적으로 인증효과 및 성과에 대하여 요인분석(factor analysis)을 실시하였다. 요인분석 방법으로는 주성분(principle components) 분석법을 사용하였는데, 고유치(eigenvalue)가 1 이상이 되는 요인그룹을 선택하였고, 요인 축 간의 독립성을 유지하면서 회전하기 때문에 요인 축 간의 상관관계가 거의 없는 직각회전(varimax)법을 요인회전방식으로 사용하였다.
또 ISMS 인증의 성과요소 각각에 대해 2개의 회귀모형을 적용하였다. 첫 번째는 제조업 여부와 기업 규모를 통제변수로 하고, 앞서 실시한 t-검정과 F-검정에서 유의한 차이를 보였던 변수를 설명변수로 하여 추정한 것이다. 따라서 [표 11]에서 볼 수 있듯이 각 성과변수별로 설명변수의 조합에는 차이가 있게 된다.
다음 분석단계로 요인분석을 통해 도출한 ISMS 인증의 효과 및 성과변수에 대해 가설에서 제시한 설명변수의 영향을 확인하기 위해 회귀분석을 실시하였다. 회귀 분석을 실시하기 전에 설명변수 사이에 서로 상관관계가 없는지 확인하였다. 이를 위해 업종, 기업규모, 보안전담 조직 여부, 경영진 및 종업원의 보안의식 수준 그리고 정보보안에 대한 투자수준을 설명변수로 하는 회귀식의 VIF(Variance Inflation Factor)를 측정하였다.

대상 데이터

특히 산업기술 보호와 관련된 대표적 국제표준인 ISO/IEC 27001¹⁾을 토대로 수립된 ISMS(Information Security Management System)를 중소기업에 적용할 경우 그 효과성과 활용 정도에 영향을 미치는 요인을 분석함으로써 효과적인 기술보안체계 구축 및 운영을 위한 함의를 도출하고자 하였다. 명확한 실증분석을 위해 본 연구는 상기 국제표준의 인증을 받은 중소기업만을 대상으로 하였고, 국제표준 적용에 따른 중소기업의 성과는 한국인정원이 2010년도에 실시한 실태조사를 바탕으로 하였다.
본 연구의 분석이 기초하는 자료는 「ISMS : Information Security Management System(정보보안경 영시스템) 국제표준 도입 및 인증의 효과성에 대한 실태 조사」라는 제목으로 ISO/IEC 27001⁴⁾ 인증기관으로부터 동 국제표준에 의해 인증을 획득한 기업과 정보보안과 관련된 학계, 산업계, 인증심사원 및 컨설턴트를 대상으로 실시된 조사의 결과이다.
이 조사는 ISO/IEC 27001 인증을 획득한 119개 국내 기업 및 기관(이하 “기업”, “조직” 또는 “인증기업”) 전체를 설문대상으로 하였으며 55개 기업이 응답하였고, 회수율은 46.2%를 나타냈다([표 4] 참조).

데이터처리

그리고 이 같은 요인분석 결과에 대해 각 척도의 신뢰성을 평가하기 위해 크론바흐 알파계수(Cronbach's alpha reliability coefficient)를 구하였다.
기업 규모에 따라 ISMS 인증효과에 차이가 있다는 [가설 2]의 경우 기업의 규모가 100인 미만, 100∼500인, 500인 이상으로 구성된 만큼 기업규모 구분에 따른 ISMS 인증 성과의 차이에 대하여 요소별로 ANOVA를 활용한 F-검정을 실시하였다.
다음 분석단계로 요인분석을 통해 도출한 ISMS 인증의 효과 및 성과변수에 대해 가설에서 제시한 설명변수의 영향을 확인하기 위해 회귀분석을 실시하였다. 회귀 분석을 실시하기 전에 설명변수 사이에 서로 상관관계가 없는지 확인하였다.
다음으로 [가설 4]에 대하여 ANOVA 분석을 실시하였다. 이것은 경영진의 보안의식 수준이 높은 경우 ISMS 인증의 효과가 있다는 것인데, 분석 결과 경영성과 측면 에서는 기업 외부환경 성과에 대해서 그리고 운영적 측면에서는 시스템 보안관리와 보안업무체계 요인에 대해서는 경영진의 보안의식 수준에 따라 통계적으로 유의미 한 차이가 있는 것으로 분석되었다.
아래에서는 ISMS 인증효과에 관한 영향요인을 분석하기 위해서 55개 응답기업의 특성(업종, 기업규모, 보안 전담조직 보유 여부)과 경영진 및 종업원의 보안의식 수준 그리고 정보보안에 대한 투자수준 등 주요 핵심 문항 을 중심으로 성과요소별 점수에 대한 t-검정과 F-검정을 실시하여 그 결과 전술한 가설이 통계적으로 유의한지를 분석하였다.
우선 제조업 혹은 비제조업에 따라 ISMS 인증효과에 차이가 있다는 [가설 1]과 관련해 업종 구분에 따른 ISMS 인증효과의 차이에 대하여 t-검정을 실시하였다. 분석 결과, 경영성과 측면이나 운영적 측면에서 모두 통 계적으로 유의하지 않은 것으로 분석되었다.
이제 [가설 6]에 대해 F-검정을 실시하도록 하였다. 이것은 정보보안에 대한 투자수준에 따라 ISMS 인증의 효과에 차이가 있을 것이라는 가설이다.

이론/모형

066)에 있어 이분산성을 확인할 수 있었다.⁸⁾ 이들 변수에 존재하 는 이분산성을 고려하기 위해 일반적인 최소자승법 (OLS) 대신 Huber-White의 로버스터(robust) 추정을 실시하였다.⁹⁾
이를 위해 일차적으로 인증효과 및 성과에 대하여 요인분석(factor analysis)을 실시하였다. 요인분석 방법으로는 주성분(principle components) 분석법을 사용하였는데, 고유치(eigenvalue)가 1 이상이 되는 요인그룹을 선택하였고, 요인 축 간의 독립성을 유지하면서 회전하기 때문에 요인 축 간의 상관관계가 거의 없는 직각회전(varimax)법을 요인회전방식으로 사용하였다.
그러나 서로 다른 업종과 규모의 기업에 대한 조사 결과는 이분산성(heteroskedasticity) 존재를 의심하게 한다. 이분산성의 검정을 위해 아래에는 잘 알려진 Breusch-Pagan/Cook-Weisber 검정을 실시하였다[25]. 검정결과, 성과요인 중 시스템적 보안관리(p=0.

성능/효과

F-검정 을 통해 분석한 결과, 실행적 보안관리 요인에 대해서 통계적으로 대단히 유의미한 차이(p<.01)가 있는 것으로 분석되었는데, 이것은 ISMS 인증효과 중 보안사고의 예방이나 보안업무의 체계적 관리, 보안 문화 형성 등과 같이 보안관리 업무의 실행단계에서 보다 효과적으로 성과와 연계된다는 점을 나타낸다.
ISMS의 운영성과 측면의 문항에 대한 첫 번째 요인은 ‘보안사고 예방과 보안업무의 체계적 관리에 효과적’이며 ‘일관된 목표관리 능력’과 ‘직원들의 보안에 대한 인식 제고’ 등을 포괄하는 『실행적 보안관리』에 대한 효과로 그룹화될 수 있으며, 두 번째 요인은 ‘시스템적 운영방식의 활성화’나 ‘정보 수집’ 및 ‘성과 예측 가능’ 등이 그룹화될 수 있는 『시스템 적 보안관리』로 구분되었다.
이를 위해 업종, 기업규모, 보안전담 조직 여부, 경영진 및 종업원의 보안의식 수준 그리고 정보보안에 대한 투자수준을 설명변수로 하는 회귀식의 VIF(Variance Inflation Factor)를 측정하였다. 결과적으 로 평균 VIF가 1.75에 지나지 않았고, 각 변수들의 VIF가 2.5를 넘는 경우는 없어 다중공선성(multicollinearity) 문제는 없었다.
결과적으로 요인분석을 통해 ISMS 인증의 효과 및 성과를 구성하는 두 유형, 즉 경영성과 측면과 운영성과 측면에서 각각 2개 요인(기업 외부환경 성과, 기업 내부환경 성과)과 4개 요인(실행적 보안관리, 시스템적 보안관리, 보안업무체계, 자원관리보안체계)을 추출하게 되었다.
그 결과 모든 변수들의 크론바흐 알파계수가 0.6 이상으로 신뢰성이 확보되었고, 전체 총분산 중 67.8%를 설명해 우수한 설명력을 가진 것으로 판단되었다.
기업 규모에 따라 ISMS 인증효과에 차이가 있다는 [가설 2]의 경우 기업의 규모가 100인 미만, 100∼500인, 500인 이상으로 구성된 만큼 기업규모 구분에 따른 ISMS 인증 성과의 차이에 대하여 요소별로 ANOVA를 활용한 F-검정을 실시하였다. 그 결과, 업종과 마찬가지로 경영성과 측면이나 운영적 측면 모두 통계적으로 유의하지 않은 것으로 분석되었고, 결과적으로 기업 규모는 그 자체만으로 ISMS 인증의 성과에 크게 영향을 미치지 못하는 것으로 보았다.
기업 내 보안전담조직 유무에 따라 ISMS 인증효과 및 성과의 차이가 있는지를 t-검정으로 검토하 기에 앞서 Levene의 등분산 검정을 실시하였는데, 시스템적 보안관리(p<.01)와 보안업무체계(p<.1)는 등분산 가정에 위배됨을 확인할 수 있었다.
넷째, 경영진 및 종업원의 보안의식이 ISMS 인증에 차이를 가질 것이라는 가설에 대해서는 기업의 내부환경, 실행적 보안관리, 시스템적 보안관리 그리고 자원관리 보안체계 등 폭넓은 성과요인들에 있어 그 효과를 확인할 수 있었다. 또 대체로 경영진의 보안의식은 경영성과 측면에서 유의하게 나타난 반면 종업원의 보안의식 수준은 운영적 측면의 성과에 보다 유의하게 영향을 미치는 것으로 나타났다.
다섯째, 정보보안에 대한 투자 수준이 ISMS 인증효과 및 성과에 차이를 가져올 것이라는 가설에 대해서는 통계적으로 대단히 유의미한 결과를 확인할 수 있었다. 특히 이것은 경영적 측면은 물론 운영적 측면에서도 성과에 긍정적인 영향을 미쳤고, 특히 보안업무체계와 자원 관리 보안체계와 같이 보안업무의 관리 능력을 향상시키는 것으로 나타났다.
이것은 경영진의 보안의식 수준이 높은 경우 ISMS 인증의 효과가 있다는 것인데, 분석 결과 경영성과 측면 에서는 기업 외부환경 성과에 대해서 그리고 운영적 측면에서는 시스템 보안관리와 보안업무체계 요인에 대해서는 경영진의 보안의식 수준에 따라 통계적으로 유의미 한 차이가 있는 것으로 분석되었다. 다시 말해, 경영진의 보안의식이 높을수록 보안투자의 효율성이 증가하고, 정보 유출 등 보안사고의 감소에도 기여하는 것으로 나타났다. 더불어 경영진의 보안의식은 보안업무에 대한 체계성과 일관성을 높이고 정량화된 성과 측정과 데이터에 근거한 의사결정과 같은 보안관리의 시스템화에 기여함과 동시에 보안업무에 대한 책임과 권한 그리고 부서간 연계 협력체제의 구축과 같은 보안업무체계가 마련되는데 기여하는 것으로 판단된다.
다음으로 ISMS 인증의 운영적 측면을 나타내는 4개의 성과변수에 대해서도 동일한 회귀분석을 실시하였는데, 그 중 실행적 보안관리의 성과는 보안전담조직과 종업원의 보안의식 수준이 높을수록 정비례한다는 결과를 확인할 수 있었다. 단지 회귀식 (3-2)에서는 보안전담조직 대신 정보보안 투자의 수준이 영향을 미치는 것으로 나타났는데, 보안전담조직과 정보보안 투자는 서로 상관 관계가 있을 수 있음을 감안하면 [표 7]과 [표 9]을 포함한 분석의 결과는 대체로 일관된다고 판단된다.
대체로 정보보안 투자는 경영진의 보안의식과 상관성이 있다고 예상되었지만 실증분석 결과 그렇지 않았고, 경영진의 보안의식을 종업원의 보안의식이 따라가는 것도 아니라는 점에서 인증이나 물리적 투자의 성과를 담보하기 위해서는 경영진은 물론 종업원의 보안의식을 함양하기 위한 별도의 관심과 노력이 요구된다고 하겠다. 더불어 적어도 ISMS 인증을 받은 중소기업에 있어서는 제조업과 서비스업의 업종 구분이 크게 영향을 못 미치는 것으로 나타나 업종이나 산업의 구분 없이 향후 인증과 관련된 지원을 추진해야 할 것으로 보았다. 단지 본 논문이 ISMS 인증을 받은 기업만을 대상으로 하였기 때문에 인증의 효과성을 논하기에는 다소 한계를 지니고 있다고 하겠다.
넷째, 경영진 및 종업원의 보안의식이 ISMS 인증에 차이를 가질 것이라는 가설에 대해서는 기업의 내부환경, 실행적 보안관리, 시스템적 보안관리 그리고 자원관리 보안체계 등 폭넓은 성과요인들에 있어 그 효과를 확인할 수 있었다. 또 대체로 경영진의 보안의식은 경영성과 측면에서 유의하게 나타난 반면 종업원의 보안의식 수준은 운영적 측면의 성과에 보다 유의하게 영향을 미치는 것으로 나타났다. 즉, 경영진의 보안의식이 높을수록 보안투자의 효율성이나 보안사고의 감소에 효과적이고, 종업원의 보안의식 수준은 보안업무의 체계적 운영을 도모 할 수 있다는 면에서 적절한 결과로 판단된다.
이 중 제조업은 22개(40%)였으며, 비제조업은 33개(60%)로 구성되었다. 또한 전체적으로 ISO/IEC 27001 인증기업은 중견기업 이상의 규모가 많은 것으로 나타났으며, 응답기업의 경우도 500인 이상의 사업장이 52.7%로 과반수를 넘는 것으로 나타났다. 500인 이상 다음으로는 100인 미만 (21.
본 연구에서 채택한 독립변수인 보안전담조직 보유 여부는 보유와 미보유로, 경영진과 종업원의 보안의식 수준은 각각 높음, 보통, 낮음으로, 정보보안에 대한 투자 수준 역시 높음, 보통, 낮음으로 응답하도록 하였다.
우선 제조업 혹은 비제조업에 따라 ISMS 인증효과에 차이가 있다는 [가설 1]과 관련해 업종 구분에 따른 ISMS 인증효과의 차이에 대하여 t-검정을 실시하였다. 분석 결과, 경영성과 측면이나 운영적 측면에서 모두 통 계적으로 유의하지 않은 것으로 분석되었다.⁷⁾ 따라서 ISMS 인증의 효과는 업종에 따라서 차이가 있지 않은 것으로 판단된다.
셋째, ISMS 인증은 보안조직이 있는 기업에서 더욱 긍정적인 효과를 가질 것이라는 가설을 검토한 결과 유의미한 상관관계가 있는 것으로 나타났다. 중소기업의 보안업무를 체계적으로 관리하는 것은 실행적 보안관리와 시스템적 보안관리에 있어 기업의 산업기술보호에 효과적이라는 것을 알 수 있었고, 이 가설은 지지되었다고 판단된다.
이 같은 t-검정과 F-검정 결과, 즉 기술보호와 관련한 ISMS 인증의 효과 및 성과를 요인별로 분석한 결과, 보안전담조직이 있을 경우 실행적 보안관리 및 시스템적 보안관리에 대한 성과 및 효과가 보안전담조직이 없을 때보다 유의미한 차이가 있고, 경영진의 보안의식 수준이 높으면 높을수록 기업 내부환경 성과, 시스템적 보안 관리, 보안업무체계를, 종업원의 보안의식 수준은 실행적 보안관리 효과를 증진시켰으며, 정보보안 투자 수준은 기업 외부환경 성과, 보안업무체계 그리고 자원관리 보안체계에 대한 효과가 있었음을 확인할 수 있었다.
이 같은 조건에서 실시한 t-검정에서 보안전담조직 여부가 비교적 높은 유의 성(p<.05)으로 시스템적 보안관리에 영향을 주는 것을 확인할 수 있었다.
이 요인분석 결과를 바탕으로 볼 때 ISMS 인증의 효과를 구성하는 첫 번째 요인은 ‘법규준수에 효과적’, ‘고객 및 이해관계자의 신뢰 증가’ 등에 기여하는 『기업 외 부환경 성과』로 그룹화될 수 있으며, 두 번째 요인은 ‘보안투자의 효율성 증가’, ‘보안투자 비용 감소’, ‘보안사고 감소’ 등 『기업 내부환경 성과』로 그룹화 될 수 있다고 보았다.
본 논문이 기반하고 있는 「ISMS 국제표준 도입 및 인증의 효과성에 대한 실태조사」는 응답기업에 “귀사는 정보보안을 위한 보안비용 투자는 어떻습니까?”라고 묻고, 이를 5점 리커트 척도로 답하도록 하고 있다. 이 정보를 바탕으로 정보 보안에 대한 투자 수준에 따른 ISMS 인증효과 및 성과의 차이에 대하여 F-검정을 실시한 결과, 경영성과 측면이나 운영적 측면 모두에서 통계적으로 유의한 결과를 얻을 수 있었다. 특히 앞선 보안전담 조직, 경영진 보안의식 그리고 종업원 보안의식에서의 결과와 비교해 상당한 차이가 있었다.
다음으로 [가설 4]에 대하여 ANOVA 분석을 실시하였다. 이것은 경영진의 보안의식 수준이 높은 경우 ISMS 인증의 효과가 있다는 것인데, 분석 결과 경영성과 측면 에서는 기업 외부환경 성과에 대해서 그리고 운영적 측면에서는 시스템 보안관리와 보안업무체계 요인에 대해서는 경영진의 보안의식 수준에 따라 통계적으로 유의미 한 차이가 있는 것으로 분석되었다. 다시 말해, 경영진의 보안의식이 높을수록 보안투자의 효율성이 증가하고, 정보 유출 등 보안사고의 감소에도 기여하는 것으로 나타났다.
「부정경쟁방지 및 영업비밀 보호에 관한 법률」은 “영업비밀이란 공공연히 알려져 있지 아니하고 독립된 경제적 가치를 가지는 것으로서, 상당한 노력에 의하여 비밀로 유지된 생산방법, 판매방법, 그 밖에 영업활동에 유용한 기술상 또는 경영상의 정보를 말한다”고 정의한 바 있다. 이처럼 보호해야 하는 기밀이란 기업의 기술상 및 경영상의 정보 등도 포함해야 하고, 국내에서 ISMS 인증을 받은 기업수도 비제조업이 많은 현실에서 볼 때 ISMS 도입이 제조업과 비제조업 중 어디에 더 큰 효과를 가져 올 것인가를 보는 것은 정책적 함의가 크다고 보았다.⁵⁾
셋째, ISMS 인증은 보안조직이 있는 기업에서 더욱 긍정적인 효과를 가질 것이라는 가설을 검토한 결과 유의미한 상관관계가 있는 것으로 나타났다. 중소기업의 보안업무를 체계적으로 관리하는 것은 실행적 보안관리와 시스템적 보안관리에 있어 기업의 산업기술보호에 효과적이라는 것을 알 수 있었고, 이 가설은 지지되었다고 판단된다.
또 대체로 경영진의 보안의식은 경영성과 측면에서 유의하게 나타난 반면 종업원의 보안의식 수준은 운영적 측면의 성과에 보다 유의하게 영향을 미치는 것으로 나타났다. 즉, 경영진의 보안의식이 높을수록 보안투자의 효율성이나 보안사고의 감소에 효과적이고, 종업원의 보안의식 수준은 보안업무의 체계적 운영을 도모 할 수 있다는 면에서 적절한 결과로 판단된다.
더불어 보안전담조직은 실행적 보안 관리에도 영향을 주었는데, 다시 말해 보안전담조직이 존재할 경우 보안업무에 대한 일관된 방침 및 목표 관리가 가능해지고, 일회적이 아닌 지속적인 보안관리가 가능하다는 점을 보여준다고 하겠다. 즉, 분석 결과, 실행적 보안관리와 시스템적 보안관리 요인에 대해서는 보안전 담조직 유무에 따라 통계적으로 유의미한 차이가 있는 것으로 분석되었다.
첫째, 제조업과 서비스업에 따라 ISMS 인증의 효과에 차이가 있을 것이라는 가설은 t-검정 및 회귀분석 결과 유의하지 않은 것으로 나타났다. 비록 「부정경쟁방지 및 영업비밀 보호에 관한 법률」에 따른 보호해야 하는 기밀에 기업의 기술 뿐 아니라 경영상의 정보 등도 포괄적으로 규정하고 있고, 인증을 받은 기업수도 비제조업이 많지만 업종에 따른 효과성 차이는 없다는 면에서 ISMS 인증의 효과가 굳이 서비스업에 국한되지 않는다고 볼 수 있겠다.
추정 결과, 기업의 외부환경 성과를 종속변수로 한 (1-1)과 (1-2)에서는 정보보안 투자가 적극적인 경우에 소극적인 기업에 비해 법규준수나 고객 및 이해관계자의 신뢰가 증가하는 효과가 있는 것으로 나타났고, 이것은 앞서 실시한 일원분산분석(ANOVA) 결과와 일치하는 결과이다.
다섯째, 정보보안에 대한 투자 수준이 ISMS 인증효과 및 성과에 차이를 가져올 것이라는 가설에 대해서는 통계적으로 대단히 유의미한 결과를 확인할 수 있었다. 특히 이것은 경영적 측면은 물론 운영적 측면에서도 성과에 긍정적인 영향을 미쳤고, 특히 보안업무체계와 자원 관리 보안체계와 같이 보안업무의 관리 능력을 향상시키는 것으로 나타났다.

후속연구

둘째, 기업 규모에 따른 ISMS 인증의 효과나 성과 차이도 확인하지 못하였다. 이것은 노민선․이삼열[7]에서 기업 규모가 산업보안 역량 수준과 유의미한 관계로 나타난 것과는 다소 차이가 있다.

핵심어	질문	논문에서 추출한 답변
	산업보안의 정의는 무엇인가?	또한 산업보안과 정보보안은 실무적으로는 혼용해서 사용하지만3) 엄밀한 의미에서는 상당히 다른 개념이라는 점에서 보다 엄밀한 분석을 위해서는 구분되어야 할 필요성이 있다. 예를 들어, 국가정보대학원[1]은 산업보안을 “첨단기술 뿐만 아니라 산업활동에 유용한 기술상․경영상의 정보나 인원, 문서, 시설, 통신 등을 산업스파이나 경쟁관계에 있는 기업은 물론이고 특정한 관계가 없는 자에게 누설 또는 침해당하지 않도록 보호․관리하기 위한 대응방안이나 활동”을 의미하는 것으로 정의하고 있다. 또 최선태·유형창[19]은 산업자산에 대한 보안, 즉 산업 활동을 하는 모든 구성원, 시설물과 같은 유형 자산과 정보를 포함한 무형자산 그리고 서비스와 프로세스에 대한 보호와 안전성을 유지하는 모든 활동, 또는 산업자산의 안정성을 제고하는 제반 활동을 산업보안이라고 정의하였고, 노민선․이삼열[7]은 산업체에서 직접보유하거나 산업활동과 관련된 물리적 자산, 인적자산, 기술상․경영상의 정보를 중요도에 따라 각종 위해요소로 부터 보호하는 모든 활동이라고 정의한 바 있다.
	산업기술이란 무엇인가?	「산업기술혁신촉진법」에 따르면 “산업기술”이란 「산업발전법」제2조에 따른 산업, 「광업법」 제3조 제 2호에 따른 광업, 「에너지법」 제2조 제1호에 따른 에너 지와 관련한 산업, 「신에너지 및 재생에너지 개발·이용· 보급 촉진법」 제2조 제1호에 따른 신·재생에너지와 관 련한 산업 및 「정보통신산업 진흥법」 제2조 제2호에 따른 정보통신산업의 발전에 관련된 기술로 정의하고 있다. 「산업기술유출방지 및 보호에 관한 법률」은 “산업 기술”을 제품 또는 용역의 개발·생산·보급 및 사용에 필요한 제반 방법 내지 기술상의 정보 중에서 관계중앙행 정기관의 장이 소관 분야의 산업경쟁력 제고 등을 위하여 법령이 규정한 바에 따라 지정 또는 고시·공고하는 기술로 ① 국내에서 개발된 독창적인 기술로서 선진국 수준과 동등 또는 우수하고 산업화가 가능한 기술, ② 기존 제품의 원가절감이나 성능 또는 품질을 현저하게 개선시 킬 수 있는 기술, ③ 기술적·경제적 파급효과가 커서 국가기술력 향상과 대외경쟁력 강화에 이바지할 수 있는 기술, ④ 이들의 산업기술을 응용 또는 활용하는 기술로 정의되며, 법으로 정한 산업기술은 일반적인 산업기술이 아닌 법으로 보호해야 하는 대상을 명백히 규정한 것이다.
	산업기술 유출을 방지 하기 위해서 국가적인 통합 보안관리시스템의 구축이 필요한 이유는 무엇인가?	이어 2007년에는 핵심기술의 적극적인 보호를 위해 「산업기술보호의 유출방지 및 보호에 관한 법률」 이 제정된 바 있다. 하지만 인적․물적 자원이 풍부한 일부 대기업을 제외한 대부분의 중소기업은 경영진의 보안 의지와 기술보호에 대한 지식과 경험이 부족하고, 기술 유출방지를 전담할 조직이 없어 법률 제정만으로 기술자산에 대한 효과적인 보호를 기대하기 어려운 실정이다 [6]. 따라서 산업기술의 유출 방지를 위해서는 지재권 등 제도적인 보호수단과 더불어 기술에 관한 국가적인 통합 보안관리시스템의 구축이 필요해진다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 중소기업에 대한 ISMS 인증효과와 영향요인에 관한 연구
An Study on the Effects of ISMS Certification and the Performance of Small and Medium Enterprises 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 중소기업에 대한 ISMS 인증효과와 영향요인에 관한 연구 An Study on the Effects of ISMS Certification and the Performance of Small and Medium Enterprises 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

데이터처리

이론/모형

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

박재민 (23) 전중양 (7)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 중소기업에 대한 ISMS 인증효과와 영향요인에 관한 연구
An Study on the Effects of ISMS Certification and the Performance of Small and Medium Enterprises 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper