조직의 정보보안을 위해서는 세 가지 유형의 정보보안(기술적, 물리적 및 관리적 보안) 모두가 중요하며 병행 추진되어야 할 것이지만, 본 연구는 관리적 보안대책의 수립 및 추진의 효과성을 보다 높이기 위한 이론적 근거를 확보하는데 연구목표를 설정하였다. 즉, 기술적 및 물리적 보안대책이 철저하게 정비되고 추진된다고 하더라도 이를 준수하고 실행하는 주체는 결국 조직구성원들이므로 기술적 및 물리적 보안대책이 소기의 성과를 이루기 위해서는 이에 부응한 관리적 보안대책이 균형 있게 추진되는 것이 필수적이기 때문에 관리적 보안을 보다 효과적으로 수행할 수 있기 위한 이론적 근거를 확보하는 것은 매우 중요한 의미를 지닌다고 본다. 특히, 본 연구에서는 효과적인 관리적 보안대책의 수립 추진의 핵심과제라고 할 수 있는 조직구성원들의 정보보안기술 사용의도를 향상시키기 위한 방안 마련 시에 적용될 수 있는 이론적 모형을 개발 제시하고자 하였다. 이를 위해 정보보안기술 사용의도에 영향을 미치는 요인들을 주요 관련 이론 및 선행연구들에 대한 체계적 고찰을 통해 도출하고 이들 간의 인과적 관계를 논리적으로 추론함으로써 연구모형 및 가설을 도출하였다. 실증분석을 위해서는 국내 대기업들의 직원들을 대상으로 현장서베이를 통한 자료수집을 하였고 부분최소자승법(PLS: Partial Least Squares)기법에 의한 구조방정식 모형분석을 실시하였다. 본 연구의 유의한 결과는 이론적인 측면에서 관리적 정보보안 분야 연구의 외연을 확대하는데 기여할 수 있다고 보며, 실무적인 측면에서는 제반 조직들이 관리적 정보보안 방안 및 대책 수립을 함에 있어서 업무지침의 일부로 적용될 수 있을 것으로 예상된다.
조직의 정보보안을 위해서는 세 가지 유형의 정보보안(기술적, 물리적 및 관리적 보안) 모두가 중요하며 병행 추진되어야 할 것이지만, 본 연구는 관리적 보안대책의 수립 및 추진의 효과성을 보다 높이기 위한 이론적 근거를 확보하는데 연구목표를 설정하였다. 즉, 기술적 및 물리적 보안대책이 철저하게 정비되고 추진된다고 하더라도 이를 준수하고 실행하는 주체는 결국 조직구성원들이므로 기술적 및 물리적 보안대책이 소기의 성과를 이루기 위해서는 이에 부응한 관리적 보안대책이 균형 있게 추진되는 것이 필수적이기 때문에 관리적 보안을 보다 효과적으로 수행할 수 있기 위한 이론적 근거를 확보하는 것은 매우 중요한 의미를 지닌다고 본다. 특히, 본 연구에서는 효과적인 관리적 보안대책의 수립 추진의 핵심과제라고 할 수 있는 조직구성원들의 정보보안기술 사용의도를 향상시키기 위한 방안 마련 시에 적용될 수 있는 이론적 모형을 개발 제시하고자 하였다. 이를 위해 정보보안기술 사용의도에 영향을 미치는 요인들을 주요 관련 이론 및 선행연구들에 대한 체계적 고찰을 통해 도출하고 이들 간의 인과적 관계를 논리적으로 추론함으로써 연구모형 및 가설을 도출하였다. 실증분석을 위해서는 국내 대기업들의 직원들을 대상으로 현장서베이를 통한 자료수집을 하였고 부분최소자승법(PLS: Partial Least Squares)기법에 의한 구조방정식 모형분석을 실시하였다. 본 연구의 유의한 결과는 이론적인 측면에서 관리적 정보보안 분야 연구의 외연을 확대하는데 기여할 수 있다고 보며, 실무적인 측면에서는 제반 조직들이 관리적 정보보안 방안 및 대책 수립을 함에 있어서 업무지침의 일부로 적용될 수 있을 것으로 예상된다.
Although three types of the information security measures (technical, physical and managerial ones) are all together critical to maintaining information security in the organizations and should be implemented at the same time, this study aims at providing theoretical basis of establishing and implem...
Although three types of the information security measures (technical, physical and managerial ones) are all together critical to maintaining information security in the organizations and should be implemented at the same time, this study aims at providing theoretical basis of establishing and implementing effective managerial security measures. The rationale behind this research objective is that it is very important to effectively perform the managerial security measures to achieve the target performance level of the technical and the physical security measures because main agents of practicing the information security measures in the organizations are staff members even though the technical and the physical ones are well constructed and implemented. In particular, this study intends to develop and propose the theoretical model applicable to providing the way of improving organizational members' intention to use information security technologies since the very intention to use them is essential to effectively establishing and promoting managerial security measures. In order to achieve the objective of this study, the factors critical to influencing upon the intention to use information security technologies are derived through systematically reviewing related theories and previous studies, and then the research model and hypotheses are proposed by logically reasoning the casual relationship among the these factors. Also, the empirical analyses are performed by conducting the survey of the organization members of domestic large companies and analyzing the structural equation model by PLS (Partial Least Squares) method. The significant results of this study can contribute to expanding the research area of managerial information security and can be applied to suggesting the practical guidelines for effectively establishing and implementing the managerial security measures in various organizations.
Although three types of the information security measures (technical, physical and managerial ones) are all together critical to maintaining information security in the organizations and should be implemented at the same time, this study aims at providing theoretical basis of establishing and implementing effective managerial security measures. The rationale behind this research objective is that it is very important to effectively perform the managerial security measures to achieve the target performance level of the technical and the physical security measures because main agents of practicing the information security measures in the organizations are staff members even though the technical and the physical ones are well constructed and implemented. In particular, this study intends to develop and propose the theoretical model applicable to providing the way of improving organizational members' intention to use information security technologies since the very intention to use them is essential to effectively establishing and promoting managerial security measures. In order to achieve the objective of this study, the factors critical to influencing upon the intention to use information security technologies are derived through systematically reviewing related theories and previous studies, and then the research model and hypotheses are proposed by logically reasoning the casual relationship among the these factors. Also, the empirical analyses are performed by conducting the survey of the organization members of domestic large companies and analyzing the structural equation model by PLS (Partial Least Squares) method. The significant results of this study can contribute to expanding the research area of managerial information security and can be applied to suggesting the practical guidelines for effectively establishing and implementing the managerial security measures in various organizations.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구는 위의 세 가지 정보보안 활동 영역 중 관리적 보안에 초점을 두며, 관리적 보안업무에서 핵심사항들 중 하나인 조직구성원들의 정보보안의지 및 능력 강화를 위한 정책 수립 및 방안 마련을 위한 이론적 근거를 제공하는데 목표를 둔다. 조직구성원들의 정보보안의지 및 능력은 조직구성원 개개인이 정보보안을 위해 일상 업무에서 조직이 제공하고 있는 정보보안기술을 얼마나 적극적으로 사용하는가에 의해 좌우될 것으로 판단되며, 이에 본 연구는 조직행태적 연구접근방법에 기반하여 조직구성원들의 정보보안기술 사용에 영향을 미치는 요인들을 제반 관련 이론들의 통합적 고찰을 통해 이론적으로 도출하고 현장 서베이 조사를 통해 도출된 요인들을 실증적으로 확인하고자 한다.
본 연구는 위의 세 가지 정보보안 활동 영역 중 관리적 보안에 초점을 두며, 관리적 보안업무에서 핵심사항들 중 하나인 조직구성원들의 정보보안의지 및 능력 강화를 위한 정책 수립 및 방안 마련을 위한 이론적 근거를 제공하는데 목표를 둔다. 조직구성원들의 정보보안의지 및 능력은 조직구성원 개개인이 정보보안을 위해 일상 업무에서 조직이 제공하고 있는 정보보안기술을 얼마나 적극적으로 사용하는가에 의해 좌우될 것으로 판단되며, 이에 본 연구는 조직행태적 연구접근방법에 기반하여 조직구성원들의 정보보안기술 사용에 영향을 미치는 요인들을 제반 관련 이론들의 통합적 고찰을 통해 이론적으로 도출하고 현장 서베이 조사를 통해 도출된 요인들을 실증적으로 확인하고자 한다.
기존의 정보보안 관련 연구에서는 기술적 보안이나 물리적 보안의 측면이 주로 강조되어 왔으며 상대적으로 관리적 보안에 대한 연구는 미진한 수준에 머물고 있다. 특히, 관리적 보안영역 중 개인의 정보보안기술 사용에 관한 행태론적 연구는 더욱 미진한 상태인 바, 이와 같은 정보보안에 관한 기존 연구들의 한계를 극복하기 위해 본 연구는 조직구성원들의 정보보안기술의 사용의도에 영향을 미치는 요인들을 체계적이고 통합적으로 도출하기 위하여 기존의 기술수용에 관련된 제반 이론적 모형을 고찰함과 동시에 정보보안 분야의 특수성을 반영할 수 있는 이론적 근거를 확보하고자 했다. 아울러 도출된 영향요인들 간의 인과적 관계를 논리적으로 규명하여 연구모형을 구축하고 13개의 연구가설을 도출하였다.
가설 설정
가설 1(H1): 정보보안기술에 대한 주관적 규범 수준이 높을수록, 정보보안기술에 대한 사용의도 수준도 높아질 것이다.
가설 10(H10): 정보보안위협에 대한 위협 취약성 수준이 높을수록, 정보보안기술에 대한 주관적 규범 수준은 낮아질 것이다.
가설 11(H11): 정보보안위협에 대한 위협 취약성 수준이 높을수록, 정보보안기술에 대한 기술 인식도 수준도은 높아질 것이다.
가설 12(H12): 정보보안위협에 대한 위협 취약성 수준이 높을수록, 정보보안기술에 대한 인지된 유용성 수준은 낮아질 것이다.
가설 13(H13): 정보보안위협에 대한 위협 취약성 수준이 높을수록, 정보보안기술에 대한 자기 효능감 수준은 낮아질 것이다.
가설 2(H2): 정보보안기술에 대한 기술 인식도 수준이 높을수록, 정보보안기술에 대한 사용의도 수준도 높아질 것이다.
가설 3(H3): 정보보안기술에 대한 인지된 유용성 수준이 높을수록, 정보보안기술에 대한 사용의도 수준도 높아질 것이다.
가설 4(H4): 정보보안기술에 대한 자기 효능감 수준이 높을수록, 정보보안 기술에 대한 사용의도 수준도 높아질 것이다.
가설 5(H5): 정보보안기술에 대한 통제성 수준이 높을수록, 정보보안기술에 대한 사용의도 수준도 높아질 것이다.
가설 6(H6): 정보보안위협에 대한 위협 심각성 수준이 높을수록, 정보보안기술에 대한 주관적 규범 수준은 높아질 것이다.
가설 7(H7): 정보보안위협에 대한 위협 심각성 수준이 높을수록, 정보보안기술에 대한 기술 인식도 수준은 높아질 것이다.
가설 8(H8): 정보보안위협에 대한 위협 심각성 수준이 높을수록, 정보보안기술에 대한 인지된 유용성 수준은 낮아질 것이다.
가설 9(H9): 정보보안위협에 대한 위협 심각성 수준이 높을수록, 정보보안기술에 대한 자기 효능감 수준은 낮아질 것이다.
반면에, 높은 수준의 위협 심각성은 인지된 유용성과 자기 효능감에는 부(-)의 영향을 미칠 것이다. 이는 높은 수준의 위협 심각성이 보안위협을 막아줄 정보보안기술 자체의 신뢰성을 의심하게 만들어 인지된 유용성을 낮추게 될 것이고, 동시에 정보보안기술을 사용하는 개인의 자신감 역시도 낮추게 될 것이기 때문이다.
제안 방법
[Figure 1]에서 보는 바와 같이 본 연구의 연구모형에 포함된 8개 변수들(정보보안기술 사용의도, 위협 심각성, 위협 취약성, 주관적 규범, 기술 인식도, 인지된 유용성, 자기 효능감, 통제성)에 대한 조작적 정의는 기존의 관련 연구를 참고하되 정보보안 분야에 부합하도록 수정 · 보완하여 확정하였으며, 조작적 정의에 입각한 측정지표 개발은 모두 7점 Likert 척도로 개발하되 가급적 선행 연구들에서 신뢰성 및 타당성이 입증된 측정지표들을 최대한 활용하였다.
특히, 관리적 보안영역 중 개인의 정보보안기술 사용에 관한 행태론적 연구는 더욱 미진한 상태인 바, 이와 같은 정보보안에 관한 기존 연구들의 한계를 극복하기 위해 본 연구는 조직구성원들의 정보보안기술의 사용의도에 영향을 미치는 요인들을 체계적이고 통합적으로 도출하기 위하여 기존의 기술수용에 관련된 제반 이론적 모형을 고찰함과 동시에 정보보안 분야의 특수성을 반영할 수 있는 이론적 근거를 확보하고자 했다. 아울러 도출된 영향요인들 간의 인과적 관계를 논리적으로 규명하여 연구모형을 구축하고 13개의 연구가설을 도출하였다.
연구모형 및 가설들에 대한 검증을 위한 자료 수집을 위해 정보보안투자규모가 타 업종에 비해 상대적으로 큰 금융 및 보험업, 정보서비스업, 유통업과 제조업에 속한 대기업에 근무하는 직원들을 임의 표본 추출하여 이들에 대한 설문조사를 실시하였다. 수집된 자료에 대한 통계분석기법은 다수의 변수를 포함하고 계층적 구조로 된 이론적인 모형과 측정모형의 적합성을 함께 분석하는데 적합한 부분최소자승법(PLS: Partial Least Squares)에 의한 구조방정식모형(Structural Equation Model) 분석기법에 의하였고, 이를 위해 Smart PLS V.
이상에서 고찰한 5가지 선행 관련 이론들이 정보보안기술 사용과 관련하여 어떻게 상호 연계되는지에 대한 논리적 추론과정(Logical Reasoning)을 통해 정보보안기술 사용에 영향을 미치는 요인들을 포괄적으로 도출하고 이들 간의 인과적 관계를 반영하여 [Figure 1]과 같은 연구모형을 설정하였다.
본 연구는 개인들의 정보보안기술 사용에 영향을 미치는 인지요인을 규명하는 연구이기 때문에 설문대상을 개인단위의 정보시스템 최종사용자로 결정하였다. 자료의 수집은 파일럿 조사를 거쳐 만들어진 설문을 토대로 구글독스(Google Docs)의 리서치기능을 기반으로 제작된 웹 설문과 온라인 및 오프라인 페이퍼백 설문지를 배포하여 이루어졌다.
대상 데이터
그리고 자료수집대상 선정을 위한 표본 추출은 정보보안투자 규모가 타 업종에 비해 상대적으로 큰 업종들인 금융 및 보험업, 정보서비스업, 유통업, 제조업에 속한 기업들 중 대기업을 중심으로 50개사 이상을 접촉하여 각 기업 당 10명 이상의 직원들을 설문응답자로 선정하였다(중소기업의 경우는 정보보안기술의 중요성에 대한 인식수준이나 정보보안기술에 대한 투자여력이 미흡할 것으로 판단되어 이번 연구에서는 포함시키지 않았음).
자료수집 결과 총 573개의 설문이 수집되었고, 이 중 불성실하게 응답되거나, 다수의 결측치가 있는 11부를 제외한 562부를 대상으로 분석함으로써 회수율은 98.08%를 상회하였다. 인구통계학적 분석은 SPSS 18.
데이터처리
PLS 분석에서 나타난 정보보안기술 수용에 관한 연구모형상의 경로계수들에 대한 유의성 검증을 통해 가설들을 검증하기 위해 부트스트랩(BootStrap)을 사용하였다. 이는 PLS 분석에서는 경로계수(Path Coefficients)는 제시하나 경로계수의 유의성 검증 및 신뢰구간 추정을 직접적으로 제시하여 주지는 않기 때문이다.
08%를 상회하였다. 인구통계학적 분석은 SPSS 18.0 프로그램을 사용하여 분석하였고, 측정지표의 신뢰도 및 타당성 검증과 정보보안기술 수용모형에 대한 검증을 위한 통계분석기법은 부분최소자승법(PLS: Partial Least Squares)에 의하였고, 이를 위해 Smart PLS V.2.0 M3 소프트웨어를 사용하였다. PLS는 구조방정식모형(SEM: Structural Equation Model)에 사용하는 분석기법으로 계층적 구조로 된 다수의 변수를 포함한 이론적인 모델과 측정모델의 적합성을 함께 분석할 수 있는 분석 기법이다[8].
이론/모형
마지막으로 앞에서 제시된 이론들이 모두 기술을 사용함에 의해 혜택을 누리는 긍정적 기술들을 대상으로 한데 비해 공포소구이론은 부정적 결과에 대처하기 위한 기술의 사용에 영향을 미치는 요인들을 제시한 이론으로서 정보보안기술 역시 보안침해 등과 같은 부정적 결과를 방지하기 위한 기술로서 공포소구이론이 적용되어야 할 기술이다. 공포소구이론에 의하면 기술에 대한 자기효능감과 위협의 정도가 해당 기술사용에 영향을 미친다고 보며, 이에 따라 보안침해 위협의 정도도 정보보안기술의 사용의도에 영향을 미치는 요인으로 추가되어야 할 것으로 추론되어 본 연구에서는 공포소구이론 분야의 대표적인 이론적 모델인 Witte[39]의 확장된 병행프로세스 모델(Extended Parallel Process Model)에서 제시된 위협 심각성, 위협 취약성 변수를 연구모형에 포함시켰다.
연구모형 및 가설들에 대한 검증을 위한 자료 수집을 위해 정보보안투자규모가 타 업종에 비해 상대적으로 큰 금융 및 보험업, 정보서비스업, 유통업과 제조업에 속한 대기업에 근무하는 직원들을 임의 표본 추출하여 이들에 대한 설문조사를 실시하였다. 수집된 자료에 대한 통계분석기법은 다수의 변수를 포함하고 계층적 구조로 된 이론적인 모형과 측정모형의 적합성을 함께 분석하는데 적합한 부분최소자승법(PLS: Partial Least Squares)에 의한 구조방정식모형(Structural Equation Model) 분석기법에 의하였고, 이를 위해 Smart PLS V.2.0 M3 소프트웨어를 사용하였다.
정보보안기술에 대한 ‘사용의도’ 측정을 위한 조작적 정의와 측정지표 개발은 Fishbein and Ajzen[14], Ajzen[2, 3] 등의 연구에 근거 하여 이루어졌다.
정보보안기술에 대한 ‘자기 효능감’ 측정을 위한 조작적 정의와 측정지표 개발은 Bandura[7], Witte[41], Ajzen[3] 등의 연구에 근거하여 이루어졌다.
성능/효과
PLS 분석의 결과로 나타난 경로계수 및 유의성 검증결과를 변수별로 살펴보면 정보보안기술 사용에 대한 주관적 규범 수준이 높을 수록, 즉 조직 내 분위기가 정보보안기술 사용에 대한 당위성을 강하게 느끼게 할수록(H1), 조직구성원들의 정보보안 기술에 대한 인식 수준(H2)과 기술의 유용성 인지수준이 높을수록(H3) 그리고 정보보안기술 사용에 대한 자신감, 즉 자기효능감이 강할수록(H4) 조직 구성원들의 정보보안기술 사용의지가 높아짐이 통계적으로 유의적으로 나타났다. 그러나 보안자원 활용가능성 변수들 중 정보보안기술의 획득 및 통제가능성(H5)은 정보보안 사용의도에 유의한 영향을 주지 못하는 것으로 나타났다.
구조방정식모형 분석의 결과로 나타난 변수들 간의 인과관계를 나타내는 경로계수 및 이의 유의성 검증결과를 변수별로 살펴보면 정보보안기술 사용에 대한 주관적 규범수준이 높을수록, 즉 조직 내 분위기가 정보보안기술 사용에 대한 당위성을 강하게 느끼게 할수록, 조직구성원들의 정보보안기술에 대한 인식수준과 기술의 유용성 인지수준이 높을수록 그리고 정보보안기술 사용에 대한 자신감, 즉 자기효능감이 강할수록 조직구성원들의 정보보안기술 사용의지가 높아짐이 통계적으로 유의적으로 나타났다. 그러나 보안자원 활용가능성 변수들 중 정보보안기술의 획득 및 통제가능성은 정보보안 사용의도에 유의한 영향을 주지 못하는 것으로 나타났다.
PLS 분석의 결과로 나타난 경로계수 및 유의성 검증결과를 변수별로 살펴보면 정보보안기술 사용에 대한 주관적 규범 수준이 높을 수록, 즉 조직 내 분위기가 정보보안기술 사용에 대한 당위성을 강하게 느끼게 할수록(H1), 조직구성원들의 정보보안 기술에 대한 인식 수준(H2)과 기술의 유용성 인지수준이 높을수록(H3) 그리고 정보보안기술 사용에 대한 자신감, 즉 자기효능감이 강할수록(H4) 조직 구성원들의 정보보안기술 사용의지가 높아짐이 통계적으로 유의적으로 나타났다. 그러나 보안자원 활용가능성 변수들 중 정보보안기술의 획득 및 통제가능성(H5)은 정보보안 사용의도에 유의한 영향을 주지 못하는 것으로 나타났다. 그리고 정보보안 위협의 심각성을 크게 인식할수록 정보보안 기술에 대한 인식수준(H7)과 유용성 인지도(H8)가 낮아지는 경향이 있고, 정보보안기술의 대한 자기효능감(H9)도 낮아지는 것이 통계적으로 유의하게 나타난 반면, 정보보안기술에 대한 주관적 규범수준(H6)에는 위협 심각성이 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다.
PLS 분석의 결과로 나타난 경로계수 및 유의성 검증결과를 변수별로 살펴보면 정보보안기술 사용에 대한 주관적 규범 수준이 높을 수록, 즉 조직 내 분위기가 정보보안기술 사용에 대한 당위성을 강하게 느끼게 할수록(H1), 조직구성원들의 정보보안 기술에 대한 인식 수준(H2)과 기술의 유용성 인지수준이 높을수록(H3) 그리고 정보보안기술 사용에 대한 자신감, 즉 자기효능감이 강할수록(H4) 조직 구성원들의 정보보안기술 사용의지가 높아짐이 통계적으로 유의적으로 나타났다. 그러나 보안자원 활용가능성 변수들 중 정보보안기술의 획득 및 통제가능성(H5)은 정보보안 사용의도에 유의한 영향을 주지 못하는 것으로 나타났다. 그리고 정보보안 위협의 심각성을 크게 인식할수록 정보보안 기술에 대한 인식수준(H7)과 유용성 인지도(H8)가 낮아지는 경향이 있고, 정보보안기술의 대한 자기효능감(H9)도 낮아지는 것이 통계적으로 유의하게 나타난 반면, 정보보안기술에 대한 주관적 규범수준(H6)에는 위협 심각성이 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다.
그러나 보안자원 활용가능성 변수들 중 정보보안기술의 획득 및 통제가능성(H5)은 정보보안 사용의도에 유의한 영향을 주지 못하는 것으로 나타났다. 그리고 정보보안 위협의 심각성을 크게 인식할수록 정보보안 기술에 대한 인식수준(H7)과 유용성 인지도(H8)가 낮아지는 경향이 있고, 정보보안기술의 대한 자기효능감(H9)도 낮아지는 것이 통계적으로 유의하게 나타난 반면, 정보보안기술에 대한 주관적 규범수준(H6)에는 위협 심각성이 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다. 한편, 정보보안 위협 발생가능성, 즉 위협 취약성의 인식수준이 높을수록 정보기술사용에 대한 주관적 규범수준(H10)은 낮아지나 정보보안기술에 대한 인식도(H10)나 유용성인지수준(H12)은 높아지는 것이 통계적으로 유의하게 나타난 반면 정보보안 기술에 대한 자기 효능감(H13)에는 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다.
그러나 보안자원 활용가능성 변수들 중 정보보안기술의 획득 및 통제가능성(H5)은 정보보안 사용의도에 유의한 영향을 주지 못하는 것으로 나타났다. 그리고 정보보안 위협의 심각성을 크게 인식할수록 정보보안 기술에 대한 인식수준(H7)과 유용성 인지도(H8)가 낮아지는 경향이 있고, 정보보안기술의 대한 자기효능감(H9)도 낮아지는 것이 통계적으로 유의하게 나타난 반면, 정보보안기술에 대한 주관적 규범수준(H6)에는 위협 심각성이 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다. 한편, 정보보안 위협 발생가능성, 즉 위협 취약성의 인식수준이 높을수록 정보기술사용에 대한 주관적 규범수준(H10)은 낮아지나 정보보안기술에 대한 인식도(H10)나 유용성인지수준(H12)은 높아지는 것이 통계적으로 유의하게 나타난 반면 정보보안 기술에 대한 자기 효능감(H13)에는 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다.
7 이상이 되어야 하고[29], 그 요인적재량은 그 외의 잠재변인들에 포함된 지표들 간의 교차 요인적재량(CrossLoadings)보다 커야 한다. 본 연구에서의 확인적 요인분석 결과는 모든 잠재요인들 별로 포함된 측정지표의 요인적재량이 0.7 이상으로 나타났으며, 다른 잠재요인들에 포함된 측정지표들과의 교차요인적재량 값보다 해당 잠재요인에 속한 측정지표들의 요인 적재량이 큰 것으로 나타남으로써 집중타당성이 확보된 것으로 볼 수 있다.
이상의 경로계수 유의성 검증에 근거한 가설 검증 결과를 요약하여 제시하면 아래의 [Table 3]과 같으며, 연구모형 내에 포함된 13개의 가설들 중 8개의 가설(H1, H2, H3, H4, H8, H9, H10, H11)이 채택되었으며, 3개의 가설(H5, H6, H13)은 통계적으로 유의성이 없어 기각되 었고, 통계적으로 유의하기는 하나 방향성이 역전되어 나타난 2개의 가설(H7, H12)도 기각되었다.
그리고 정보보안 위협의 심각성을 크게 인식할수록 정보보안 기술에 대한 인식수준과 유용성 인지도가 낮아지는 경향이 있고, 정보보안기술의 대한 자기효능감도 낮아지는 것이 통계적으로 유의하게 나타난 반면, 정보보안기술에 대한 주관적 규범수준에는 위협 심각성이 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다. 한편, 정보보안위협 발생가능성, 즉 위협취약성의 인식수준이 높을수록 정보기술사용에 대한 주관적 규범수준은 낮아지나 정보보안기술에 대한 인식도나 유용성 인지수준은 높아지는 것이 통계적으로 유의하게 나타난 반면, 정보보안기술에 대한 자기 효능감에는 통계적으로 유의한 영향을 주지 못하는 것으로 나타났다.
각 변수별 측정지표들의 판별 타당성은 확인적 요인분석에서 각 측정지표들의 요인 적재량(Loadings)이 다른 요인 적재량(Cross Loadings)보다 커야 하며, 각 변수의 평균분산추출(AVE)값의 제곱근(Square Root)이 해당 변수와 다른 변수들 간의 상관계수보다 모두 커야 한다[15]. 확인적 요인분석 결과에서 나타났듯이 각 변수별 측정지표들의 적재량이 다른 변수에 적재된 요인 적재량보다 모두 크게 나타났을 뿐만 아니라 아래의 [Table 2]에서 보는 바와 같이 각 변수에 대한 AVE의 제곱근 값인 대각선상의 진하게 표시된 값들이 다른 변수들과의 상관계수 값보다 모두 큰 것으로 나타남으로써 각 변수별 측정지표들의 판별 타당성이 확보됨을 확인할 수 있다.
후속연구
그러나 본 연구는 정보보안기술 사용의도에 영향을 미치는 요인들을 규명함에 있어서 아직 탐색적(exploratory) 수준의 연구이며 보다 현실적 타당성 및 설명력을 높이기 위해서는 향후 연구에서 극복하여야 할 과제들이 있다. 우선 본 연구에서 지지되지 못한 가설들에 대한 이론적 추론 과정이 재검증 되어져야 할 것이다.
특히, 통계적으로 유의한 관계가 있는 것으로 나타났으나 가설과 상반되게 나온 위협심각성의 기술인식도에 대한 영향과 위협심각성의 인지된 유용성에 대한 영향은 공포소구 이론을 정보보안기술 분야에 접목시키는 과정에서 보다 충분한 논증이 되지 못했음을 알 수 있다. 또한 자료수집시의 예상되는 어려움으로 인해 종속변수를 정보보안기술 사용행위 그 자체로 하지 못하고 정보보안기술 사용의 도로 하였는데 사용의도가 사용행위의 강력한 예측변인이기는 하지만[14], 향후 연구에서는 사용행위 자체를 종속변수로 하여 이에 대한 영향요인들을 규명해 볼 필요가 있다.
즉, 본 연구는 정보보안기술 사용의 영향요인을 도출함에 있어서 효익과 혜택과 같은 긍정적 결과를 지향하는 기술의 수용에 관련된 제반 대표적인 이론들을 통합·적용하였을 뿐 아니라 정보보안기술과 같은 부정적 결과를 방지하기 위한 기술을 수용하는 현상을 설명해 주는 공포소구이론을 접목시킴으로써 보다 현실성 있는 영향요인들을 체계적이고 포괄적으로 제시하고 실증적인 규명을 함으로써 향후 관리적 보안 분야 연구의 외연을 확장하는데 기여할 것으로 본다. 또한 조직 행태론적 접근방법에 의한 정보보안 기술의 조직 내 수용 및 확산에 관한 연구 수행시에 포함되어야 할 변수들에 대해 본 연구에서 개발된 신뢰성(reliability)과 타당성(validity) 이 확보된 측정지표들을 활용함으로써 실증분석 시 요구되는 측정지표 개발의 노력을 크게 절감할 수 있을 것이다. 아울러 실무적인 측면에서는 본 연구에서 실증적으로 규명된 조직내에서의 정보보안기술 사용에 영향을 주는 요인들 간의 인과적 메커니즘(Mechanism)이 정보보안 관리방안 및 정책 수립을 하는데 있어서 업무지침(guideline)으로 활용될 수 있을 것으로 기대되며, 조직 내 정보보안기술 확산을 위한 교육이나 홍보프로그램의 개발 및 추진 시에 역점을 두어야 하는 요인들을 체계적으로 도출함에 있어서 기준점으로서 기여할 수 있을 것이다.
본 연구의 이론적 측면에서의 기여도는 우선 제반 조직들에서의 정보보안기술의 수용 및 확산 현상을 보다 정확히 이해하고 관리적 정보보안수준의 제고방안을 수립함에 있어서 요구되는 이론적 기반을 강화하는데 기여할 수 있다는 점이다. 즉, 본 연구는 정보보안기술 사용의 영향요인을 도출함에 있어서 효익과 혜택과 같은 긍정적 결과를 지향하는 기술의 수용에 관련된 제반 대표적인 이론들을 통합·적용하였을 뿐 아니라 정보보안기술과 같은 부정적 결과를 방지하기 위한 기술을 수용하는 현상을 설명해 주는 공포소구이론을 접목시킴으로써 보다 현실성 있는 영향요인들을 체계적이고 포괄적으로 제시하고 실증적인 규명을 함으로써 향후 관리적 보안 분야 연구의 외연을 확장하는데 기여할 것으로 본다.
또한 조직 행태론적 접근방법에 의한 정보보안 기술의 조직 내 수용 및 확산에 관한 연구 수행시에 포함되어야 할 변수들에 대해 본 연구에서 개발된 신뢰성(reliability)과 타당성(validity) 이 확보된 측정지표들을 활용함으로써 실증분석 시 요구되는 측정지표 개발의 노력을 크게 절감할 수 있을 것이다. 아울러 실무적인 측면에서는 본 연구에서 실증적으로 규명된 조직내에서의 정보보안기술 사용에 영향을 주는 요인들 간의 인과적 메커니즘(Mechanism)이 정보보안 관리방안 및 정책 수립을 하는데 있어서 업무지침(guideline)으로 활용될 수 있을 것으로 기대되며, 조직 내 정보보안기술 확산을 위한 교육이나 홍보프로그램의 개발 및 추진 시에 역점을 두어야 하는 요인들을 체계적으로 도출함에 있어서 기준점으로서 기여할 수 있을 것이다.
그러나 본 연구는 정보보안기술 사용의도에 영향을 미치는 요인들을 규명함에 있어서 아직 탐색적(exploratory) 수준의 연구이며 보다 현실적 타당성 및 설명력을 높이기 위해서는 향후 연구에서 극복하여야 할 과제들이 있다. 우선 본 연구에서 지지되지 못한 가설들에 대한 이론적 추론 과정이 재검증 되어져야 할 것이다. 특히, 통계적으로 유의한 관계가 있는 것으로 나타났으나 가설과 상반되게 나온 위협심각성의 기술인식도에 대한 영향과 위협심각성의 인지된 유용성에 대한 영향은 공포소구 이론을 정보보안기술 분야에 접목시키는 과정에서 보다 충분한 논증이 되지 못했음을 알 수 있다.
또한 Rogers[27, 28]의 보호동기 이론(Protection Motivation Theory)에서는 위협 심각성을 대응의 강도에 영향을 미치게 할 정도의 위협의 중대성이라고 정의하고 위협 심각성은 대응 효능감과 자기 효능감에 영향을 미치게 된다고 주장하였다. 즉, 보안위협(Security Threat)인 부정적 기술(Negative Technology)이 심각한 피해를 입힐만한 기술일 경우, 이에 대응할 수 있는 정보보안기술에 대한 신뢰성은 의심이 갈 것이고, 이것을 사용할 개인의 자기 효능감의 수준도 낮아질 것으로 보았는데 본 연구에서 사용된 인지된 유용성은 앞서 서술된 대로 대응 효능감의 개념을 내포하고 있으므로 위협 심각성이 인지된 유용성에도 영향을 미칠 것으로 예상할 수 있을 것이다.
즉, 본 연구는 정보보안기술 사용의 영향요인을 도출함에 있어서 효익과 혜택과 같은 긍정적 결과를 지향하는 기술의 수용에 관련된 제반 대표적인 이론들을 통합·적용하였을 뿐 아니라 정보보안기술과 같은 부정적 결과를 방지하기 위한 기술을 수용하는 현상을 설명해 주는 공포소구이론을 접목시킴으로써 보다 현실성 있는 영향요인들을 체계적이고 포괄적으로 제시하고 실증적인 규명을 함으로써 향후 관리적 보안 분야 연구의 외연을 확장하는데 기여할 것으로 본다.
질의응답
핵심어
질문
논문에서 추출한 답변
기밀성은 무엇인가?
정보보안에 대한 위와 같은 정의의 내용 중‘정보의 수집․가공․저장․송신․수신 도중에 정보의 훼손․변조․유출 등을 방지’라는 말은 정보보안의 목적으로 시스템 및 정보의 ‘기밀성(Confidentiality)’, ‘무결성(Integrity)’, ‘가용성(Availability)’, ‘인증성(Authentication)’, ‘부인방지(Non-repudiation)’를 확보하는 것을 의미한다[25]. 우선 기밀성(Confidentiality)이란 정보가 인가된 자에 의해서만 접근이 가능해야 한다는 원칙이다. 즉, 정보는 소유자의 인가를 받은 사람만이 알아야 하며 인가되지 않은 사람에 의한 정보의 공개는 절대로 방지되어야 함을 의미한다. 또한 무결성(Integrity)이란 정보는 정해진 절차에 의해 그리고 주어진 권한에 의해서만 변경될 수 있다는 것을 의미한다.
정보화촉진기본법 제2조에서 정의한 정보보안이란 무엇인가?
정보보안에 대하여 정보화촉진기본법 제2조(정의)에서는 ‘정보의 수집․가공․저장․ 검색․송신․수신 중에 정보의 훼손․변조․ 유출 등을 방지하기 위한 관리적․기술적 수단을 강구하는 것’이라고 명시하고 있으며, 정보보호기술 전문용어사전[31]에서는 ‘정보의 수집․가공․저장․송신․수신 도중에 정보의 훼손․변조․유출 등을 방지하기 위한 관리적․기술적 수단 또는 그러한 수단으로 이루어지는 행위로서, 내․외부의 위협요인들로 부터 네트워크, 시스템 등의 H/W와 S/W, 데이터베이스, 통신 및 전산시설 등 정보자산을 안전하게 보호․운영하기 위한 일련의 행위’로 정의하고 있다.
기존 이론들만으로는 정보보안 행동의도를 설명하기 어려운 이유는 무엇인가?
그러나, 보안기술(Security Technology or Protective Technology)은 DoS(Denial of Service)나 맬웨어(Malware: Malicious Software)등과 같은 보안을 위협하는 부정적 요소들에 대처키 위한 기술로서, 기존 이론들만으로는 정보보안 행동의도를 설명하기에는 한계가 있다. 왜냐하면 긍정적 기술(Positive Technology)을 사용할 경우에는 사용자에게 업무 효율성 및 오락적 혜택을 가져다주는 직접적인 효익이 뒤따르지만, 보안기술(Security Technology)사용에서는 이와 달리 사용자에게 보안위협(Security Threat)을 막아주는 간접적인 효익만을 제공하기 때문이다. 즉, 사용자는 보안기술(Security Technology) 사용에 대하여 조직내 사용자들은 일반적인 업무에 추가된 귀찮은 짐으로 느끼거나[18], 개인 사용자들은 짜증나는 일로 인지하는 경향이 있다[17].
참고문헌 (43)
Adams, D. A., Nelson, R. R., and Todd, P. A., "Perceived Usefulness, Ease of Use, and Usage of Information Technology: a Replication," MIS Quarterly, Vol. 16, No. 2, pp. 227-247, 1992.
Ajzen, I., "Perceived behavioral control, self-efficacy, locus of control, and the theory of planned behavior," Journal of Applied Social Psychology, Vol. 32, pp. 665-683, 2002.
Bagozzi, R. P., "Attitudes, intentions, and behavior: A test of some key hypotheses," Journal of Personality and Social Psychology, Vol. 41, No. 4, pp. 607-627, 1981.
Bagozzi, R. P., "A Field Investigation of Causal Relations among Cognitions, Affect, Intentions, and Behavior," Journal of Marketing Research, Vol. 19, No. 4, pp. 562-583, 1982.
Bandura, A., "Self-efficacy: toward a unifying theory of behavioral change," Psychological Review, Vol. 84, No. 2, pp. 191-215, 1986.
Chin, W., "Issues and Opinion on Structural Equation Modeling," MIS Quarterly, Vol. 22, No. 1, pp.7-16, 1998.
Davis, F. D., "Perceived usefulness, perceived ease of use, and user acceptance of information technology," MIS Quarterly, Vol. 13, No. 1, pp. 319-340, 1989.
Davis. F. D., Bagozzi. R. P., and Warshaw, P. R., "User acceptance of computer technology: a comparison of two theoretical models," Management Science, Vol. 35, No. 8, pp. 982-1003, 1989.
Dinev, T. and Hart, P., "Internet privacy concerns and social awareness as determinants of intention to transact," International Journal of E-Commerce, Vol. 10, No. 2, pp. 7-31, 2006.
Dinev, T. and Hu, Q., "The centrality of awareness in the formation of user behavioral intention toward protective information technologies," Journal of the Association for Information Systems, Vol. 8, pp. 386-408, 2007.
Fishbein, M., "An investigation of relationships between beliefs about an object and the attitude toward that object," Human Relations, Vol. 16, pp. 233-240, 1963.
Fishbein, M. and Ajzen, I., Belief, Attitude, Intention, and Behavior: An Introduction to Theory and Research, Reading, MA: Addison-Wesley, 1975.
Gefen, D. and Straub, D. W., "A Practical Guide to Factorial Validity Using PLS-Graph: Tutorial and Annotated Example," Communications of the Association for Information Systems, Vol. 16, No. 5, pp. 91-109, 2005.
Goodhue, D. L. and Straub, D. W., "Security concerns of system users: A study of perceptions of the adequacy of security," Information and Management, Vol. 20, No. 1, pp. 13-27, 1991.
Hu, Q., Hart, P., and Cooke, D., "The Role of External Influences on Organizational Information Security Practices: An Institutional Perspective," Proceedings of the 39th Hawaii International Conference on Systems Science (HICSS 39), January 4-7, Hawaii, USA. CD-ROM, IEEE Computer Society, 2006.
Igbaria, M., "An examination of the factors contributing to microcomputer technology acceptance," Accounting Management and Information Technologies, Vol. 4, No. 4, pp. 205-224, 1994.
Jackson, C. M. and Chow, S., "Toward an Understanding of the Behavioral Intention to Use an Information System," Decision Sciences, Vol. 28, No. 2, pp. 357-389, 1997.
Kim, S. and Park, S., "Influencing Factors for Compliance Intention of Information Security Policy," The Journal of Society for e-Business Studies, Vol. 16, No. 4, pp. 33-51, 2011.
Kwon, T. H. and Zmud, R. W., "Unifying the fragmented models of information systems implementation," Critical Issues in Information Systems Research(edited by Hirschheim, R. J. and Boland, R. A.), John Wiley and Sons, pp. 227-251, 1987.
Lang, P. J., "Cognition in emotion: Concept and action," Emotions, Cognition and Behavior(edited by Izard, C. E., Kagan, J. and Zajonc, R.), Cambridge University Press, pp. 192-226, 1984.
Lee, S. and Lee, M., "An Exploratory Study on the Information Security Culture Indicator," Informatization Policy, Vol. 15, No. 3, pp. 100-119, 2008.
Nam, G. H. and Won, D. H., Information System Security, Green Publishing Co., Seoul, 2010.
Nunnally, J. C., Psychometric Theory (2nd ed.), New York: McGraw-Hill, 1987.
Rogers, R. W., "A Protection Motivation Theory of Fear Appeals and Attitude Change," Journal of Psychology, Vol. 91, pp. 93-114, 1975.
Rogers, E. M., Diffusion of Innovations (4th ed.), The Free Press, New York, 1983.
Srite, M. and Karahanna, E., "The Role of Espoused National Cultural Values in Technology Acceptance," MIS Quarterly, Vol. 30, No. 3, pp. 679-704, 2006.
Venkatesh, V. and Davis, F. D., "A Theoretical Extension of the Technology Acceptance Model: Four Longitudinal Field Studies," Management Science, Vol. 46, No. 2, pp. 186-198, 2000.
Warshaw, P. R., "A New Model for Predicting Behavioral Intentions: An Alternative to Fishbein," Journal of Marketing Research, Vol. 17, No. 2, pp. 153-172, 1980(a).
Warshaw, P. R., "Predicting Purchase and Other Behaviors from General and Contextually Specific Intentions," Journal of Marketing Research, Vol. 17, No. 1, pp. 26-33, 1980(b).
Warshaw, P. R. and Davis, F. D., "Self-Understanding and the Accuracy of Behavioral Expectations," Personality and Social Psychology Bulletin, Vol. 10, No. 2, pp. 111-118, 1984.
Warshaw, P. R. and Davis, F. D., "Disentangling Behavioral Intention and Behavioral Expectation," Journal of Experimental Social Psychology, Vol. 21, No. 2, pp. 213-228, 1985.
Witte, K., "Fear Control and Danger Control: A Test of the Extended Parallel Process Model(EPPM)," Communication Monographs, Vol. 61, pp. 113-134, 1994.
Witte, K., Cameron, K. A., McKeon, J. K., and Berkowitz, J. M., "Predicting Risk Behaviors: Development and Validation f a Diagnostic Scale," Journal of Health Communication, Vol. 1, pp. 317-341, 1996.
Witte, K., "Fear as motivator, fear as inhibitor: Using the extended parallel process model to explain fear appeal successes and failures," Handbook of communication and emotion: Research, theory, applications, and contexts (edited by Andersen, P. A. and Guerrero, L. K.), San Diego, CA, US: Academic Press, pp. 423-450, 1998.
Witte, K., Meyer, G., and Martell, D., Effective health risk message: A step-by-step guide, Thousand Oaks, California: Sage, 2001.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.