[논문]정보시스템 오남용 의도에 관한 실증적 연구 : 의료기관을 대상으로

김은지; 이준택

[국내논문] 정보시스템 오남용 의도에 관한 실증적 연구 : 의료기관을 대상으로
The Empirical Study on the Misuse Intention Using Information System : Focus on Healthcare Service Sector 원문보기

융합보안논문지 = Convergence security journal, v.16 no.5, 2016년, pp.23 - 31

김은지 (중앙대학교 산업융합보안학과) , 이준택 (중앙대학교 산업보안학과)

초록
AI-Helper

최근 정보보안 사건의 상당 부분을 의료 분야에서 차지함에도 불구하고 기존의 연구는 기업 중심으로 이루어졌다. 이에 따라 본 연구는 의료기관의 조직원을 대상으로 정보시스템을 사용한 오남용 의도에 관한 연구를 수행하였다. 분석 결과, 정보보안 관리 중 보안 소프트웨어가 인지된 제재 효과에 직접적인 영향을 미치는 것으로 나타났다. 반면 보안정책, 보안 인식 프로그램, 모니터링 실시는 본 설문의 변수의 경우의 수의 부족으로 신뢰성을 확보할 수 없었으나, 보안 소프트웨어와 동등한 제재효과가 있을 것으로 판단되어 추가 분석이 필요할 것으로 나타났다.

Abstract ▼ AI-Helper

Despite the number of security incidents in healthcare sector is considerable, earlier studies have been done in business sector. We have tried to empirically analyze the misuse intention using information system for healthcare sector. As a result, the preventative security software of the information security management have positive impact on the effectiveness of sanctions. Though further analysis is needed, the security policies, security awareness program and monitoring practices are determined to have a valid impact on the effectiveness of sanctions equivalent to the preventative security software.

Keyword

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구는 정보시스템 오남용에 영향을 미치는 요인을 도출하고, 그 요인들이 의료 기관 종사자들에게 미치는 바를 실증적으로 규명함으로써 향후 의료 분야에서 사용할 수 있는 정보시스템 오남용 관리의 근거를 마련하고자 한다.
정보보안은 인가되지 않은 사람으로부터 조직의 정보 자산이 노출되지 않도록 보호하는 시스템과 과정을 모두 포함하는 의미[4]이며, 가용성, 무결성, 진정성, 기밀성 네 가지 요소를 모두 충족시켜야 한다. 따라서 본 연구는 정보 시스템 보안을 가용성, 무결성, 진정성, 기밀성 측면에서 보호하고 보존하는 행위라고 정의한다.
본 연구는 조직의 정보시스템 활용 과정에 존재하는 모든 위협 요소에 대한 정보보안 관리의 근거를 마련하고자 하므로, Straub(1986)가 주장하는 정보시스템 오남용 정의를 따르고자 한다.
또한 의도란 개인이 앞으로 오남용 행위를 할 것인가에 대해 예측할 수 있게 해준다[9]. 이에 따라 본 논문에서는 제재가 이루어짐에 따라 오남용 의도가 어떻게 변화하는지를 측정할 것이다.
Hollinger & Clark(1983)는 조직의 이익에 반하는 개인의 이상행동 연구에 일반 억제 이론를 적용했으며, 제재의 범위가 범죄와 법에 관련한 통제뿐만 아니라 일반적인 조직의 제재에까지 미친다고 주장했다[12]. 따라서 본 연구는 일반억제이론을 적용하여 제재의 확실성과 엄격성이 정보시스템 오남용 행동에 어떠한 영향을 미치는 지 평가하고자 한다.
이에 따라 본 연구에서는 의료 기관에 종사하는 조직원들을 대상으로 하여 정보시스템을 사용한 오남용 의도에 관해 연구를 수행하였다.

가설 설정

가설1-1: 보안 정책은 인지된 제재의 확실성에 긍정적으로 영향을 미친다.
가설1-2: 보안 정책은 인지된 제재의 엄격성에 긍정적으로 영향을 미친다.
가설2-1: 보안 인식 프로그램은 인지된 제재의 확실성에 긍정적으로 영향을 미친다.
가설2-2: 보안 인식 프로그램은 인지된 제재의 엄격성에 긍정적으로 영향을 미친다.
직원들의 컴퓨터 사용 활동을 감시하는 것이 조직의 정보시스템 오남용 색출을 증가시키는 적극적인 정보보안 관리임을 고려하면, 잠재적 오남용자들이 그들의 컴퓨터 사용 활동이 감시되고 있다는 것을 안다고 가정했을 때 모니터링은 정보시스템 오남용에 대한 처벌과 위협의 인지를 상승시킬 것이라고 예상된다. 따라서 모니터링 실시가 인지된 제재의 확실성과 엄격성에 영향을 미친다는 가설을 수립할 수 있다.
가설3-1: 모니터링 실시는 인지된 제재의 확실성에 긍정적으로 영향을 미친다.
가설3-2: 모니터링 실시는 인지된 제재의 엄격성에 긍정적으로 영향을 미친다.
잠재적인 오남용자들이 보안 소프트웨어의 존재를 인식하면 처벌의 위협이 증가하여 컴퓨터 오남용 의도가 하락할 것으로 판단된다. 따라서 보안 소프트웨어는 인지된 제재의 확실성과 엄격성에 영향을 미친다는 가설을 설정할 수 있다.
가설4-1: 보안 소프트웨어는 인지된 제재의 확실성에 긍정적으로 영향을 미친다.
가설4-2: 보안 소프트웨어는 인지된 제재의 엄격성에 긍정적으로 영향을 미친다.
가설5: 인지된 제재의 확실성은 정보시스템 오남용 의도에 부정적인 영향을 미친다.
가설6: 인지된 제재의 엄격성은 정보시스템 오남용 의도에 부정적인 영향을 미친다.

제안 방법

정보시스템 오남용 제재 및 예방의 방법으로는 절차적이고 기술적인 통제들, 즉, 보안정책, 보안 인식 프로그램, 모니터링 실시, 보안 소프트웨어를 사용할 수 있다[13]. 따라서 본 논문에서는 정보보안 관리에 대한 변수로서 보안정책, 보안 인식 프로그램, 모니터링 실시, 보안 소프트웨어를 사용하고자 한다.
본 연구는 앞서 살펴본 선행연구를 바탕으로 정보 보안 관리들이 정보시스템 오남용과 연관된 처벌의 인지도를 증가시키고 그에 따라 정보시스템 오남용 의도에 어떤 영향을 미치는지 분석하기 위한 연구 모형을 (그림 1)과 같이 수립하였다.
본 연구는 실증분석을 위하여 설문조사 방식을 택하여 구성하였다. 설문은 민감한 사항에 대한 질문들이 응답자에게 위협이 되거나 강압적으로 받아들여지지 않도록 작성하였다.
본 연구는 실증분석을 위하여 설문조사 방식을 택하여 구성하였다. 설문은 민감한 사항에 대한 질문들이 응답자에게 위협이 되거나 강압적으로 받아들여지지 않도록 작성하였다. 분석 결과는 설문에 대한 내적 타당성을 증가하도록 하였다.
본 연구에 포함된 설문항목은 기존 연구들[8][19]의 이론을 바탕으로 설문지를 작성하였다. 인지된 제재의 확실성(PC), 인지된 제재의 엄격성(PS), 정보시스템 오남용 의도(INT)는 리커트 척도(7점)로 측정하고 측정항목 값의 합을 이용하였다.
본 연구에 포함된 설문항목은 기존 연구들[8][19]의 이론을 바탕으로 설문지를 작성하였다. 인지된 제재의 확실성(PC), 인지된 제재의 엄격성(PS), 정보시스템 오남용 의도(INT)는 리커트 척도(7점)로 측정하고 측정항목 값의 합을 이용하였다.
정보보안 관리 존재 여부에 대한 문항은 보안정책(P) 문항, 보안 인식 프로그램(SA) 문항, 모니터링 실시(M) 문항, 보안 소프트웨어(PR)는 문항으로 총 26개 항목으로 구성하여 정보보안 관리의 각 변수를 측정하였다.
본 논문은 에 의해 크론바하 α(cronbach’s α) 계수값이 0.6 미만이며, 평균분산추출, 합성신뢰도 또한 기준 미만인 모니터링 실시 변수와 크론바하 α 값은 기준 이상이지만 평균 분산추출이나 합성신뢰도 기준 미달인 보안 정책, 보안 인식 프로그램 변수를 제외하고 구조모형을 분석하였다.
본 연구는 가설 검증에 앞서 연구모형 변수의 신뢰성 및 타당성 분석을 위해 탐색적 요인분석(exploratory factor analysis)을 시행하였다. 이후 smartPLS 2.0을 사용해 측정모형을 분석하여 수렴타당도와 판별타당도를 검증하고, 가설검증을 위해 PLS로 구조모형을 분석하였다. 본 연구에서 PLS 기법을 선택한 이유는 Chin(1998)에 따르면 PLS는 표본 크기와 잔차 분포에 대한 요구사항이 적으며, 분석 데이터의 정규성을 전제로 하지 않거나 비교적 표본의 수가 적을 때에도 유용하기 때문이다[20].
PLS는 경로계수의 유의성을 확인하기 위해 부트스트래핑 방법을 이용하여 표본을 재추출하며 이를 통해 확보된 유사 데이터 군을 통계 분석에 사용한다. 기존의 정보시스템에 관한 연구들에서는 일반적으로 500개의 리샘플을 사용하므로, 본 연구에서는 500개의 리샘플을 생성하여 경로계수에 대한 통계적 유의성을 검증하였다. 그 결과는 (그림 2)와 같이 요약된다.

대상 데이터

본 연구의 설문조사는 의료 기관 종사자들을 대상으로 인터넷 설문을 진행하였으며, 의료 기관 내 정보 시스템 업무 담당자뿐만 아니라 업무환경에서 컴퓨터를 사용하는 모든 직원들을 조사 대상으로 하였다. 총 198명의 유효한 설문 응답 결과가 분석에 사용되었으며 표본의 인구통계학적 특성은 <표 1>과 같다.

데이터처리

연구 모형에 대한 통계적 분석은 SPSS 18.0과 smartPLS 2.0을 사용하여 분석 절차를 거쳤다. 본 연구는 가설 검증에 앞서 연구모형 변수의 신뢰성 및 타당성 분석을 위해 탐색적 요인분석(exploratory factor analysis)을 시행하였다.
0을 사용하여 분석 절차를 거쳤다. 본 연구는 가설 검증에 앞서 연구모형 변수의 신뢰성 및 타당성 분석을 위해 탐색적 요인분석(exploratory factor analysis)을 시행하였다. 이후 smartPLS 2.

이론/모형

PLS는 경로계수의 유의성을 확인하기 위해 부트스트래핑 방법을 이용하여 표본을 재추출하며 이를 통해 확보된 유사 데이터 군을 통계 분석에 사용한다. 기존의 정보시스템에 관한 연구들에서는 일반적으로 500개의 리샘플을 사용하므로, 본 연구에서는 500개의 리샘플을 생성하여 경로계수에 대한 통계적 유의성을 검증하였다.

성능/효과

본 연구의 가설을 검증한 결과, 와 같이 보안 소프트웨어가 인지된 제재의 확실성과 인지된 제재의 엄격성에 유의한 영향을 미치는 것으로 나타났으며, 인지된 제재의 확실성과 인지된 제재의 엄격성이 정보시스템 오남용 의도에 유의한 영향을 미치는 것으로 확인되었다.
정보시스템의 변수로 보안정책, 보안 인식 프로그램, 모니터링 실시, 보안 소프트웨어가 인지된 제재 효과에 미치는 영향을 살펴본 결과, 보안 소프트웨어가 인지된 제재 효과에 직접적인 영향을 미치고 있는 것으로 나타났다. 즉, 정보보안 사건을 예방하기 위하여 보안 소프트웨어를 사용하는 것은 의료 기관 종사자가 지닌 정보관리시스템을 사용한 오남용 의도를 명확히 줄일 수 있는 방책임을 시사하는 것이라 할 수 있다.
의료기관 종사자가 제재를 인식한 효과에 대해 분석한 결과, 제재를 확실히 인식할수록 정보시스템 오남용 의도에 유의한 영향을 미치는 것으로 나타났다. 즉, 정보보안 관리의 효과성을 높인다면 정보시스템 오남용 의도를 확연히 줄일 수 있음을 의미한다.

후속연구

반면, 보안정책, 보안 인식 프로그램, 모니터링 실시 또한 보안 소프트웨어와 동등한 제재효과가 있을 것으로 판단되나 본 설문의 변수의 경우의 수의 부족으로 신뢰성을 확보할 수 없었다. 향후 연구에서는 이를 보완하여 추가 연구가 필요할 것으로 판단된다.
본 연구에서는 기존의 연구를 통해 기업의 측정변수를 고려하여 측정 및 반영함으로 인해 의료기관에 적합한 측정 변수들을 모두 포함하지 못했다는 점에서 연구의 한계점이 있으며, 변수들을 재검토할 필요가 있다.
본 연구에서는 기존의 연구를 통해 기업의 측정변수를 고려하여 측정 및 반영함으로 인해 의료기관에 적합한 측정 변수들을 모두 포함하지 못했다는 점에서 연구의 한계점이 있으며, 변수들을 재검토할 필요가 있다. 또한 향후 연구에서는 이러한 한계를 보완하여 기업 부문과 의료 부문의 비교연구를 고려해볼 수 있을 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	2014년, 정보보안 사건 중에서 내부자로 인한 정보자원의 오남용으로 발생한 사건 비율은?	내부자로 인한 정보자원의 오남용은 조직의 운영에 있어 심각한 문제이다. ISACA에 의하면, 2014년 기업에 대한 정보보안 사건의 40.72%가 악의가 없는 내부자로 인해 발생했으며, 28.62%가 악의적인 내부자에 의하여 발생한 것으로 나타난다[1]. 정보보안 사건은 매년 증가하는 추세이며, 그 손실 또한 매년 증가하며 조직에 큰 위협이 되고 있다.
	정보시스템 보안이란?	정보시스템 보안이란 광의적으로는 정보보안의 필요한 부분 집합이며, 협의적으로는 조직의 컴퓨터 사용 시스템 안에서 존재하는 운영과 정보의 보호이다. 정보보안은 인가되지 않은 사람으로부터 조직의 정보 자산이 노출되지 않도록 보호하는 시스템과 과정을 모두 포함하는 의미[4]이며, 가용성, 무결성, 진정성, 기밀성 네 가지 요소를 모두 충족시켜야 한다.
	정보보안이 충족시켜야 하는 네 가지 요소는 무엇인가?	정보시스템 보안이란 광의적으로는 정보보안의 필요한 부분 집합이며, 협의적으로는 조직의 컴퓨터 사용 시스템 안에서 존재하는 운영과 정보의 보호이다. 정보보안은 인가되지 않은 사람으로부터 조직의 정보 자산이 노출되지 않도록 보호하는 시스템과 과정을 모두 포함하는 의미[4]이며, 가용성, 무결성, 진정성, 기밀성 네 가지 요소를 모두 충족시켜야 한다. 따라서 본 연구는 정보 시스템 보안을 가용성, 무결성, 진정성, 기밀성 측면에서 보호하고 보존하는 행위라고 정의한다.

참고문헌 (21)

ISACA, 'State of Cybersecurity:Implications for 2015', 보도자료, 2015.
ITRC, 'Data Breaches Reports 2015', 2015.
한국인터넷진흥원, '2016 인터넷 및 정보보호 10대 이슈 전망', 2015.
Hill, L. B. and Pemberton, J. M, "Information security: An overview and resource guide for inf.", Information Management, Vol.29, No.1, pp.14-24, 1995.
Kesar, S. and S. Rogerson. "Developing ethical practices to minimize computer misuse", Social science computer review, Vol.16, No.3, pp.240-251, 1998.

상세보기
Wasik, M. 'Crime and the Computer', Oxford: Clarendon Press, 1991.
Fafinski, S. 'Computer Misuse: Response, regulation and the law', Routledge, 2013.
Straub, D. W. 'Deterring computer abuse: The effectiveness of deterrent countermeasures in the computer security environment', Diss, 1989.
Ajzen, I. "The theory of planned behavior", Organizational behavior and human decision processes, Vol.50, No.2 pp.179-211, 1991.

상세보기
Nagin, D. "Crime rates, sanction levels, and constraints on prison population", Law and Society Review, pp.341-366, 1978.
Tittle, C. R. 'Sanctions and social deviance: The question of deterrence', Praeger, 1980.
Hollinger, R. C., and John P. C. "Deterrence in the workplace: Perceived certainty, perceived severity, and employee theft", Social forces, Vol.62 No.2 pp.398-418, 1983.

상세보기
Dhillon, G. "Managing and controlling computer misuse", Information Management & Computer Security, Vol.7 No.4 pp.171-175, 1999.

상세보기
Lee, J. and Y. Lee. "A holistic model of computer abuse within organizations", Information management&computer security, Vol.10 No.2 pp.57-63, 2002.

상세보기
Wybo, M. D. and D. W. Straub Jr. "Protecting organizational information resources", Information Resources Management Journal, Vol.2 No.4 pp.1-16, 1989.

상세보기
Kankanhalli, A. et al. "An integrative study of information systems security effectiveness", International journal of information management, Vol.23 No.2 pp.139-154, 2003.

상세보기
Irakleous, I. et al. "An experimental comparison of secret-based user authentication technologies", Information Management&Computer Security, Vol.10 No.3 pp.100-108, 2002.

상세보기
Skinner, W. F. and A. M. Fream, "A social learning theory analysis of computer crime among college students". Journal of research in crime and delinquency, Vol.34 No.4 pp.495-518, 1997.

상세보기
Stanton, J. et al. "Behavioral information security: two end user survey studies of motivation and security practices", AMCIS 2004 Proceedings, 2004.
Chin, W. W. "The partial least squares approach to structural equation modeling", Modern methods for business research, Vol.295 No.2 pp.295-336, 1998.
Gefen, D, D. Straub, and Marie-Claude B. "Structural equation modeling and regression: Guidelines for research practice", Communications of the association for information systems, Vol.4 No.1, 2000.

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증