[논문]개인정보 오남용 예방을 위한 정보보호정책 개선에 관한 연구 : 금융회사의 개인정보 오남용 모니터링 결과 중심으로

김영호; 김인석

doi:10.13089/jkiisc.2019.29.6.1437

개인정보 오남용 예방을 위한 정보보호정책 개선에 관한 연구 : 금융회사의 개인정보 오남용 모니터링 결과 중심으로
A Study on the Improvement of Information Protection Policy to Prevent the Misuse of Personal Information : Based on the Results of the Monitoring Personal Information Misuse in Financial Companies 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.6, 2019년, pp.1437 - 1446

김영호 (고려대학교 정보보호대학원) , 김인석 (고려대학교 정보보호대학원)

초록
AI-Helper

각종 개인정보 유출사고를 계기로 정부에서는 강화된 개인정보보호 대책을 시행하였고, 금융회사들은 정부 대책에 의거 개인정보 오남용 여부를 주기적으로 점검하는 등 노력을 기울이고 있지만 개인정보 오남용 문제는 여전히 개선되지 않고 있는 실정이다. 본 연구는 금융회사 직원을 대상으로 개인정보 오남용 모니터링 시스템을 이용한 현장실험 결과를 분석하여 오남용 문제 개선방안을 제시하고자 한다. 특별억제이론에 기반하여 오남용 행위자를 조치 하는 방법에 따른 오남용 방지 효과를 확인하고, 오남용 행위자들의 담당업무 및 근속연수와 오남용 행위 간의 관련성을 분석하였다. 분석결과를 바탕으로 제시하는 개선방안들이 실효성 있는 정책수립에 활용되기를 기대한다.

Abstract ▼ AI-Helper

As a result of various personal information leakage incidents, the government implemented enhanced privacy protection measures, and financial companies are making efforts to periodically check whether personal information is misused according to government measures, but the problem of misuse of personal information is still not improved. The purpose of this study is to analyze the results of field experiments using the monitoring system for misuse of personal information and to suggest ways to improve the misuse problem. Based on the specific deterrence theory, this study examined the effects of misuse prevention according to the method of dealing with misusers, and analyzed the relationship between the duties of misusers and their years of service and misuse. It is expected that the analysis results of this study will be used for effective policy establishment.

주제어

표/그림 (11)

그림 Fig. 1. Research model
그림 Fig. 2. Effect of monitoring measurement model
표 Table 1. Scenario classification
표 Table 2. Sample Status
표 Table 3. Demographic characteristics
표 Table 4. Ratio of recurrence analyzed by response method to misuse
표 Table 5. Analysis result by response method
표 Table 6. Ratio of recurrence analyzed by number of years of service
표 Table 7. Analysis result by years of service
표 Table 8. Ratio of recurrence analyzed by assigned task
표 Table 9. Analysis result by assigned task

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 개인정보 오남용 모니터링이 얼마나 조직 구성원들의 오남용 행위 억제에 영향을 미쳤는가를 실제 행동 변화를 측정함으로써 모니터링의 특별 억제효과를 확인하고자 한다. 특별억제효과를 연구하는 방법에 있어서 그 동안 주로 사용되었던 스팸메일 모의훈련이나 정보보호교육이 아닌 개인정보 오남용 모니터링을 도입하였기 때문에 특별 억제이론에 대한 새로운 연구방법론을 제시하였다는 점에서 학술적 가치를 지닌다.
본 연구에서는 개인정보 오남용 모니터링이라는 기술적 수단을 통한 개인정보 오남용 행위 억제효과를 살펴보고, 조직 구성원들의 인적 · 업무적 요인들과 개인정보 오남용 행위 간의 연관성을 확인한다.
연공을 중시하였던 과거와 달리 오늘날에는 ‘일’ 중심 요소인 직무중심의 인사관리 필요성과 관심이 증대되고 있어, 해당 연구에서는 기업의 직무중심의 인사관리가 구성원의 태도에 미치는 영향을 연구하였다[12].
그나마 최동근(2015)이 정보보호 담당자의 역할이 조직의 정보보호수준에 미치는 영향을 연구하기 위하여 정보보호담당자의 직급, 부서, 주업무, 보안업무 비중 등을 다루었는데[13], 정보 보호는 담당자 혼자서 하는 것이 아니라 조직 내 모든 구성원들이 준수하여야 하는 것임을 감안할 때 정보보호담당자가 아닌 일반직원들을 대상으로 한 연구가 더 많이 진행될 필요가 있다. 이에, 본 연구에서는 일반 직원들의 담당업무와 오남용 행위와의 연관성을 살펴보기 위한 다음의 가설을 수립하였다.
이처럼 근속연수를 통하여 확인할 수 있는 변화들이 많으므로, 본 연구에서는 정보보호 측면으로 접근하여 근속연수의 차이가 개인정보 오남용 행위에 미치는 영향을 확인하기 위한 다음의 가설을 수립하였다.

가설 설정

3.1.1 오남용 행위자 조치에서 이미 설명한 바와 같이 본 연구에서는 알림처리와 소명처리의 엄격성의 차이에 따른 모니터링 효과를 확인할 것이다.
가설1(H1) : 오남용 행위자를 조치하는 방식에 따라 모니터링 효과가 다르게 나타날 것이다.
가설2(H2) : 조직 내 구성원의 근속연수에 따라 모니터링 효과가 다르게 나타날 것이다.
가설3(H3) : 조직 내 구성원의 담당업무에 따라 모니터링 효과가 다르게 나타날 것이다.
5%의 오남용 재발방지 효과(특별 억제효과, 모니터링 효과)를 가지는 것으로 확인되었다. 오남용 행위자를 조치하는 엄격성의 차이에 따라 모니터링 효과가 다르다는 것이 검증된 것이다(H1). 또한, 오남용 행위자의 근속연수 및 담당업무와 모니터링 효과 간 상호관련성이 있는 것으로 확인되어 가설(H2, H3)이 모두 채택되었다.

제안 방법

개인정보 오남용 모니터링 효과에 대한 선행연구가 없기 때문에 본 연구에서는 특별억제이론에 근거하여 모니터링의 효과를 정량적으로 측정할 수 있는 모델을 Fig.2.와 같이 제시한다.
오남용 의심행위를 탐지하는 시나리오를 구현하기 위하여 업무 담당자 인터뷰를 통해 비즈니스 프로세스를 파악하고, 개인정보 처리행위 주체, 행위 발생 시간, 오남용 대상, 행위 위치, 위협 요인을 4W1H 기준(WHO, WHEN, WHAT, WHERE, HOW)으로 분석하여 시나리오 구성요소를 도출하였다. 도출된 구성요소를 바탕으로 시나리오 구현의 적용성 검토 과정을 거친 후 총 41개의 탐지 시나리오를 생성하였는데, Table 1.
종속변수는 특별억제 효과인 ‘모니터링 효과’이며, 독립변수는 특별억제요소 중 엄격성에 해당하는 ‘오남용 행위자 조치방법’(H1), 사람중심 요소인 ‘근속연수’(H2), 일 중심요소인 ‘담당업무’(H3)가 된다.
참고로, 금융회사에서는 고객에게 다양한 서비스를 제공하기 위해 한명의 직원이 여러 업무를 동시에 수행하는 경우가 많기 때문에 본 연구에서는 직원이 복수의 업무를 수행할 경우 주 업무를 기준으로 분류하였다.

대상 데이터

본 연구에 사용된 개인정보 오남용 모니터링 시스템은 크게 세 가지 기능으로 구성되어 있다. 각종 보안 솔루션 및 업무시스템으로부터 로그를 수집하는 기능, 수집된 로그들을 분석하고 탐지하는 탐지기능, 탐지된 내용에 대한 소명처리 등의 조치를 하는 대응기능이 있다.
연구 대상자 선정에 있어서는, 가설설정 단계에서 언급한 바와 같이 금융회사 내 ‘일반직원’을 대상으로 한다.
이와 별개로, 구성원의 근속연수 및 담당업무별 모니터링 효과를 분석하는 데에는 Table 3.과 같이 총 786명의 소명처리 표본이 사용되었다.

데이터처리

가설(H1, H2, H3)을 검증하기 위한 검증방법으로는 두 가지 이상의 명목형 변수들이 상호독립적인지 관련성이 있는지를 밝힐 수 있는 카이제곱(χ²) 독립성 검정을 실시한다.
모니터링 시스템으로 수집된 1년간의 모니터링 결과 데이터를 분석하기 위한 도구로 IBM의 SPSS Statistics v25 통계패키지를 이용하였다. 가설(H1, H2, H3)을 검증하기 위한 검증방법으로는 두 가지 이상의 명목형 변수들이 상호독립적인지 관련성이 있는지를 밝힐 수 있는 카이제곱(χ²) 독립성 검정을 실시한다.

이론/모형

오남용 행위자를 조치하는 방법으로 본 연구에서는 모니터링 시스템의 알림처리와 소명처리 기능을 사용한다.

성능/효과

또한, 오남용 행위자의 근속연수 및 담당업무와 모니터링 효과 간 상호관련성이 있는 것으로 확인되어 가설(H2, H3)이 모두 채택되었다. 구체적으로는 조직 내에서 근속연수가 31년 이상 된 직원들과 업무총괄의 위치에 있는 직원들에게서 오남용 행위 반복 비율이 높게 나타나 모니터링 효과가 가장 낮았다. 연구결과를 통해 근속연수가 길거나 조직 내에서 위치가 높은 직원이 개인정보 오남용 관점에서는 취약한 것을 확인할 수 있으며, 이에 대한 보완 대책이 필요하다.
과 같다. 근속연수 31년 이상인 직원들의 오남용 행위 재발률이 10.2%로 가장 높게 나타났는데, 전체적으로 근속연수가 길어질수록 재발률이 증가하고 있음을 알 수 있다. 가설 2를 검증하기 위한 근속연수와 오남용 행위 발생 간 상관관계를 카이제곱검정을 통해 확인한 결과는 Table 7.
둘째, 오남용 행위를 반복하였던 직원 중 근속연수가 긴 직원들을 대상으로 인터뷰 한 결과, 과거의 업무처리 패턴을 습관적으로 반복한 직원들이 많았다. 주로 개인정보 관련 사고가 크게 발생하기 이전에 입사하여 정보보호에 대한 인식이 낮은 그룹이었는데, 이들에 대해서는 무의식적으로 발생되는 행위를 차단하기 위한 시스템적 개선이 수반되어야 한다.
오남용 행위자를 조치하는 엄격성의 차이에 따라 모니터링 효과가 다르다는 것이 검증된 것이다(H1). 또한, 오남용 행위자의 근속연수 및 담당업무와 모니터링 효과 간 상호관련성이 있는 것으로 확인되어 가설(H2, H3)이 모두 채택되었다. 구체적으로는 조직 내에서 근속연수가 31년 이상 된 직원들과 업무총괄의 위치에 있는 직원들에게서 오남용 행위 반복 비율이 높게 나타나 모니터링 효과가 가장 낮았다.
연구결과를 보면, 오남용 행위자를 조치하는 방법에 따라서 소명처리가 92.3%, 알림처리가 87.5%의 오남용 재발방지 효과(특별 억제효과, 모니터링 효과)를 가지는 것으로 확인되었다. 오남용 행위자를 조치하는 엄격성의 차이에 따라 모니터링 효과가 다르다는 것이 검증된 것이다(H1).
첫째, 연구결과를 통해 알림조치 만으로도 오남용 행위가 대폭 감소하였지만 소명처리보다는 효과가 적게 나타났음을 확인하였다. 개인정보 오남용 재발방지를 위해서는 조치방법의 엄격성이 긍정적인 영향을 미쳤다는 것을 참고하여, 엄격한 기준을 수립할 필요가 있다.
카이제곱(χ²) 값은 9.510이고, 유의확률은 0.002(p<0.01)로써 오남용 행위자 조치방법에 따라 모니터링 효과의 차이가 존재하는 것이 확인되어 가설 1이 채택되었다.
본 연구는 학술적 의의와 실무적 가치를 균형있게 갖추고 있다. 특별 억제이론을 적용한 개인정보 오남용 모니터링 효과 측정 모델을 제시하였고, 스팸메일 발송실험에 편중되어 있던 기존의 현장실험 연구방법을 개인정보 오남용 모니터링이라는 새로운 영역으로 확장하였다는 점에서 학술적 가치를 지닌다. 억제이론을 배경으로 조직 구성원들의 정보보호 정책 준수에 미치는 영향을 연구함에 있어서 기존에는 주로 설문조사에 의존하였는데, 설문조사는 실제 행동과 일치하지 않을 수 있다는 한계가 있다[14].

후속연구

모니터링 결과에 대한 분석을 통해 개인정보 오남용 문제를 개선하기 위한 방안을 제언하고자 한다.
또한, 본 논문에서 언급하는 ‘오남용 행위’는 법률 위반행위를 지칭하는 것이 아니라 개인정보 오남용 모니터링 시스템의 탐지 시나리오가 탐지한 직원의 행동 패턴을 의미하기 때문에, 법적인 의미의 ‘오남용 행위’와는 다르다는 한계가 있다.
마지막으로, 본 연구에서는 오남용 행위자 조치방법, 근속연수, 담당업무를 독립변수로 설정하였는데, 행위자에 대한 더 많은 정보의 수집 및 활용이 가능하다면 보다 다양한 해석이 가능할 것으로 생각된다.
본 연구에서 개인정보 오남용 모니터링이라는 새로운 연구방법을 시도하였기 때문에 앞으로 많은 후속연구가 발생될 수 있을 것이다. 특히, 근속연수가 짧은 직원들은 소명처리만으로도 모니터링 효과가 높은 것으로 나타났지만, 근속연수가 짧았던 직원들이 시간이 흘러 근속연수가 길어지면 어떻게 변화될지에 대한 후속 연구도 진행되기를 기대한다.
셋째, 업무총괄의 위치에 있는 직원들이 취약한 것으로 나타났듯이, 내부통제로부터 사각지대에 위치한 직원의 존재 가능성 등 취약한 내부통제 프로세스에 대한 보완 대책을 마련하여야 한다. 구체적 실행 방안으로는, (1)업무총괄자도 개인정보의 오남용과 관련하여서는 다른 직원들과 동등하게 통제 받을 수 있는 프로세스를 마련하여 사각지대를 제거 (2)실무를 담당하지 않는 업무총괄자에게는 개인정보 접근권한에 제한을 두어 불필요한 접근을 차단 (3)업무총괄자를 대상으로 정기적인 교육 실시 및 업무총괄자가 오남용 행위로 적발되는 경우 타 직원보다 처벌수위를 강화하는 방안 등이 있다.
연구결과를 통해 근속연수가 길거나 조직 내에서 위치가 높은 직원이 개인정보 오남용 관점에서는 취약한 것을 확인할 수 있으며, 이에 대한 보완 대책이 필요하다.
개인정보 오남용 재발방지를 위해서는 조치방법의 엄격성이 긍정적인 영향을 미쳤다는 것을 참고하여, 엄격한 기준을 수립할 필요가 있다. 오남용 행위자에 대한 엄격한 조치 기준을 마련하기 위해서는, 본 논문에서 제시한 모니터링 효과 측정 모델을 활용하여 조치방법 별 효과를 정량적으로 측정 가능하여야 최선의 방안을 선택할 수 있을 것으로 판단된다.
본 연구에서 개인정보 오남용 모니터링이라는 새로운 연구방법을 시도하였기 때문에 앞으로 많은 후속연구가 발생될 수 있을 것이다. 특히, 근속연수가 짧은 직원들은 소명처리만으로도 모니터링 효과가 높은 것으로 나타났지만, 근속연수가 짧았던 직원들이 시간이 흘러 근속연수가 길어지면 어떻게 변화될지에 대한 후속 연구도 진행되기를 기대한다.
억제이론을 배경으로 조직 구성원들의 정보보호 정책 준수에 미치는 영향을 연구함에 있어서 기존에는 주로 설문조사에 의존하였는데, 설문조사는 실제 행동과 일치하지 않을 수 있다는 한계가 있다[14]. 한계를 보완하기 위한 현장실험은 스팸메일을 이용한 연구방법이 주를 이루어 왔으며, 본 연구를 계기로 다양한 연구방법을 동원한 현장실험이 촉진될 수 있을 것으로 기대할 수 있다. 실무적으로는 그 동안 연구되지 않았던 개인정보 오남용 모니터링 결과를 다루고 모니터링 효과를 측정하였다는 점에서 모니터링 시스템을 운영하거나 향후 구축에 관심있는 조직의 의사결정에 참고자료가 될 수 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	금융분야 개인정보 유출 재발방지 종합대책(관계부처 합동)의 주요 내용은 무엇인가?	2014년 1월 신용카드 3사의 대규모 개인정보 유출 사고를 계기로 정부에서는 관계부처 합동으로 “금융분야 개인정보 유출 재발방지 종합대책”을 마련하였고, 개인정보 보호 관련 법과 정책들이 보완되거나 새로 도입되었다[1]. “금융분야 개인정보 유출 재발방지 종합대책(관계부처 합동)”은 개인정보의 수집부터 파기까지 단계별 정보보호 강화, 자기정보결정권 등 신용정보 주체의 권리보장 강화, 임원책임 확대 및 엄정한 제재 등 금융회사 책임 강화, 금융권 사이버 안전 대책 강화 등 정보보호·보안 강화와 예방조치 강화 등을 주요 내용으로 한다. 또한, 신용정보의 이용 및 보호에 관한 법률 및 신용정보업감독규정은 신용정보관리·보호인이 신용정보 유출 등을 방지하기 위한 내부통제시스템을 구축하고 운영하도록 하고 있으며, 이에 따라 각 금융회사들은 개인신용정보의 유출 및 오남용 여부에 대한 점검을 수행하여야 한다.
	개인정보 유출사고에 대한 정부와 금융회사의 대응 방안은?	각종 개인정보 유출사고를 계기로 정부에서는 강화된 개인정보보호 대책을 시행하였고, 금융회사들은 정부 대책에 의거 개인정보 오남용 여부를 주기적으로 점검하는 등 노력을 기울이고 있지만 개인정보 오남용 문제는 여전히 개선되지 않고 있는 실정이다. 본 연구는 금융회사 직원을 대상으로 개인정보 오남용 모니터링 시스템을 이용한 현장실험 결과를 분석하여 오남용 문제 개선방안을 제시하고자 한다.
	특별 억제이론을 적용한 개인정보 오남용 모니터링 효과 측정 모델을 활용한 연구 결과는?	연구결과를 보면, 오남용 행위자를 조치하는 방법에 따라서 소명처리가 92.3%, 알림처리가 87.5%의 오남용 재발방지 효과(특별 억제효과, 모니터링 효과)를 가지는 것으로 확인되었다. 오남용 행위자를 조치하는 엄격성의 차이에 따라 모니터링 효과가 다르다는 것이 검증된 것이다(H1). 또한, 오남용 행위자의 근속연수 및 담당업무와 모니터링 효과 간 상호관련성이 있는 것으로 확인되어 가설(H2, H3)이 모두 채택되었다. 구체적으로는 조직 내에서 근속연수가 31년 이상 된 직원들과 업무총괄의 위치에 있는 직원들에게서 오남용 행위 반복 비율이 높게 나타나 모니터링 효과가 가장 낮았다. 연구결과를 통해 근속연수가 길거나 조직 내에서 위치가 높은 직원이 개인정보 오남용 관점에서는 취약한 것을 확인할 수 있으며, 이에 대한 보완 대책이 필요하다.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format