정보보안 정책 인식과 정보보안 관여성, 준수 의도성이 정보보안 행동에 미치는 영향 분석: 보상 차원과 공정성 차원을 중심으로 Analysis of the Effects of Information Security Policy Awareness, Information Security Involvement, and Compliance Behavioral Intention on Information Security behavior : Focursing on Reward and Fairness원문보기
본 연구의 목적은 정보보안 정책 인식, 정보보안 관여성, 준수 의도성이 정보보안 행동에 미치는 영향력을 분석하는 것이다. 연구 방법은 보상 차원과 공정성 차원의 교차설계로 구성되었고, 조직적인 차원의 정책이 개인의 의사결정 수준에서 발생하는 정보처리 단계를 통해 정보보안 준수의도로 나타나는 과정에 주안점을 두었다. 연구 결과, 보상 차원은 준수 의도성에 유의미한 영향을 미치고 있었으며, 심리적 조건의 영향력이 물질적 조건보다 더 큰 것으로 나타났다. 공정성 차원은 정보보안 정책 인식, 정보보안 관여성, 정보보안 행동에 유의미한 영향을 미치고 있었으며, 형평성 조건의 영향력이 동등성 조건보다 더 큰 것으로 나타났다. 결과적으로 도출한 결과 모형은 측정변인으로 재구성된 복합 매개모형으로 확인되었고, 개인과 조직의 문화적 환경에 의한 시너지 관점에서 필요한 연구 방향을 논의하였다.
본 연구의 목적은 정보보안 정책 인식, 정보보안 관여성, 준수 의도성이 정보보안 행동에 미치는 영향력을 분석하는 것이다. 연구 방법은 보상 차원과 공정성 차원의 교차설계로 구성되었고, 조직적인 차원의 정책이 개인의 의사결정 수준에서 발생하는 정보처리 단계를 통해 정보보안 준수의도로 나타나는 과정에 주안점을 두었다. 연구 결과, 보상 차원은 준수 의도성에 유의미한 영향을 미치고 있었으며, 심리적 조건의 영향력이 물질적 조건보다 더 큰 것으로 나타났다. 공정성 차원은 정보보안 정책 인식, 정보보안 관여성, 정보보안 행동에 유의미한 영향을 미치고 있었으며, 형평성 조건의 영향력이 동등성 조건보다 더 큰 것으로 나타났다. 결과적으로 도출한 결과 모형은 측정변인으로 재구성된 복합 매개모형으로 확인되었고, 개인과 조직의 문화적 환경에 의한 시너지 관점에서 필요한 연구 방향을 논의하였다.
The aim of this study to assess the effect of information security policy awareness, information security involvement, compliance behavioral intention on information security behavior The research method is composed of a cross-sectional design of reward and fairness. This paper focuses on the proces...
The aim of this study to assess the effect of information security policy awareness, information security involvement, compliance behavioral intention on information security behavior The research method is composed of a cross-sectional design of reward and fairness. This paper focuses on the process of organizational policy on the information security compliance intention in the individual decision-making process. As a result, the reward had a significant effect on compliance behavioral intention, and it was found that influence of the psychological reward-based condition was greater than the material reward-based condition. The fairness had a significant effect on information security policy awareness, information security involvement, information security behavior, and it was found that influence of the equity-based condition was greater than the equality-based condition. The exploration model was verified as a multiple mediation model. In addition, the discussion presented the necessary research direction from the perspective of synergy by the cultural environment of individuals and organizations.
The aim of this study to assess the effect of information security policy awareness, information security involvement, compliance behavioral intention on information security behavior The research method is composed of a cross-sectional design of reward and fairness. This paper focuses on the process of organizational policy on the information security compliance intention in the individual decision-making process. As a result, the reward had a significant effect on compliance behavioral intention, and it was found that influence of the psychological reward-based condition was greater than the material reward-based condition. The fairness had a significant effect on information security policy awareness, information security involvement, information security behavior, and it was found that influence of the equity-based condition was greater than the equality-based condition. The exploration model was verified as a multiple mediation model. In addition, the discussion presented the necessary research direction from the perspective of synergy by the cultural environment of individuals and organizations.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 본 탐색 연구에서는 정보보안의 핵심 정책으로 기대할 수 있는 실제적인 확산 효과를 분석하기 위해 조직이 실시하는 현실적인 정보보안 절차 속에서 드러나는 평정 결과 자료를 기준으로 정보보안 정책의 핵심적인 효과를 규명할 것이다. 정보보안 정책의 효과는 정보보안 정책 인식, 정보보안 관여성, 준수 의도성, 그리고 정보보안 행동으로 작성된 문항들을 활용하여 측정할 것이며, 연구 결과를 융합하여 설명구조에 적합한 분석모형을 검증하고자 한다.
본 연구에서는 정보보안 정책에서 인간의 행동 요소에 관심을 가지는 조사 연구이며, 연구대상자들은 일상적으로 보안 관련 정책의 영향권에 있는 직무를 진행하고 있으며, 적어도 보안 정책 운영의 개념을 인식하고 있는 성인이다. 자료를 모으는 절차에서 남성 154명(평균 연령 29.
그 까닭은 결과적으로 시스템을 활용하는 당사자 변인에 의해 일어나는 보안 정책 사고 내용이 꾸준히 확산되고 있기 때문이다. 이러한 측면에서 본 연구 수행에서는 인간 요소의 영역을 조절하는 관점의 연구적 필요성을 제시하며, 주요한 핵심 관련 변인을 구조화하여 정보보안 과정에 관여하는 영향을 분석하고자 한다.
제안 방법
넷째, 정보보안 행동(Information Security Behavior)에 미치는 영향을 변량분석으로 검증하였고, 그 결과는 다음과 같다.
). 두번째로, 정보보안 정책 인식이 준수 의도성을 거쳐 정보보안 행동을 설명하는 매개모형을 검증하였다. 정보보안 정책 인식이 정보보안 행동에 미치는 전체적인 영향력은 동일하며, 정보보안 정책 인식이 준수 의도성에 미치는 영향력(경로 a2; β = 0.
둘째, 정보보안 관여성(Information Security Involvement)에 미치는 영향을 변량분석으로 검증하였고, 그 결과는 다음과 같다.
본 연구에서는 내부적 영역에 해당하는 개인 유의성의 개념(Valence)과 외부적 영역에 해당하는 조직수단성의 개념(Instrumentality), 두 차원으로 분류하여 교차방안(cross over design)을 검증하였다. 정보보안의 동기화 과정을 분석하기 위해 정보보안 정책 인식 (Information Security Policy Awareness), 정보보안 관여성(Information Security Involvement), 준수 의도성(Compliance Behavioral Intention), 정보보안 행동(Information Security Behavior)으로 구성된 변인들을 측정했고, 변인 간의 상호적 특징을 감안하여 평균차이검증, 일반선형 변량분석, 모형검증에 사용하였다.
본 연구의 대상자 성향을 보상 차원, 공정성 차원, 그리고 성별의 세 가지 범주로 분류하여 분포 성향을 확인하였다. 보상 차원의 범주에서 0.
셋째, 준수 의도성(Compliance Behavioral Intention)에 미치는 영향을 변량분석으로 검증하였고, 그 결과는 다음과 같다.
우선, 정보보안 정책 인식이 정보보안 관여성을 거쳐 정보보안 행동을 설명하는 매개모형을 검증하였다. 정보보안 정책 인식이 정보보안 행동에 미치는 전체적인 영향력은 통계적으로 유의한 것으로 나타났으며(경로 c'; β = 0.
자료 수집에 활용한 측정 도구는 4개의 질문으로 재구성된 태도 측정 변수이며, 연구 조건에 맞게 보강하여 조사 설문지로 제작하였다. 척도의 크기는 7 점 리커트 방식으로 사용했으며, 이 측정도구의 문항 간 신뢰도(Chrombach' α)는 .
자료 수집에 활용한 측정 도구는 6개의 질문으로 재구성된 태도 측정 변수이며, 연구 조건에 맞게 보강하여 조사 설문지로 제작하였다. 척도의 크기는 7점 리커트 방식으로 사용했으며, 이 측정도구의 문항간 신뢰도(Chrombach' α)는 .
자료 수집에 활용한 측정 도구는 7개의 질문으로 재구성된 태도 측정 변수이며, 연구 조건에 맞게 보강하여 조사 설문지로 제작하였다. 척도의 크기는 7점 리커트 방식으로 사용했으며, 이 측정도구의 문항간 신뢰도 (Chrombach' α)는 .
자료 수집에 활용한 측정 도구는 7개의 질문으로 재구성된 태도 측정 변수이며, 연구 조건에 맞게 보강하여 조사 설문지로 제작하였다. 척도의 크기는 7점 리커트 방식으로 사용했으며, 이 측정도구의 문항간 신뢰도 (Chrombach' α)는 .
효과를 규명할 것이다. 정보보안 정책의 효과는 정보보안 정책 인식, 정보보안 관여성, 준수 의도성, 그리고 정보보안 행동으로 작성된 문항들을 활용하여 측정할 것이며, 연구 결과를 융합하여 설명구조에 적합한 분석모형을 검증하고자 한다.
다시 말한다면, 보상 차원과 공정성 차원의 교차설계방안에서 교차방안이 정보보안 정책 인식, 정보보안 관여성, 준수 의도성, 정보보안 행동에 미치는 효과성을 탐색적으로 확인하였다. 첫째, 보상 차원(reward), 공정성 차원(fairness) 변인이 정보보안 정책 인식(Information Security Policy Awareness)에 미치는 영향을 변량분석으로 검증하였고(보상 차원(2)×공정성 차원(2)), 그 결과는 다음과 같다.
대상 데이터
성인이다. 자료를 모으는 절차에서 남성 154명(평균 연령 29.54세), 여성 167명(평균 연령 27.78세), 총 321명(평균 연령 28.63세)의 자료를 무작위 방식으로 수집하였으며, 최종적으로 321개의 자료를 연구분석에 응용하였다.
데이터처리
본 분석에서는 연구참여 대상자들이 응답 자료를 응용하여 보상 차원과 공정성 차원이 혼합된 상태에서 정보보안의 동기화 과정을 탐색하기 위해 변량분석 (ANOVA) 기법을 응용하였다. 다시 말한다면, 보상 차원과 공정성 차원의 교차설계방안에서 교차방안이 정보보안 정책 인식, 정보보안 관여성, 준수 의도성, 정보보안 행동에 미치는 효과성을 탐색적으로 확인하였다.
아울러, 두 가지 경로로 구조화된 이중 매개효과의 유효성을 검증하기 위해 Sobel 검증을 실시하였고, 그 결과 매개효과가 통계적으로 유의한 것으로 나타났다 (Z = 1.92, p < .05).
정보보안의 동기화 과정을 분석하기 위해 정보보안 정책 인식 (Information Security Policy Awareness), 정보보안 관여성(Information Security Involvement), 준수 의도성(Compliance Behavioral Intention), 정보보안 행동(Information Security Behavior)으로 구성된 변인들을 측정했고, 변인 간의 상호적 특징을 감안하여 평균차이검증, 일반선형 변량분석, 모형검증에 사용하였다. 아울러, 분석 과저에서는 SPSS 26.
성능/효과
공정성 차원 변인에서 동등성 집단(M = 5)이 형평성 집단(M = 5.16)보다 준수 의도성의 평균이 더 낮은 것으로 나타났다. 그러나 공정성 차원 변인이 준수 의도성 변인에 미치는 영향력(F(1, 317) = 0.
구체적으로는, 조직의 보안 사고가 매년 60~70% 정도가 해킹이나 멀웨어 등과 같은 외부의 침입 요소에 인해 발생하고 있으며, 조직 내부자에 의한 사고는 매년 20~30% 정도 발생하는 것으로 나타났다. 실제, 2019년의 경우 정보보안 사고 유형 중에 20% 이상이 권한이 부여된 사용자(user)의 오용(misuse)에 인해 발생한 것으로 나타났으며, 정보보안 사고 중에 30% 이상은 내부자에 인한 사고인 것으로 나타났다[6].
49)보다 정보보안 관여성의 평균이 더 낮은 것으로 나타났다. 그리고 공정성 차원 변인이 정보보안 관여성 변인에 미치는 영향력(F(1, 317) = 10.12, p < 0.01)은 통계적으로 유의한 것으로 나타났다. 보상 차원 변인과 공정성 차원 변인의 상호작용(F(1, 317) = 0.
88)보다 정보보안 정책 인식의 평균이 더 낮은 것으로 나타났다. 그리고 공정성 차원 변인이 정보보안 정책 인식 변인에 미치는 영향력(F(1, 317) = 5.41, p < 0.05)은 통계적으로 유의한 것으로 나타났다. 보상 차원 변인과 공정성 차원 변인의 상호작용(F(1, 317) = 0.
73)보다 정보보안 행동의 평균이 더 낮은 것으로 나타났다. 그리고 공정성 차원 변인이 정보보안 행동 변인에 미치는 영향력(F(1, 317) = 14.18, p < 0.01)은 통계적으로 유의한 것으로 나타났다. 보상 차원 변인과 공정성 차원 변인의 상호작용(F(1, 317) = 1.
29)보다 준수 의도성의 평균이 더 낮은 것으로 나타났다. 그리고 보상 차원 변인이 준수 의도성 변인에 미치는 영향력(F(1, 317) = 6.45, p < 0.05) 은 통계적으로 유의한 것으로 나타났다.
넷째, 연구모형을 토대로 정책제도의 방향을 고려한다면, 탐색구조의 상대적인 위상을 분리하여 비교하여 정보보안 관여성과 준수 의도성은 각자 '개인추구성향' 과 '조직동조성향'의 측면으로 구분하여 설명하는 양분 특성에 주목해야 한다. 따라서, 매개효과의 모델에 부합하는 핵심 특성을 양분하여 정보보안 정책 운영에 도입해야 하며, 두 측면의 핵심 특성을 고려하여 기관의 상황에 적합한 보안 정책 체제를 구조적으로 적용하는 전략적 추진이 필요하다.
둘째, 분석된 결과를 기반하여 보안 정책의 방향을 강구하기 위해서는 보상 차원의 조건에서 예상할 수 있는 주요 성과를 밝히기 위해 준수 의도성 등에 해당하는 정보 관련 태도 보완 기법을 확립하는 것이 매우 중요하다 점이 나타났다.
따라서 본 연구모형은 이중 복합모형으로 설명할 수 있으며, 정보보안의식이 정보보안 행동으로 이어지는 과정에서 대처효능감과 준수의향이 매개하는 역할을 하고 있는 것을 확인할 수 있다. 아울러 다음의 몇 가지의 논의점을 추론할 수 있다.
01; 가설 4 채택)은 모두 통계적으로 유의한 것으로 나타났다. 또한, 정보보안 정책 인식이 정보보안 행동에 미치는 직접적인 영향력은 통계적으로 유의하지 않은 것으로 나타났다(경로 c; β = 0.06, n.s.). 두번째로, 정보보안 정책 인식이 준수 의도성을 거쳐 정보보안 행동을 설명하는 매개모형을 검증하였다.
05)은 통계적으로 유의한 것으로 나타났다. 보상 차원 변인과 공정성 차원 변인의 상호작용(F(1, 317) = 0.00, n.s.)은 통계적으로 유의하지 않은 것으로 나타났다.
01)은 통계적으로 유의한 것으로 나타났다. 보상 차원 변인과 공정성 차원 변인의 상호작용(F(1, 317) = 0.01, n.s.)은 통계적으로 유의하지 않은 것으로 나타났다.
보상 차원 변인과 공정성 차원 변인의 상호작용(F(1, 317) = 1.21, n.s.)은 통계적으로 유의하지 않은 것으로 나타났다.
보상 차원 변인에서 물질적 집단(M = 4.90)이 심리적 집단(M = 5.29)보다 준수 의도성의 평균이 더 낮은 것으로 나타났다. 그리고 보상 차원 변인이 준수 의도성 변인에 미치는 영향력(F(1, 317) = 6.
셋째, 정보보안 정책 인식은 정보보안 관여성과 준수 의도성의 다차원 구조의 매개모형을 통해 정보보안 행동에 효력을 작용하는 구조모형으로 밝혀졌다.
두번째로, 정보보안 정책 인식이 준수 의도성을 거쳐 정보보안 행동을 설명하는 매개모형을 검증하였다. 정보보안 정책 인식이 정보보안 행동에 미치는 전체적인 영향력은 동일하며, 정보보안 정책 인식이 준수 의도성에 미치는 영향력(경로 a2; β = 0.3, p < 0.01; 가설 2 채택)과 준수 의도성이 정보보안 행동에 미치는 직접적인 영향력(경로 b2; β = 0.33, p < 0.01; 가설 5 채택)은 모두 통계적으로 유의한 것으로 나타났다. 또한, 정보보안 정책 인식이 정보보안 행동에 미치는 직접적인 영향력 또한 동일하다.
정보보안 정책 인식이 정보보안 행동에 미치는 전체적인 영향력은 통계적으로 유의한 것으로 나타났으며(경로 c'; β = 0.24, p < 0.01; 가설 3 채택), 정보보안 정책 인식이 정보보안 관여성에 미치는 영향력(경로 a1; β = 0.25, p < 0.01; 가설 1 채택)과 정보보안 관여성이 정보보안 행동에 미치는 직접적인 영향력(경로 b1; β = 0.33, p < 0.01; 가설 4 채택)은 모두 통계적으로 유의한 것으로 나타났다. 또한, 정보보안 정책 인식이 정보보안 행동에 미치는 직접적인 영향력은 통계적으로 유의하지 않은 것으로 나타났다(경로 c; β = 0.
첫째, 주효과 분석 결과에서 공정성 차원의 영향력이 정보보안 정책 인식, 정보보안 관여성, 정보보안 행동 특성을 유의미하게 향상시킨다는 결과들을 밝혀냈다. 그리고 지금 현재 등장하는 4차 산업혁명의 특정 분위기를 고려한다면 이 다음 우리 사회가 필요로 하는 다양한 정보문화 혁신 속에 인간이 있다는 핵심을 수용해야 한다.
후속연구
동시에, 보안 정책 관련 연구 모형을 인간 요소의 관련 특성에 초점을 두고 조사를 실시하는 중 업종 성향을 숙고한다면, 더욱 타당한 연구적 가치를 도출할 수 있을 것이라고 평가된다[2]. 결론적으로, 현실타당성을 향상시키는 후속연구가 촉구되고, 다양한 인간 요소의 변인과 문화적 환경의 시너지 기능을 여러 가지 구조에서 검증하는 분석의 필요성을 제안한다.
끝으로, 본 연구는 연구참여자의 독특한 개별적 특징을 생각하지 못한 점이 제한점이라고 말 할 수 있다. 동시에, 보안 정책 관련 연구 모형을 인간 요소의 관련 특성에 초점을 두고 조사를 실시하는 중 업종 성향을 숙고한다면, 더욱 타당한 연구적 가치를 도출할 수 있을 것이라고 평가된다[2].
둘째, 정보보안의 정책적 측면에서 공정성 차원을 고려했을 때, 정보보안의 방향도 인간 요소의 전략이 적용된다면 일부 정보보안 정책 인식, 정보보안 관여성, 정보보안 행동 측면에서 두드러지는 변화들이 수용될 것이다. 이 결과들은 공정성 차원에 해당하는 개인 특성의 중요한 증거가 될 수 있다는 관점에서 명백한 현실적 가치를 제공한다.
참고문헌 (25)
B. Khan, K. S. Alghathbar, S. I. Nabi & M. K. Khan. (2011). Effectiveness of information security awareness methods based on psychological theories. African Journal of Business Management, 5(26), 10862-10868. DOI : 10.5897/AJBM11.067
R. W. Lee, I. H. Hwang & S. H. Hu. (2017). Exploratory research of information security strategy focused on human factors. The Journal of General Education, 6, 103-124.
J. D'Arcy & P. L. Teh. (2019). Predicting employee information security policy compliance on a daily basis: The interplay of security-related stress, emotions, and neutralization. Information & Management, 56(7), 103151. DOI : 10.1016/j.im.2019.02.006.
I. Hwang, R. Wakefield, S. Kim & T. Kim. (2019). Security awareness: The first step in information security compliance behavior. Journal of Computer Information Systems, 1-12. DOI : 10.1080/08874417.2019.1650676
H. Lee & J. Kim. (2018). A convergence study on the structural relationships among emotional labor and work performance of information security professionals. Journal of the Korea Convergence Society, 9(1), 67-74. DOI : 10.15207/JKCS.2018.9.1.067.
Verizon. (2020). 2020 data breach investigations report.
Grandviewresearch. (2019). Cyber security market size, share & trends analysis report by component, by security type, by solution, by service, by deployment, by organization, by application, and segment Forecasts, 2019 - 2025. https://www.globenewswire.com.
L. Tredinnick. (2008). Digital information culture: the individual and society in the digital age, Amsterdam : Elsevier.
M. I. Merhi & P. Ahluwalia. (2019). Examining the impact of deterrence factors and norms on resistance to information systems security. Computers in Human Behavior, 92, 37-46. DOI : 10.1016/j.chb.2018.10.031
P. Van Schaik, K. Renaud, C. Wilson, J. Jansen, & J. Onibokun. (2020). Risk as affect: The affect heuristic in cybersecurity. Computers & Security, 90, 101651.
S. Aurigemma & T. Mattson, (2017). Deterrence and punishment experience impacts on ISP compliance attitudes. Information and Computer Security, 25(4), 421-436. DOI : 10.1108/ICS-11-2016-0089.
J. Cho, J. Yoo & J. I. Lim. (2019). An Impact Analysis of Information Security Professional's Job Stress and Job Satisfaction to Turnover Intention: Moderation of Organizational Justice. The Journal of Society for e-Business Studies, 24(3), 143-161.
A. P. Getman, O. G. Danilyan, A. P. Dzeban, Y. Y. Kalinovsky, & Y. A. Hetman. (2020). Information security in modern society: Sociocultural aspects. Amazonia Investiga, 9(25), 6-14.
J. G. Paolillo & S. J. Vitell. (2002). An empirical investigation of the influence of selected personal, organizational and moral intensity factors on ethical decision making. Journal of Business Ethics, 35(1), 65-74.
M. L. Foulds. (1971). Changes in locus of internal-external control: A growth group experience. Comparative Group Studies, 2(3), 293-300. DOI : 10.1177/104649647100200303
J. Cameron & W. D. Pierce. (1994). Reinforcement, reward, and intrinsic motivation: A meta-analysis. Review of Educational research, 64(3), 363-423. DOI : 10.3102/00346543064003363
E. A. Mannix, M. A. Neale & G. B. Northcraft. (1995). Equity, equality, or need? The effects of organizational culture on the allocation of benefits and burdens. Organizational Behavior and Human Decision Processes, 63(3), 276-286.
M. Siponen, S. Pahnila & M. A. Mahmood. (2010). Compliance with information security policies: An empirical investigation. Computer, 43(2), 64-71. DOI : 10.1109/MC.2010.35
P. Ifinedo. (2014). Information systems security policy compliance: An empirical study of the effects of socialisation, influence, and cognition. Information & Management, 51(1), 69-79. DOI : 10.1016/j.im.2013.10.001
E. Albrechtsen. (2007). A qualitative study of users' view on information security. Computers & Security, 26(4), 276-289. DOI : 10.1016/j.cose.2006.11.004
A. E. Howe, I. Ray, M. Roberts, M. Urbanska & Z. Byrne, (2012). The psychology of security for the home computer user. IEEE.
B. Bulgurcu, H. Cavusoglu & I. Benbasat. (2010). Information security policy compliance: an empirical study of rationality-based beliefs and information security awareness. MIS quarterly, 34(3), 523-548.
S. H. Hu. (2020). Analysis of the impact of military organization's safety culture on safety behavior: Focusing on the mediating effect of safety leadership. Journal of Advances in Military Studies, 3(2), 63-81. DOI : 10.37944/jams.v3i2.70
S. H. Hu. (2020). A comparative study on job orientation between enterprises and job seekers: Focusing on the recruitment process. Journal of Digital Convergence, 18(7), 85-92.
N. S. Safa, C. Maple, T. Watson & R. Von Solms. (2018). Motivation and opportunity based model to reduce information security insider threats in organisations. Journal of information security and applications, 40, 247-257. DOI : 10.1016/j.jisa.2017.11.001
※ AI-Helper는 부적절한 답변을 할 수 있습니다.