보안사고 예방을 위한 많은 노력에도 불구하고 조직구성원의 보안행동과 연관된 정보유출, 랜섬웨어 등 치명적 보안사고 피해는 해마다 늘어나고 있다. 이 연구에서는 보안사고의 주요한 원인인 조직원의 보안정책 준수의 관점에서, 보안정책 준수에 영향을 주는 요인으로 편향적 사고를 제시하고 다음을 검증하였다. 첫째, 보안정책에 대한 편향적사고가 보안정책준수 태도에 주는 영향을 검증한다. 둘째, 경영진의 참여, 지각된 위험성, 교육 및 처벌이 편향적 사고를 증가 또는 감소시키는 조절 효과를 검증한다. 마지막으로, 보안정책준수 태도가 준수행동에 유의미한 영향을 주는 지 검증하였다. 이를 위해 157명을 대상으로 설문조사를 실시하고 연구모형 및 구조방정식 통계적 분석, 적합성 분석을 실시하였다. 연구결과 편향적 사고는 정보보안 정책준수 태도에 부정적 영향을 주는 것으로 나타났다. 또한 정보보안 정책준수 태도는 정책준수 행동을 증가시키는 것으로 분석되었다. 한편, 조직원 개인이 정보보안에 대한 위험성을 높게 지각할수록 편향적 사고를 감소시키는 조절효과가 있었으나, 경영진의 참여, 교육 및 처벌은 조절효과가 없는 것으로 나타났다. 향후, 연구결과는 내부조직원에 의한 보안사고 대처방안에 시사점을 줄 것으로 기대된다.
보안사고 예방을 위한 많은 노력에도 불구하고 조직구성원의 보안행동과 연관된 정보유출, 랜섬웨어 등 치명적 보안사고 피해는 해마다 늘어나고 있다. 이 연구에서는 보안사고의 주요한 원인인 조직원의 보안정책 준수의 관점에서, 보안정책 준수에 영향을 주는 요인으로 편향적 사고를 제시하고 다음을 검증하였다. 첫째, 보안정책에 대한 편향적사고가 보안정책준수 태도에 주는 영향을 검증한다. 둘째, 경영진의 참여, 지각된 위험성, 교육 및 처벌이 편향적 사고를 증가 또는 감소시키는 조절 효과를 검증한다. 마지막으로, 보안정책준수 태도가 준수행동에 유의미한 영향을 주는 지 검증하였다. 이를 위해 157명을 대상으로 설문조사를 실시하고 연구모형 및 구조방정식 통계적 분석, 적합성 분석을 실시하였다. 연구결과 편향적 사고는 정보보안 정책준수 태도에 부정적 영향을 주는 것으로 나타났다. 또한 정보보안 정책준수 태도는 정책준수 행동을 증가시키는 것으로 분석되었다. 한편, 조직원 개인이 정보보안에 대한 위험성을 높게 지각할수록 편향적 사고를 감소시키는 조절효과가 있었으나, 경영진의 참여, 교육 및 처벌은 조절효과가 없는 것으로 나타났다. 향후, 연구결과는 내부조직원에 의한 보안사고 대처방안에 시사점을 줄 것으로 기대된다.
From the perspective of compliance with security policies by members of the organization, which is a major cause of security incidents, this study presented biased thinking as factors that affect compliance with security policies and verified the following: First, the impact of biased thinking on se...
From the perspective of compliance with security policies by members of the organization, which is a major cause of security incidents, this study presented biased thinking as factors that affect compliance with security policies and verified the following: First, the impact of biased thinking on security policies on compliance with security policies is verified. Second, the participation of management, perceived risk, education and punishment of management will verify the adjustment effect of increasing or decreasing biased thinking. Finally, we have verified that compliance attitudes have a significant impact on compliance behavior. To this end, 157 people were surveyed, statistical analysis of research models and structural equations, and conformity analysis were conducted. Studies have shown that biased thinking has a negative effect on the attitude of compliance with information security. In addition, it was analyzed that the attitude of compliance with information security policy increases policy compliance behavior. On the other hand, the higher the perceived risk of information security, the lower the bias was the adjustment effect, but management's participation, education and punishment were found to have no adjustment effect.
From the perspective of compliance with security policies by members of the organization, which is a major cause of security incidents, this study presented biased thinking as factors that affect compliance with security policies and verified the following: First, the impact of biased thinking on security policies on compliance with security policies is verified. Second, the participation of management, perceived risk, education and punishment of management will verify the adjustment effect of increasing or decreasing biased thinking. Finally, we have verified that compliance attitudes have a significant impact on compliance behavior. To this end, 157 people were surveyed, statistical analysis of research models and structural equations, and conformity analysis were conducted. Studies have shown that biased thinking has a negative effect on the attitude of compliance with information security. In addition, it was analyzed that the attitude of compliance with information security policy increases policy compliance behavior. On the other hand, the higher the perceived risk of information security, the lower the bias was the adjustment effect, but management's participation, education and punishment were found to have no adjustment effect.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
편향적사고(과도한 자신감)은 조직의 정보보안 정책준수 태도에 긍정적인 영향을 주어 결과적으로 정보보안 정책준수 행동을 증가시키는 것으로 검증 되었다. 따라서 이 연구는 정보보안 준수태도 및 행동에 부정적‧긍정적 영향을 주는 조직원의 심리적 요인인 편향적 사고의 유형을 제시‧검증하고 부정적인 영향을 주는 편향적 사고 요인을 감소시키고 긍정적인 영향을 주는 요인을 증가시키기 위한 연구의 방향을 제시한 것에 의의가 있다. 실무적으로 조직은 정보보호 수준제고를 위한 정책 수립 및 지속투자에 만족하는 것을 넘어 조직원의 편향적 사고(손실혐오, 과도한 미래가치폄하, 선택적 지각)에 대한 이해도를 높이고 이를 감소시킬 수 있는 전략적인 접근이 필요함을 의미하며 다양한 방식의 체계적인 지원을 할 필요가 있다.
이 연구는 정보보안 정책준수 관련 조직원의 편향적사고(손실혐오, 과도한자신감, 미래가치폄하, 선택적 지각)와 정보보안 정책준수 태도와의 관계, 경영진의 참여, 지각된 위험성, 교육 및 처벌의 편향적 사고에 대한 조절효과를 검증과 정책준수 태도와 정책준수 행동과의 관계를 검증한다. 이에 편향적 사고 및 보안 정책준수 태도, 행동과 관련된 선행 연구들을 참고하여 연구모형 [그림 1] 및 가설검증에 필요한 10개의 요인을 제시하였다.
이 연구는 조직에서 정보보안 정책 시행시 조직원의 정보보안 정책에 대한 태도가 정보보안 정책준수 행동에 영향을 준다는 것을 검증하고, 조직원의 비논리적인 편향적 사고 패턴과 정보보안 정책준수 태도와 관계를 검증하는 것을 목적으로 한다. 태도와 행동관련 이론과 편향적 사고 이론의 사회심리학의 선행연구를 기반으로 정보보안 정책 준수 태도가 정책준수 행동을 증가시키는 것을 제시하였다.
이 연구에서는 정보보안정책준수라는 판단과 결정을 하는 동안 정보보안 정책 준수에 영향을 미치는 편향적 사고 유형을 제시하고, 실제 미치는 긍정적, 부정적 영향을 검증하여 조직원의 편향적 사고를 관리의 필요성을 제시하고자 한다. 연구의 목적을 달성하기 위하여 다음과 같이 연구를 진행하였다.
가설 설정
H1 : 정보보안 정책 준수 태도가 정보보안 정책 준수 행동에 양(+)의 영향을 미칠 것이다.
H2 : 편향적 사고 손실혐오가 정보보안 정책준수 태도에 영향을 미칠 것이다.
H3 : 편향적 사고 과도한자심감은 정보보안 정책준수 태도에 영향을 미칠 것이다.
H4 : 편향적 사고 과도한 미래가치 폄하는 정보보안 정책준수 태도에 영향을 미칠 것이다.
H5 : 편향적 사고 선택적 지각은 정보보안 정책준수 태도에 영향을 미칠 것이다.
H6 : 경영진의 참여는 편향적사고가 정보보호 정책준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이다.
H7 : 지각된 위험성은 편향적사고가 정보보호 정책준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이다.
H8 : 교육 및 처벌은 편향적사고가 정보보호 정책준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이다.
태도와 행동관련 이론과 편향적 사고 이론의 사회심리학의 선행연구를 기반으로 정보보안 정책 준수 태도가 정책준수 행동을 증가시키는 것을 제시하였다. 또한 편향적 사고 유형(손실혐오, 과도한자신감, 미래가치폄하, 선택적지각)이 정보보안 정책준수 태도에 영향을 미칠 것으로 가설을 제시하였다. 연구결과는 사회심리학의 선행연구 결과를 정보보안 분야로 확장하여, 기존 정보보안 수준제고를 위한 여러 연구에서 다루지 않았던 조직원의 정보보안 준수 행동의 유발요인으로서 편향적 사고라는 새로운 관점을 추가 보완함으로써 특장점을 가진다.
제안 방법
신뢰성은 측정요인의 관측변수들이 동질적인 변수들로 구성되어 있는지 확인하는 과정이며, 내적 일관성을 이용하여 측정한다. 내적일관성은 크론바알파 값을 이용하여 내적 일관성을 측정한다. Nunnally(1978)는 활용가능(0.
Rogers(1975)는 개인이 지각하는 위협요인과 위험한 상황에서의 대처과정을 보호동기 이론으로 정리하였다[15]. 본 연구는 정보보안정책 준수 태도에 중요한 영향을 미치는 요인이 될 것으로 기대되는 지각된 위험성을 조절 변수로 선택하였다. 선행 연구에 의해 지각된 위험성은 개인이 지각하는 위협요인으로서 인지되는 위협의 크기를 나타낸다.
연구가설 검증을 위한 10개의 요인에 대한 세부측정항목들은 정보보안 정책준수라는 이 연구과제에 적합하도록 추가적인 수정을 하였다. 최종적으로 32개의 항목을 설문으로 활용하였으며 모든 변수들은 5점 리커트 척도를 사용하였다.
0을 활용하여 구조방정식 모델링을 적용하여 분석하였다. 우선, 연구모형의 적합성에 대한 검증을 실시하여, 연구모형이 연구표본과 적합하게 합치되는 가에 대한 적절성 여부를 살펴보았다. 연구모형의 적합성은 절대적합지수, 증분적합지수 등으로 판단할 수 있다.
이 연구는 경영진의 참여, 보호동기의 지각된 위험성, 교육 및 처벌이 조직원의 편향적 사고(손실혐오, 미래가치편향, 선택적 지각, 과도한자신감)와 정보보안 정책준수 태도와의 관계에서 조절효과를 과 같이 가질 것으로 판단하여 검증하였다.
편향적 사고를 정보보안 정책 준수의 영역에서 살펴보면 정보보안 정책준수를 하지 않고 있음에도 이를 합리화하거나 옳다고 생각하는 경향이다. 이 연구에서는 선행연구를 통해 도출된 145개의 편향사고 유형 중 조직원들이 정보보안정책을 받아들이고 행동하는 결정을 하는데 영향을 줄 수 있을 것으로 판단되는 4가지 편향적 사고 유형을 선별하였다. 첫째는 손실혐오(Loss Aversion)는 같은 수준이라도 얻은 것의 가치보다 잃은 것의 가치를 훨씬 크게 느끼며, 손실을 보는 상황에서는 이를 벗어나기 위해 작은 확률에도 매달리는 위험을 감수하는 것으로 정의된다(Daniel Kahneman).
이는 조직원의 정보보안 정책준수에 대한 편향적 사고인 비이성적인 행동 또는 부정적인 태도로 인해 정보보안의 정책의 불이행의 사각지대가 발생하고 사고로 이어지는 확률이 낮지 않음을 의미한다. 이 연구에서는 조직원의 비이성적인 행동 요인인 편향적 사고 유형을 관련 선행연구로부터 도출하여 정보보안 정책준수에 적용하여 관련성이 있음을 검증하였다. 편향적 사고(손실혐오, 과도한 미래가치폄하, 선택적 지각) 유형은 조직의 정보보안 정책준수 태도에 부정적인 영향을 주어 결과적으로 정보보안 정책준수 행동을 감소시키는 것으로 검증되었다.
이 연구는 정보보안 정책준수 관련 조직원의 편향적사고(손실혐오, 과도한자신감, 미래가치폄하, 선택적 지각)와 정보보안 정책준수 태도와의 관계, 경영진의 참여, 지각된 위험성, 교육 및 처벌의 편향적 사고에 대한 조절효과를 검증과 정책준수 태도와 정책준수 행동과의 관계를 검증한다. 이에 편향적 사고 및 보안 정책준수 태도, 행동과 관련된 선행 연구들을 참고하여 연구모형 [그림 1] 및 가설검증에 필요한 10개의 요인을 제시하였다.
3.1 변수정의 및 측정
정보보안 정책준수와 관련된 편향적 사고 요인은 선행연구에서 손실혐오, 과도한 자신감, 미래가치 폄하, 선택적 지각으로 구성하였다. 편향적 사고 요인은 이남석(2013, 인지편향사전)의 연구를 통해서 세부 요인 및 측정항목을 제시하였다.
정보보안 준수 태도는 “정보보안정책 준수에 대한 개인의 긍정적 또는 부정적 판단 또는 인식”으로 정의하고 5개 항목을 적용하였다.
연구의 목적을 달성하기 위하여 다음과 같이 연구를 진행하였다. 첫째, 선행연구를 통해 인간의 편향적 사고유형 가운데 정보보안 정책준수와 관련된 유형을 제시하고 정보보안 정책준수 태도에 미치는 영향을 검증한다. 둘째 정보보안 정책준수 태도가 행동에 미치는 영향을 검증한다.
이 연구는 다음과 같은 한계점도 존재하며, 향후 연구에서 보완될 필요성이 있다. 첫째, 이 연구에서는 조직원의 심리학적 요인인 편향적 사고가 정보보안 준수태도에 미치는 영향을 검증하여 실무적인 시사점을 제시하였다. 또한 편향적 사고를 감소시킨 요인으로 지각된 위험성에 대해서 검증되었으나, 경영진의 참여, 교육 및 처벌이 지각된 위험성을 증가시키는 방향으로 이루어진다면 정보보안 정책 준수 태도에 영향을 줄 수 있다는 영향관계는 검증하지 못하였다.
연구가설 검증을 위한 10개의 요인에 대한 세부측정항목들은 정보보안 정책준수라는 이 연구과제에 적합하도록 추가적인 수정을 하였다. 최종적으로 32개의 항목을 설문으로 활용하였으며 모든 변수들은 5점 리커트 척도를 사용하였다.(1점 전혀그렇지 않다 – 5점 매우 그렇다).
대상 데이터
(1점 전혀그렇지 않다 – 5점 매우 그렇다). 2019년 4월부터 5월까지 191명을 대상으로 설문을 배포하였으며, 총 173개의 응답 결과가 수집되었다. 이중 불성실한 응답으로 판단되는 16개를 제외하고 157개의 응답을 분석에 사용하였다.
2019년 4월부터 5월까지 191명을 대상으로 설문을 배포하였으며, 총 173개의 응답 결과가 수집되었다. 이중 불성실한 응답으로 판단되는 16개를 제외하고 157개의 응답을 분석에 사용하였다. 응답결과의 통계학적 특징은 <표 1> 과 같다.
데이터처리
연구가설의 검증을 위하여 AMOS 프로그램을 활용하여 각각의 변수간 관계분석을 통하여 [그림 2], 과 같이 연구가설을 검증하였다.
이 연구의 연구가설 검증을 위해 AMOS 18.0을 사용하고, 연구모델의 적정성검증으로 신뢰성과 타당성검증을 실시하였다. 이를 위해 확인적 요인분석 실시 후 모델 적합도가 기준치 이상 도출되면 신뢰성과 타당성 검증에 활용할 수 있다.
집중타당성은 측정요인의 관측변수들의 일치성 정도이며, 확인적 요인분석 결과 평균분산추출(AVE:Average Variance Extracted)와 개념신뢰도(CR:Construct Reliability)를 사용하여 검증한다. 평균분산추출은 0.
측정모형에 대해 변수들의 인과관계를 AMOS 18.0을 활용하여 구조방정식 모델링을 적용하여 분석하였다. 우선, 연구모형의 적합성에 대한 검증을 실시하여, 연구모형이 연구표본과 적합하게 합치되는 가에 대한 적절성 여부를 살펴보았다.
이론/모형
보호동기의 지각된 위험성은 “정보보안정책 위반에 따른 지각된 정보 보안 위협 심각성”으로 정의하고 Vance & Siponen(2012), Siponen et al.(2010), Ifinedo(2012)를 통해서 3개 항목을 적용하였다. 교육훈련은 “정보보안정책 준수 의무 중요성과 필요성 인식 교육 및 정보보안 정책 이행 직무능력 향상훈련”으로 정의하고 Puhkainen & Siponen(2010)을 통해 2개 항목을 적용하였다.
(2007), Jarvenppa & Ives(1991), Hu etal.(2012)를 통해서 3개 항목을 적용하였다. 보호동기의 지각된 위험성은 “정보보안정책 위반에 따른 지각된 정보 보안 위협 심각성”으로 정의하고 Vance & Siponen(2012), Siponen et al.
교육훈련은 “정보보안정책 준수 의무 중요성과 필요성 인식 교육 및 정보보안 정책 이행 직무능력 향상훈련”으로 정의하고 Puhkainen & Siponen(2010)을 통해 2개 항목을 적용하였다.
처벌은 “정보보안정책 미준수에 따른 제재벌칙에 대한 가능성 또는 확실성 및 가해지는 제재 벌칙에 대한 심각성”으로 정의하고 Son(2011)을 통해 3개 항목을 적용하였다.
정보보안 정책준수와 관련된 편향적 사고 요인은 선행연구에서 손실혐오, 과도한 자신감, 미래가치 폄하, 선택적 지각으로 구성하였다. 편향적 사고 요인은 이남석(2013, 인지편향사전)의 연구를 통해서 세부 요인 및 측정항목을 제시하였다. 손실 혐오는 “손실을 보는 상황에서는 이를 벗어나기 위해 작은 확률에도 매달리는 위험을 감수하는 것”으로 정의하였으며, 3개의 항목을 적용한다.
성능/효과
따라서 조직의 정보보안사고 예방을 위해서는 근본적으로 조직원의 자발적인 정보보안 정책준수 행동이 가장 중요하다. 관련된 사회심리학의 많은 연구에서 태도가 행동에 영향을 주는 요인임을 고려하여, 이 연구에서는 조직원의 정보보안 정책준수 태도가 긍정적이면 정보보안 정책준수 행동을 증가시키는 것을 증명하였다. 이는 조직원이 기업에서 준수해야 하는 정보보안 정책에 대해 편향적으로 또는 부정적으로 인식하고 있는 경우 정보보안 준수 행동으로 이어지기 어려우며 정보보안 사고 예방,보안 수준제고라는 목표를 달성하기 어려움을 의미한다.
05보다 작으므로 지각된 위 험성은 정보보안 정책준수 태도에 미치는 영향에 대한 강도에 유의미한 조절효과가 있는 것으로 나타났다. 그러나 과도한 자신감에 대한 지각된 위험 성의 조절 효과는 유의확률F변화량 결과값이 0.05 보다 크므로 조절효과는 없는 것으로 나타났다. 따라서 지각된 위험성은 편향적사고가 정보보호 정책 준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이라는 가설은 과도한 자신감을 제외하고 채택되었다.
넷째, 조직원 편향적 사고의 미래가치편향 정도는 정보보안 정책준수 태도에 영향을 미친다는 가설은 채택되었다(β=-0.224, p<0.05).
다섯째, 조직원의 편향적 사고의 선택지각 정도는 정보보안 정책 준수 태도에 영향을 미친다는 가설은 채택되었다(β=-0.438, p<0.015).
둘째, 조직원 편향적 사고의 손실혐오 정도는 정보보안 정책 준수 태도에 영향을 미친다는 가설은 채택되었다(β=-0.148,p<0.039).
둘째, 조직원의 편향적 사고유형(손실혐오, 과도한 자신감, 미래가치폄하, 선택적 지각)이 정보보안정책준수 태도에 영향을 미치는 것을 증명하였다(H2,H3,H4,H5). 조직에서 정보보안에 대한 투자와 관심은 높아지지만 내부조직원의 부주의 또는 악의적인 행동에 의한 정보유출 등의 정보보안 사고는 지속적으로 발생한다.
따라서 경영진의 참여는 편향적사고가 정보보호 정책준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이라 는 가설은 기각되었다. 또한 교육 및 처벌은 편향 적사고가 정보보호 정책준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이라는 가설도 기각되었다.
분석결과 판별타당성 확보의 요구사항을 과 같이 만족하는 것으로 나타났다.
셋째, 조직원 편향적 사고의 과도한 자신감 정도는 정보보안 정책 준수 태도에 영향을 미친다는 가설은 채택되었다(β=0.198, p<0.002).
연구결과를 고찰하여 보면, 첫째 정보보안 정책준수 태도가 정보보안 정책준수 행동에 긍정적 영향을 주는 요인임을 증명하였다(H1). 조직원은 피고용인으로 정보 보유 수준 등의 차이로 조직과의 관계에서 대리인 문제가 발생할 수밖에 없다[21].
조절효과 검증결과 손실혐오, 미래가치편향, 선 택적 지각이 정보보안 정책준수 태도에 미치는 영향에 대한 지각된 위험성의 조절효과의 결과 R제 곱이 순차적으로 증가하였으며, 유의확률F변화량 결과 값이 유의수준 0.05보다 작으므로 지각된 위 험성은 정보보안 정책준수 태도에 미치는 영향에 대한 강도에 유의미한 조절효과가 있는 것으로 나타났다. 그러나 과도한 자신감에 대한 지각된 위험 성의 조절 효과는 유의확률F변화량 결과값이 0.
첫째 정보보안 정책 준수 태도가 정보보안정책준수 행동에 양(+)의 영향을 미친다는 가설은 채택되었다(β=0.565, p<0.001).
이 연구는 조직에서 정보보안 정책 시행시 조직원의 정보보안 정책에 대한 태도가 정보보안 정책준수 행동에 영향을 준다는 것을 검증하고, 조직원의 비논리적인 편향적 사고 패턴과 정보보안 정책준수 태도와 관계를 검증하는 것을 목적으로 한다. 태도와 행동관련 이론과 편향적 사고 이론의 사회심리학의 선행연구를 기반으로 정보보안 정책 준수 태도가 정책준수 행동을 증가시키는 것을 제시하였다. 또한 편향적 사고 유형(손실혐오, 과도한자신감, 미래가치폄하, 선택적지각)이 정보보안 정책준수 태도에 영향을 미칠 것으로 가설을 제시하였다.
이 연구에서는 조직원의 비이성적인 행동 요인인 편향적 사고 유형을 관련 선행연구로부터 도출하여 정보보안 정책준수에 적용하여 관련성이 있음을 검증하였다. 편향적 사고(손실혐오, 과도한 미래가치폄하, 선택적 지각) 유형은 조직의 정보보안 정책준수 태도에 부정적인 영향을 주어 결과적으로 정보보안 정책준수 행동을 감소시키는 것으로 검증되었다. 편향적사고(과도한 자신감)은 조직의 정보보안 정책준수 태도에 긍정적인 영향을 주어 결과적으로 정보보안 정책준수 행동을 증가시키는 것으로 검증 되었다.
편향적 사고(손실혐오, 과도한 미래가치폄하, 선택적 지각) 유형은 조직의 정보보안 정책준수 태도에 부정적인 영향을 주어 결과적으로 정보보안 정책준수 행동을 감소시키는 것으로 검증되었다. 편향적사고(과도한 자신감)은 조직의 정보보안 정책준수 태도에 긍정적인 영향을 주어 결과적으로 정보보안 정책준수 행동을 증가시키는 것으로 검증 되었다. 따라서 이 연구는 정보보안 준수태도 및 행동에 부정적‧긍정적 영향을 주는 조직원의 심리적 요인인 편향적 사고의 유형을 제시‧검증하고 부정적인 영향을 주는 편향적 사고 요인을 감소시키고 긍정적인 영향을 주는 요인을 증가시키기 위한 연구의 방향을 제시한 것에 의의가 있다.
따라서 지각된 위험성은 편향적사고가 정보보호 정책 준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이라는 가설은 과도한 자신감을 제외하고 채택되었다. 한편 편향적 사고의 4가지 유형, 손실 혐오, 미래가치편향, 선택적 지각, 과도한 자신감에 대한 경영진의 참여, 보안교육의 조절효과는 유의 확률F변화량 결과 값이 모두 0.05보다 크므로 조절효과는 없는 것으로 나타났다. 따라서 경영진의 참여는 편향적사고가 정보보호 정책준수를 위한 태도에 미치는 영향강도를 긍정적으로 조절할 것이라 는 가설은 기각되었다.
후속연구
신혁(2018)은 경영진의 참여와 보호동기가 정보보안 정책준수 태도에 영향을 줌을 제시하였다[9]. 따라서 향후 추가 연구에서는 정보보안 준수 태도에 영향을 주는 추가적인 요인들을 제시하는 것이 필요하다.
첫째, 이 연구에서는 조직원의 심리학적 요인인 편향적 사고가 정보보안 준수태도에 미치는 영향을 검증하여 실무적인 시사점을 제시하였다. 또한 편향적 사고를 감소시킨 요인으로 지각된 위험성에 대해서 검증되었으나, 경영진의 참여, 교육 및 처벌이 지각된 위험성을 증가시키는 방향으로 이루어진다면 정보보안 정책 준수 태도에 영향을 줄 수 있다는 영향관계는 검증하지 못하였다. 둘째, 정보보안 정책준수 태도에 영향을 주는 요인으로 다른 선행연구에서는 다양한 관점의 요인을 제시하고 있다.
둘째 정보보안 정책준수 태도가 행동에 미치는 영향을 검증한다. 마지막으로 경영진참여, 보호동기 요인(지각된 위험성), 교육 및 처벌의 편향적 사고에 대한 조절효과를 분석하여, 조직원의 편향적 사고가 정보보안 정책 준수에 미치는 영향을 줄이기 위한 방향성을 제시한다.
0을 사용하고, 연구모델의 적정성검증으로 신뢰성과 타당성검증을 실시하였다. 이를 위해 확인적 요인분석 실시 후 모델 적합도가 기준치 이상 도출되면 신뢰성과 타당성 검증에 활용할 수 있다. 확인적 요인분석의 모델 적합도는 <표 2>에 나타난바와 같이 전반적으로 수용가능 한 수준으로 도출 되었다.
질의응답
핵심어
질문
논문에서 추출한 답변
해석 프레임, 인지적 틀이 인간에게 끼치는 영향은 무엇인가?
인간은 진화의 과정에서 더 빨리 현상을 파악, 예측하고, 반응하기 위한 수단으로 해석 프레임, 인지적 틀을 발달시켰다. 이러한 능력이 인간을 다른 동물의 삶보다 높은 수준의 삶을 살게 했지만 부정적인 효과로 각종 왜곡된 편향적 사고를 하게 하였다[7]. 최근 연구결과에 따르면 인간은 논리적으로 합리적인 사고를 하는 것이 아니라 여러 가지 편향적인 주먹구구식 직관적 사고를 하는 것으로 밝혀지고 있다.
태도는 무엇인가?
사회심리학에서는 태도와 행동의 관계를 많이 연구하고 있다. 태도는 ‘개인이 어떤 일이나 상황 따위를 대하는 마음가짐, 또는 그 마음가짐이 드러난 자세’를 의미한다. 또한 개인의 태도는 어떤 상 황에 대해 긍정적 또는 부정적인 반응하는 감정이 라고 정의할 수 있다[10].
심리학의 이중인지과정 이론의 핵심은 무엇인가?
심리학의 이중인지과정 이론의 핵심은 ‘인간은 이성과 분석을 중시하는 사고체계와 감성과 직관을 중시하는 사고체계를 지녔고, 특정 상황에서 이 중에 어떤 사고체계의 영향을 받느냐에 따라 전혀 다 른 결과가 나온다.’ 라고 한다[6].
D'Arcy, J., Herath, T., & Shoss, M. K. (2014), "Understanding Employee Responses to Stressful Information Security Requirements: A Coping Perspective", Journal of Management Information Systems, 31(2), 285-318.
황인호.김승욱(2017), 조직원의 정보보안 관련 업무 스트레스에 대한 억제 및 업무 대처에 관한 연구-금융비즈니스를 중심으로
Tversky, A., & Kahneman, D.(1986). Rational choice and the framing of decisions. Journl of Business, S251-s258.
이남석.이정모(2013), 누구나 빠지는 생각의 함정 인지편향사전
이정모(2012), 인지과학
Ifinedo, P., (2012). Understanding information sustems security policy compliance:An integration of the theory of planned theory and protection motivation theory. Computers and Security. 31, 83-95.
신혁(2018), 계획행동 요인을 매개로 경영진 역할과 보호동기가 정보보안정책 준수에 미치는 영향.
Ajzen, I. & Fishbein, M. (1997). Attitude-Behavior Relation: A Theoretical Analysis and Review of Empirical Research. Psychological Bulletin, 84(5), 888-918.
Ajzen, I., and Fishbein, M. (1977). Attitude-Behavior Relations: A theoritical analysis and review of empirical research. Psychological Bulletin, 84(5), 888-918.
Puhakainen, P., and Siponen, M. (2010). Improving employees' colpliance through information systems security training: An action research study. MIS Quarterly, 34(1), 757-778.
Liang, H., Saraf, H., Hu, Q., and Xue, Y. (2007). Assimilation of enterprise systems: The effect of institutional pressures and the mediating role of top management. MIS Quarterly, 31(1), 59-87.
Siponen, P. (2000), A concepyual foundation for organizational information security awareness, Information Management & Computer Security, 8(1), 31-41.
Siponen, M., Pahnila, S., and Mahmood, A. (2007). Employees' adherence to information security policies: An empirical study. IFIP International Federation for Information Processing. 232, 133-144.
Ajzen, I. (2002). Constructing a TpB questionnaire: Conceptual and Methodological considerations, au.edu.tw, 17, 1-14.
Ajzen, I. (1991). The theory of planned behavior, Organizational Behavior and Human Decision Processes, 50, pp.179-211.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.