[논문]인터넷기업에서 기업구성원 자율중심의 보안관리 방안 연구

서현진; 김정덕

doi:10.7838/jsebs.2020.25.1.045

인터넷기업에서 기업구성원 자율중심의 보안관리 방안 연구
A Study on the Corporate Members' Autonomy-centric Security Management in the Context of Internet Companies 원문보기

한국전자거래학회지 = The Journal of Society for e-Business Studies, v.25 no.1, 2020년, pp.45 - 64

서현진 (Department of Security Convergence, Graduate School, Chung-Ang University) , 김정덕 (Department of Industrial Security, Chung-Ang University)

초록
AI-Helper

급변하고 있는 비즈니스 환경에서 인터넷기업들은 비즈니스 특성상 유연하고 개방적이며 자율성을 강조하는 조직문화의 특징을 가지며, 시간과 장소에 구애받지 않는 유연한 스마트 업무환경으로 변화하고 있다. 이러한 인터넷 비즈니스 환경에도 불구하고 보안관리체계는 여전히 인터넷기업의 비즈니스 환경과 조직문화를 반영하지 못하고 있으며, 이로 인해 인터넷기업에서의 통제중심의 보안관리 방식은 한계에 부딪히고 있다. 따라서 본 연구에서는 인터넷기업의 비즈니스 환경과 조직문화의 특성을 고려한 보안관리의 연구를 위해 기업구성원 자율중심의 보안역할 항목을 설계하고 개발하였다. 본 연구결과는 민첩한 비즈니스 환경과 자율적인 조직문화의 인터넷기업에서 기업구성원 자율중심의 보안관리체계를 구현하고 운영하는데 활용될 것으로 기대된다.

Abstract ▼ AI-Helper

In the rapidly changing business environments, Internet companies have the characteristics of organizational culture that emphasize the flexible, open and autonomous nature of organizational culture, and are transforming into flexible smart working environment that is independent of time and place. Despite such an Internet business environment, the security management system still fails to reflect the business environment and organizational culture of the Internet company, and the control-focused security management system in the Internet company is facing limitations. Therefore, this study designed and developed Corporate members' autonomy-centered security items that considering the characteristics of the business environment and organizational culture of the Internet company. The results of this study are expected to be used to implement and operate corporate members' autonomy-centered security management system in internet companies with an agile business environment and an autonomous organizational culture.

주제어

표/그림 (10)

그림 Process of the Security Role Items which Employees do Autonomously
표 Standard for Certification of Information Security Management System & Integrated Security Management Items Based Security Role
표 The Result of Experts Investigation about Employee's Security Role Item
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items(Continued)
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items(Continued)
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items(Continued)
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items(Continued)
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items(Continued)
표 Degree of Autonomy for the Employee's Security Role Items in Integrated Security Role Items(Continued)

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 연구는 인터넷기업에서 기존 보안 조직 주도의 통제중심 보안관리체계의 한계를 극복하고 인터넷 비즈니스 환경과 조직문화에 적합한 기업구성원 자율중심의 보안관리체계에 관한 연구를 아래와 같이 진행하였다.
본 연구에서는 인터넷기업에서 기업구성원들이 보안 이행주체로 참여해야 하는 보안 역할항목을 선정하고 선정된 보안 역할항목들 중에서 기업구성원에게 자율을 통해 이행할 수 있도록 함으로써, 인터넷 비즈니스 환경에서 기존의 보안조직 중심으로 하는 통제기반 보안관리체계의 한계 극복하고 기업구성원의 창의성과 자율성을 중요시하는 인터넷기업의 특성을 고려한 보안관리체계에 대한 연구를 진행하고자 한다.
본 연구에서는 인터넷기업의 비즈니스 환경 에서의 민첩성과 창의성을 확보하기 위해 보안 관리에 대한 기업구성원의 통제를 최소화하고 자율을 부여하는 기업구성원 자율중심의 보안 관리체계를 개발하고자 한다. 이를 위해 ISMS 정보보호관리체계 인증기준을 바탕으로 하였는데, ISMS(정보보호관리체계) 인증기준이 통제중심의 보안항목으로 구성되어 있지만, 자율과 통제는 정도의 차이이며 제약을 가하는 주체에 따라 자율과 통제의 방향이 달라진다는 선행연구 결과와 ISMS 정보보호관리체계가 기업의 정보보호관리체계의 효과성을 객관적으로 보증하는데 가장 널리 활용되고 있다는 점에 근거하고 있다[21].

제안 방법

그리고 ISMS 기반의 보안역할 항목을 보완 하기 위해 연구자는 추가적으로 『ISO/IEC 27001:2013 , 『NIST-SP 500-53 R4』 , 『주요정보통신기반시설 취약점 분석․평가 점검항목』 , 『중소기업기술보호지침』의 각 항목에서 기업 구성원에 관련된 보안항목을 추가 및 재구성하였다[6, 20, 22, 26]. 구체적으로는 첫째, ISMS 기반 보안역할 항목을 이행 주체별 보안역할을 상세화하기 위한 목적으로 기업구성원의 보안정책 인지, 부서별 보안정책 인지, 직무기술서 작성, 기업구성원 보안서약서 징구 및 보관, 방문객 및 외부인의 출입관리, 출입증 패용 등의 보안항목을 추가 반영하였다. 둘째, ISMS 기반보안역할 항목에 포함되지 않은 항목을 보완하기 위한 목적으로 보안관련 기관 및 전문가 연계, 주요지식 및 기술 정보관리, 핵심기술관리, 기술거래관리, 개발환경 보안, 외주개발 보안, 시스템 보안 테스트, 시스템 인수 테스트 등의 보안항목을 추가하였다.
1차 전문가조사에서는 139개의 통합 보안역할 항목 중에서 보안 계획수립, 보안 점검, 보안 개선활동 등 명백하게 기업구성원의 보안 역할 항목이 아닌 65개 항목을 제외한 74개의 보안역할 항목 중에서, 기업구성원의 보안역할 항목에 해당하는 항목에 ‘O’로 표시하게 하였다. 그리고 기업구성원의 보안 역할항목으로 선정한 항목에 대해서 추가적으로 기업구성원이 보안 역할을 이행할 때 해당 보안역할 수행을 자율적으로 이행하도록 할지 또는 통제적으로 이행 하도록 할지를 선정하도록 하였다. 마지막으로, 조사지의 통합 보안 역할항목 중에서 역할항목이 중복되거나 누락된 항목이 있는 경우 기타 의견에 기술하도록 하였다.
그리고 연구자가 진행했던 통합 보안 역할항목에 대한 중복과 누락 등의 문제점을 확인하고 기업구성원에 의해 이행되어야 할 보안역할 항목 선정을 위해, 보안 관련 실무 경력 10년 이상인 10명의 전문가 대상으로 이메일과 현장 인터뷰를 통한 전문가조사를 2차례에 걸쳐 진행하였다.
구체적으로는 첫째, ISMS 기반 보안역할 항목을 이행 주체별 보안역할을 상세화하기 위한 목적으로 기업구성원의 보안정책 인지, 부서별 보안정책 인지, 직무기술서 작성, 기업구성원 보안서약서 징구 및 보관, 방문객 및 외부인의 출입관리, 출입증 패용 등의 보안항목을 추가 반영하였다. 둘째, ISMS 기반보안역할 항목에 포함되지 않은 항목을 보완하기 위한 목적으로 보안관련 기관 및 전문가 연계, 주요지식 및 기술 정보관리, 핵심기술관리, 기술거래관리, 개발환경 보안, 외주개발 보안, 시스템 보안 테스트, 시스템 인수 테스트 등의 보안항목을 추가하였다. 셋째, 기업구성원 역할을 상세화하기 위한 목적으로 업무단말기기에 프로그램 다운로드 및 설치 주의, 스팸메일 열람 주의, 모바일기기 보안, 업무단말기 분실 대책 등을 추가하였다.
첫째, 정보보호에 대한 인증 및 점검 등의 목적으로 개발된 ISMS 정보보호관리체계 인증 기준을 이행 주체별 역할에 따른 보안항목으로 분류하고, 이를 여러 보안관리체계의 지침 및 점검항목 등의 보안항목을 반영하여 통합 보안 역할항목으로 재구성하였다. 둘째, 전문가조사를 통해 통합 보안 역할항목 중에서 기업구성원이 이행해야 하는 기업구성원 보안 역할항목을 선정하였다. 셋째, 기업구성원 보안 역할항목 중에서 기업구성원의 자율을 통해 이행할 수 있는 기업구성원 자율 보안역할 항목을 선정하였다.
한편, ISMS 정보보호관리체계 인증기준은 정보보호에 대한 인증 및 점검 등의 목적으로 개발된 보안항목이기 때문에 보안이행 주체별로 구분하기에 적합하지 않다. 따라서 연구자는 PDCA 순환모델을 기반으로 해당 보안항목을 이행해야 하는 주체 또는 조직 중심의 보안역할 항목으로 재분류하였으며[6], 108개의 보안역할 항목을 도출하였다.
이와 같이 진행된 1차 전문가조사에서 [Table 2]와 같이 35개의 기업구성원 보안 역할항목을 선정하였고, 그중에서 기업구성원 자율을 통해 이행할 수 있는 보안역할 항목 12개, 보안통제가 반드시 필요한 보안역할 항목 3개를 선정하였다. 또한, 보안역할항목 중복 및 누락에 대한 의견 반영은 2명 이상의 전문가가 동일한 항목에 대해 수정 의견을 제시한 경우 진행하였는데, [Table 3]과 같이 15개(기존항목 분리, 추가항목)항목이 확인되었으며 이를 2차 전문가조사를 위한 조사지에 반영하였다.
인터넷기업 전문가조사는 사전에 참여한 전문가에게 대면이나 전화를 통해 보안역할 자율성 수준의 점수가 높을수록 이행에 대한 행위 금지나 모니터링 등의 관여 등의 외적 요인의 개입이 적음을 설명하였다. 또한, 인터넷 기업 전문가조사의 조사지 작성은 기업구성원의 보안 역할항목에 대해 어느 정도의 자율을 부여할지를 리커트 5점 척도로 표시하도록 하였다. 그 결과 [Table 3]의 Degree of Autonomy:Verification 컬럼과 같이 정리되었으며, 기업구성원 자율중심 보안역할 항목의 채택은 인터넷기업 전문가 15명의 평균점수 3.
3단계에서는 전문가조사를 통해 역할 중심의 보안항목 중에서 기업구성원에게 역할을 부여해야 하는 기업구성원 보안역할 항목을 선정하고, 선정된 보안역할 항목에 대해 기업구성원이 역할항목을 이행할 때 자율과 통제, 어느 방식으로 이행하도록 할지에 대해 분류하였다. 마지막 4단계에서는 인터넷기업에 근무하고 있는 인터넷기업 전문가조사를 통해 인터넷 기업에서 기업구성원이 보안역할 항목 이행 시 자율측면에서 이행해야 하는 기업구성원 자율보안항목에 대한 검증을 진행하였다.
셋째, 기업구성원 보안 역할항목 중에서 기업구성원의 자율을 통해 이행할 수 있는 기업구성원 자율 보안역할 항목을 선정하였다. 마지막으로, 선정된 기업구성원 자율 보안역할 항목에 대해 인터넷기업에 근무하는 보안전문가를 통해 기업구성원이 담당해야 하는 보안 역할항목 40개를 도출하고, 그중에서 기업구성원이 자율적으로 보안역할을 수행할 수 있는 26개 항목을 도출하여 기업구성원 자율중심의 보안관리 항목으로 개발하였다.
그리고 기업구성원의 보안 역할항목으로 선정한 항목에 대해서 추가적으로 기업구성원이 보안 역할을 이행할 때 해당 보안역할 수행을 자율적으로 이행하도록 할지 또는 통제적으로 이행 하도록 할지를 선정하도록 하였다. 마지막으로, 조사지의 통합 보안 역할항목 중에서 역할항목이 중복되거나 누락된 항목이 있는 경우 기타 의견에 기술하도록 하였다. 이와 같이 진행된 1차 전문가조사에서 [Table 2]와 같이 35개의 기업구성원 보안 역할항목을 선정하였고, 그중에서 기업구성원 자율을 통해 이행할 수 있는 보안역할 항목 12개, 보안통제가 반드시 필요한 보안역할 항목 3개를 선정하였다.
본 연구에서 인터넷기업의 기업구성원 자율 중심의 보안관리 체계 개발을 위해 인터넷기업을 포함한 기업․기관이 수립․관리․운영하는 정보보호 관리체계의 적합성에 대해 인증을 부여하는 제도인 『ISMS(정보보호관리체계)인증 기준』의 관리체계 수립 및 운영 16항목, 보호 대책 요구사항 64개의 80항목을 기반으로 진행하였다[21]. ISMS 정보보호관리체계 인증기준에서는 ‘관리체계 수립 및 운영영역’과 ‘보호대책 요구사항’으로 분리되어 있었으나, ‘관리체계 수립 및 운영영역’은 주로 정보보호 조직의 보안역할에 해당하므로 ‘보호대책 요구사항’을 기반으로 개발하게 되었다.
둘째, 전문가조사를 통해 통합 보안 역할항목 중에서 기업구성원이 이행해야 하는 기업구성원 보안 역할항목을 선정하였다. 셋째, 기업구성원 보안 역할항목 중에서 기업구성원의 자율을 통해 이행할 수 있는 기업구성원 자율 보안역할 항목을 선정하였다. 마지막으로, 선정된 기업구성원 자율 보안역할 항목에 대해 인터넷기업에 근무하는 보안전문가를 통해 기업구성원이 담당해야 하는 보안 역할항목 40개를 도출하고, 그중에서 기업구성원이 자율적으로 보안역할을 수행할 수 있는 26개 항목을 도출하여 기업구성원 자율중심의 보안관리 항목으로 개발하였다.
둘째, ISMS 기반보안역할 항목에 포함되지 않은 항목을 보완하기 위한 목적으로 보안관련 기관 및 전문가 연계, 주요지식 및 기술 정보관리, 핵심기술관리, 기술거래관리, 개발환경 보안, 외주개발 보안, 시스템 보안 테스트, 시스템 인수 테스트 등의 보안항목을 추가하였다. 셋째, 기업구성원 역할을 상세화하기 위한 목적으로 업무단말기기에 프로그램 다운로드 및 설치 주의, 스팸메일 열람 주의, 모바일기기 보안, 업무단말기 분실 대책 등을 추가하였다. 이와 같은 보안항목 추가 및 재구성을 통해 총 31개 보안 역할항목이 증가하였으며, 전체 139개의 통합 보안 역할항목을 [Table 1]과 같이 정리하였다.
첫째, 정보보호에 대한 인증 및 점검 등의 목적으로 개발된 ISMS 정보보호관리체계 인증 기준을 이행 주체별 역할에 따른 보안항목으로 분류하고, 이를 여러 보안관리체계의 지침 및 점검항목 등의 보안항목을 반영하여 통합 보안 역할항목으로 재구성하였다. 둘째, 전문가조사를 통해 통합 보안 역할항목 중에서 기업구성원이 이행해야 하는 기업구성원 보안 역할항목을 선정하였다.

대상 데이터

연구 설계에서 확인된 기업구성원 자율중심의 보안역할 항목에 대한 검증을 위해 인터넷 기업에서 근무하고 있는 보안경력 10년 이상 전문가 15명을 대상으로 인터넷기업 보안 전문 가조사를 진행하였다.
마지막으로, 조사지의 통합 보안 역할항목 중에서 역할항목이 중복되거나 누락된 항목이 있는 경우 기타 의견에 기술하도록 하였다. 이와 같이 진행된 1차 전문가조사에서 [Table 2]와 같이 35개의 기업구성원 보안 역할항목을 선정하였고, 그중에서 기업구성원 자율을 통해 이행할 수 있는 보안역할 항목 12개, 보안통제가 반드시 필요한 보안역할 항목 3개를 선정하였다. 또한, 보안역할항목 중복 및 누락에 대한 의견 반영은 2명 이상의 전문가가 동일한 항목에 대해 수정 의견을 제시한 경우 진행하였는데, [Table 3]과 같이 15개(기존항목 분리, 추가항목)항목이 확인되었으며 이를 2차 전문가조사를 위한 조사지에 반영하였다.

성능/효과

그 결과 [Table 2]과 같이 40개의 기업구성원 보안역할 항목과 기업구성원 보안역할 항목 중에서 기업구성원 자율을 통해 이행할 수 있는 보안역할 항목이 21개, 보안통제가 반드시 필요한 보안역할 항목 4개를 도출하였다. 1차 전문가조사보다 2차 전문가조사 결과를 비교해보면, 기업구성원 보안역할 항목 중 자율중심의 보안역할 항목 비중이 약 7.6% 증가하였다.
ISMS 정보보호관리체계 인증기준에서는 ‘관리체계 수립 및 운영영역’과 ‘보호대책 요구사항’으로 분리되어 있었으나, ‘관리체계 수립 및 운영영역’은 주로 정보보호 조직의 보안역할에 해당하므로 ‘보호대책 요구사항’을 기반으로 개발하게 되었다.
2차 전문가조사에서는 [Table 2]와 같이 1차 전문가조사보다 15개 보안 역할항목이증가한 89개 보안역할 항목에 대해 기업구성원 보안역할 항목 선정을 다시 진행하였다. 그 결과 [Table 2]과 같이 40개의 기업구성원 보안역할 항목과 기업구성원 보안역할 항목 중에서 기업구성원 자율을 통해 이행할 수 있는 보안역할 항목이 21개, 보안통제가 반드시 필요한 보안역할 항목 4개를 도출하였다. 1차 전문가조사보다 2차 전문가조사 결과를 비교해보면, 기업구성원 보안역할 항목 중 자율중심의 보안역할 항목 비중이 약 7.
그 결과, [Table 3]과 같이 보안정책 영역 2개 항목, 자산관리 영역 1개 항목, 인적보안영역 6개 항목, 물리보안 영역 3개 항목, 접근통제 영역 2개 항목, 업무단말기 보안관리 영역 10개 항목, 보안사고 예방 및 대응 영역 1개, 준거성 영역 1개 총 26개의 기업구성원 보안자율역할 항목이 확인되었다.
그리고 접근통제 영역에서 ‘오피스환경으로의 원격접속’, ‘안전한 인터넷 접속 연결 이행’, 업무 단말기 보안관리 영역에서는 ‘프로그램 다운로드 및 설치’, ‘스팸메일 열람 주의’, ‘업무 단말기기에서 정보전송 관리’, ‘업무 협업프로그램 사용’, ‘업무 단말기기 정보 저장 이행’, ‘출력 및 출력물 정책 이행’, ‘업무 단말기기 반· 출입 관리’, ‘업무단말기기의 외부 네트워크 연결’, ‘모바일기기 보안’, ‘업무단말기기 및 매체 분실 대응’, 보안사고 예방 및 대응영역에서 ‘구성원 보안 이벤트 보고’, 준거성 영역에서 ‘정품 소프트웨어 사용’에 대해 기업구성원에게 자율역할 부여가 필요하다고 확인되었다.
최근에 들어서야 R&D 분야를 중심으로 R&D 환경 변화에 따른 연구자 중심의 보안관리 연구가 진행되고 있다[17]. 둘째, 자율을 중시하는 기업문화와 스마트워크 환경에서의 인터넷기업에서는 기업 구성원의 보안역할이 필수적이다. 그러나 기업에서의 보안관리를 정보보안 전담 조직 및 인력의 전유물로 간주하여 정보보호위원회, CISO, 정보보호전담조직 등에 관련된 연구중심으로 이루어져 왔다[8, 11, 12].
일반적으로 자율과 통제의 특성을 고정된 이분법적으로 이해하기 쉬운데, 자율과 통제는 고정된 특성이기보다는 정도의 문제라고 할 수 있다[19]. 또한, 자율과 통제에 있어 정도의 차이만 있을 뿐 행위에 제약이 따르며, 차이점으로 통제는 제약의 주체가 타인 또는 외부 요인이지만 자율은 제약을 주는 주체가 자기 스스로라는 것을 알 수 있다.
보안정책 영역에서는 보안정책에 대한 인지, 자산관리 영역에서는 ‘기업구성원에게 지급된 자산에 대한 취급 절차 이행’, 인적보안 영역에서는 ‘직무기술서 및 보안 서약서 작성’, ‘인식제고 및 교육훈련 참여’, ‘외부 커뮤니케이션 및 공공장소 보안관리’ 항목이 확인되었고, 물리보안 영역에서는 ‘방문객 및 외부인 출입관리’, ‘출입증 패용’, ‘오피스 업무환경에서의 보안 이행’에 대해 기업구성원에게 자율역할 부여가 필요하다고 확인되었다.
연구설계의 항목과 비교해보면, 기업구성원 자율중심 보안 역할항목이 21개 항목에서 26개 항목으로 5개 보안항목이 증가하였다. 설계 단계에서보다 ‘직무기술서 작성’, ‘보안서약서 서약,’ ‘방문객 및 외부인 출입관리’, ‘오피스로의 원격접속 항목’, ‘업무단말기기 및 매체 분실 대응’, ‘구성원의 보안 이벤트 보고’의 6개 항목이 추가되었으며, ‘구성원의 보조 저장 매체 정책 이행’ 항목이 제외되었다.
셋째, 기업구성원 역할을 상세화하기 위한 목적으로 업무단말기기에 프로그램 다운로드 및 설치 주의, 스팸메일 열람 주의, 모바일기기 보안, 업무단말기 분실 대책 등을 추가하였다. 이와 같은 보안항목 추가 및 재구성을 통해 총 31개 보안 역할항목이 증가하였으며, 전체 139개의 통합 보안 역할항목을 [Table 1]과 같이 정리하였다.
이러한 기업구성원 중심의 보안관리는 아래와 같은 특징을 갖는다[3]. 첫째, 기업구성원에게 보안에 대한 더 많은 역할과 책임을 부여하고, 그들의 행동에 대해 직접적인 책임을 지게 한다. 보안조직은 기업구성원이 부여된 보안역할을 원활하게 수행하도록 지원함으로써 새로운 가치를 만들어야 한다.
이러한 인터넷 비즈니스 환경에 따른 기존 보안 관리체제의 변화 요구에도 불구하고 지금까지 연구들은 대체로 아래와 같은 한계점을 지니고 있다. 첫째, 기업의 정보보호 관리체계의 적용 및 구현은 기업의 비즈니스 환경 및 조직문화에 따라 다르게 적용될 수 있음에도 이와 관련된 연구가 부족하였다. 최근에 들어서야 R&D 분야를 중심으로 R&D 환경 변화에 따른 연구자 중심의 보안관리 연구가 진행되고 있다[17].

후속연구

다만, 본 연구는 전문가조사 특성상 일반화하기 어려웠다는 한계를 지니고 있으며, 향후 양적 연구를 통한 연구 결과에 대한 보완이 필요하다. 또한, 기업구성원 자율중심의 보안관리체계 수립 및 적용을 위한 비즈니스 및 조직 환경의 특성 등에 관한 연구가 필요한데 이와 같은 내용이 병행되지 못했으며, 이러한 환경에서 통제중심의 보안관리체계보다 기업구성원 자율중심의 보안관리체계가 어떤 측면에서 우위인지 확인하기 어려웠다.
본 연구는 기존의 획일적인 통제중심의 보안 관리체계에서 탈피하여 불확실성이 크고 급변하는 인터넷 비즈니스 환경을 고려한 기업구성원의 자율 개념을 도입하여 보안관리체계에 대한 학문적 연구영역을 확대했다는 점에서 의의가 있다. 또한, 인터넷기업을 비롯한 국내 여러 글로벌 기업 등에서 추진하고 있는 자율 기업 문화에 적합한 보안관리체계 수립 및 운영을 위한 기초 자료를 제공한다는 점에서 실무적 활용도가 높다고 생각된다.
둘째, 기업구성원이 스스로에게 할당된 역할과 책임에 대해 적절한 행동을 수행할 수 있도록 보안에 대한 이해와 인식제고를 향상시키기 위한 활동을 지속해야 한다. 셋째, 구성원의 자율성을 보장하고 잠재력을 극대화하기 위해 예방적 통제를 최소화하고 모니터링 중심으로 전환해야 한다.
또한, 기업구성원은 보안위협 대응을 위한 공동 협의체가 아닌 통제 및 관리대상으로 인식해왔기 때문에 기업구성원이 기업의 보안활동에 참여하는 기업구성원의 보안역할에 관련된 연구는 매우 부족하였다. 셋째, 앞에서 설명한 내용들과 같이 불확실성이 크고 변화하는 새로운 인터넷 비즈니스 환경에서는 전통적인 통제중심의 보안관리와는 달리 인터넷기업의 비즈니스 환경 및 조직문화의 특성을 고려한 보안관리 연구가 필요하다. 그러나 인터넷기업의 특성을 고려한 기업구성원의 자율성을 보장하는 인터넷기업의 특성에 적합한 보안관리체계에 관련된 연구가 부족하였다.
이렇게 선정된 기업구성원 자율 보안역할 항목은 통제중심 보안관리체계에서의 획일적인 방식에서 벗어나 기업마다 기업의 비즈니스 환경 및 조직환경에 따라 다양한 방식으로 적용될 수 있을 것이다. 예를 들면, 보안 인식 제고 및 교육훈련에 대한 보안활동의 경우 기존에는 구성원의 강제적인 보안역할로 간주되어 참여하지 않았을 경우 해당 구성원은 인사적인 불이익을 받기도 했었다.
이에 향후 연구에서는 인터넷기업에서 효과적인 자율 보안관리체계 수립 및 운영을 위한 기업의 환경적, 문화적 요인에 관한 연구가 필요하며, 추가적으로 자율중심의 보안관리체계의 효과성을 확인하기 위해 보안 자율성이 무성과 및 보안 준수에 미치는 영향에 대한 실증적 연구가 필요하다고 하겠다.

질의응답

핵심어	질문	논문에서 추출한 답변
	기업구성원 중심의 보안관리의 목적은?	기업구성원 중심의 보안관리는 기업구성원을 잠재적 보안위반자가 아닌 존엄성을 가진 인격체로서의 인간 중심적 경영과 맥락을 같이 한다. 기업구성원 중심의 보안관리는 기업구성원에 대한 신뢰에서 시작하며, 신뢰와 독자적인 의사결정을 높여 구성원의 잠재력을 극대화하기 위한 목적을 가진다. 이러한 기업구성원 중심의 보안관리는 아래와 같은 특징을 갖는다[3].
	인터넷기업이란?	인터넷기업은 인터넷을 매개로 가치를 창출하는 인터넷 비즈니스와 관련된 기업을 말하며, 인터넷 포털․뉴스․게임․쇼핑몰 등 인터넷을 통해 각종 정보를 제공하거나 인터넷 기반으로 서비스를 하는 기업들이 포함된다[16]. 인터넷기업의 비즈니스 환경은 정보와 지식의 연결 및 재구성을 통한 새로운 가치의 창출, 여러 산업 경계의 융합 등을 통해 새로운 비즈니스의 창출하는 등 빠르게 변화하고 있다[13].
	급격한 비즈니스 환경의 특성상 인터넷기업에서 기업문화의 변화는 무엇인가?	급격한 비즈니스 환경의 특성상 인터넷기업에서 기업문화의 변화는 매우 중요한 이슈이다. 이에따라, 권위주의적이고 수직적인 위계질서 대신 개방적이며 수평적인 의사소통 그리고 복잡한 규정, 관료적 통제 대신 자율적인 조직문화가 인터넷기업의 특징이라고 할 수 있다.

참고문헌 (28)

Cha, I. H., "A study on the development of personnel security management for protection against insider threat," The Journal of the Korea Institute of Electronic Communication Sciences, Vol. 3, No. 4, pp. 210-220, 2008.
Education Research Institute Seoul National University, Dictionary of the Terms of Education, 1994.
Gartner, "Maverick research: Kill off security controls to reduce risk," Sep. 2012.
Hackman, J. R. and Oldham, G. R., “Development of the job diagnostic survey,” Journal of Applied Psychology, Vol. 60, No. 2, pp. 159-170, 1975.

상세보기
Huumonen, J., “Conceptualizing agility of enterprises,” Human Factors and Ergonomics in Manufacturing & Service Industries, Vol. 21, No. 2, pp. 132-149, 2011.

상세보기
ISO/IEC 27001:2013, Information security-Security techniques-Information Security Management Systems-Requirements, ISO, 2013
Jeffrey, D. W. and Paul, B. L., "Control-related motivations and information security policy compliance: The role of autonomy and efficacy," Journal of Information Privacy and Security, Vol. 9, No. 4, 2013.

상세보기
Kang, H. S. and Kim, J. D., "A study on information security departmentalization model," The Journal of Society for e-Business Studies, Vol. 20, No. 2, pp. 167-174, 2015.
Kim, J. D., “Major issues and future strategies for information protection management paradigm shift,” Review of KIISC, Vol. 23, No. 5, pp. 5-8, 2013.
Kim, J. D., Kim, B. K., Park, S. H., and Kim, K. W., "Considerations for information protection innovation in a self-regulated environment," Review of KIISC, Vol. 25, No. 4, pp. 63-68, 2015.
Kim, J. S., Kim, J. B., and Shin, Y. T., "A study on the effect of CISO's recognition of the role to the information security performance," Korean Management Consulting Review, Vol. 12, No. 4, pp. 21-34, 2012.
Kim, K. W. and Kim, J. D., “A study on effects of implementing information security governance by information security committee activities,” Journal of the Korea Institute of Information Security & Cryptology, Vol. 25, No. 4, pp. 915-920, 2015.

원문보기 상세보기
Kim, S., “Internet business environment,” e-Business Review, Vol. 3, No. 1, pp. 247-272, 2002.
KISA, A Research on ISMS Maturity Level and Evaluation Methodology, 2010.
Ko, E. J., Lee, S. J., and Kim, S. S., “Effects of job autonomy and self-efficacy on creative behavior: Focusing on the mediation effect of knowledge sharing in smart work environment,” Knowledge Management Research, Vol. 19, No. 2, pp. 163-185, 2018.
Lee, C. S., “A research on the revenue structure model for internet business,” The Journal of Internet Electronic Commerce Research, Vol. 9, No. 3, pp. 93-113, 2009.
Lee, J. K., Na, O. K., and Chang, H. B., “A study on the research security system of the researcher-centric,” The Journal of Society for e-Business Studies, Vol. 23, No. 3, pp. 65-84, 2018.
Lee, M. R. and Ju, S. H., “Policy suggestions for autonomy of university,” CNU Journal of Educational Studies, Vol. 27, No. 1, pp. 69-93, 2006.
McClure, M. L., "Managing the professional nurse: Part II. Applying management theory to the challenges," JONA: The Journal of Nursing Administration, Vol. 14, No. 3, 1984.
Ministry of Science and ICT, Korea Internet & Security Agency, "Critical information infrastructure protection technical vulnerability & analysis assessment detailed guides," 2017.
Ministry of Science and ICT, Ministry of the Interior and Safety, Korea Communications Commission and Korea Internet & Security Agency, Information & Personal Information management System Guidebook, 2019.
Ministry of SMEs and startup and Korea Foundation for Corporation of Large Small Business, Rural Affairs, "SMEs Technical Protection Guide," 2018.
Ministry of Trade, Industry and Energy, "White paper of trade, industry and energy(part of industry)," 2018.
National Information Society Agency, "2017 Smart work survey report," 2017.
Netflix Culture, Https://jobs.netflix.com/culture.
NIST, "Security and Privacy Controls for Federal Information Systems and Organizations (NIST SP 800-53 R4)," 2013.
Pfeffer, J., "The human equation: Building profits by putting people first," Harvard Business School Press, 1998.
Rha, H. D., "A theoretical comparative study of human resource security based on Korean and int'l information security management systems," Journal of Convergence for Information Technology, Vol. 6, No. 3, pp. 13-19, 2016.

상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증