[논문]조직의 능동적 보안문화 형성을 위한 활성화 요인에 관한 연구

안병구; 유하랑; 장항배

doi:10.33778/kcsa.2020.20.2.003

조직의 능동적 보안문화 형성을 위한 활성화 요인에 관한 연구
A Research on Activating Factor for Cultivating a Proactive Organizational Security Culture 원문보기

융합보안논문지 = Convergence security journal, v.20 no.2, 2020년, pp.3 - 13

안병구 (중앙대학교 일반대학원 융합보안학과) , 유하랑 (중앙대학교 일반대학원 융합보안학과) , 장항배 (중앙대학교 산업보안학과)

초록
AI-Helper

급속하게 변화하는 ICT 기반의 산업 환경이 조성되면서 조직은 새롭게 발생하는 보안위협에 당면하고 있다. 조직은 보안위협에 대한 대응방안의 일환으로 조직구성원 대상의 보안문화 내재화를 수립하고자 하고 있다. 그러나 보안활동 이행으로 인해 업무 프로세스에서 발생하는 불편사항이 존재하고 기존의 보안문화 정립 방안은 제어, 통제 등의 규범적 성격이 강조됨에 따라 조직구성원들의 보안 수용성이 낮은 실정이다. 본 논문에서는 능동적인 조직 보안문화의 활성화를 하나의 대응방안으로 구축하기 위해 기존의 수동적인 보안문화 정립 방안에서 벗어나 전사적 보안업무 효율을 높고 조직구성원의 자발적 참여를 유도할 수 있는 보안문화를 형성하고자 하였다. 이에 따라 관련 선행연구 간의 비교·분석을 진행하고 도출된 실행요소에 대해 통계적 검증을 수행하였다. 본 연구에서 도출된 보안문화 활성화 요인을 통해 향후 보안문화 수준측정을 위한 연구에 기여할 수 있을 것으로 기대된다.

Abstract ▼ AI-Helper

Organizations are facing a new, diverse security threat as ICT based industrial environment arises. As a way of effective countermeasure for security threat, organizations are making an effort to establish internalization of security culture, targeting a organizational members. However, members' awareness toward security receptiveness is low as inconvenience exists in business process and existing security culture focuses on controlling and regulating. Accordingly, this research desires to develop a participatory security culture which can higher the efficiency of security work process and induce members' voluntary participation. A comparative analysis on security culture related prior researches is conducted and based on a drawn components, statistical verification is accomplished. It is expected to contribute on future research on measuring a security culture level.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

융·복합 환경에서 끊임없이 변화하는 산업 패러다 임과 새롭게 발생하는 다(多)차원의 보안 위협은 조직으로 하여금 신속한 대응방안을 마련하도록 촉진함에 따라 조직 내 경영층은 보안활동 수행에 상당한 노력을 가하고 있다. 그러나 실무 현장에서는 보안활동 이행에 대해 조직구성원이 불만을 표출하거나 인식 자체가 결여되는 상황이 지속적으로 나타나고 있음에 따라 조직구성원의 자발적 참여를 위한 효율적 보안 문화 정립을 위한 보안문화 활성화 요인을 도출하고자 하였다. 이를 위해 보안문화와 관련한 선행연구의 수집 및 분석을 통해 보안문화 정립을 위한 실행요소를 도출하여 설문조사를 수행하였다.
보안문화와 관련한 이론적 개념을 기반으로 과 같이 나타난 총 9개의 관련 선행연구를 분석하고자 하였다[14-22].
이에 따라 본 논문에서는 수동적인 보안문화에서 벗어나 조직문화 일환으로서의 보안문화 활성화를 위한 요인을 도출하고자 한다. 보안문화의 형성과정은 기존의 선행 연구가 활성화되지 않음에 따라 조직문화와 정보보안 문화 형성과정을 포함한 선행연구 분석을 통해 조직과 조직구성원의 보안행동에 영향을 미치는 구성항목 및 실행요소를 도출하고자 하였다.
본 연구에서는 변화하는 산업환경 속성에 발맞추어조직의 지속성장을 이끌 수 있는 보안문화 설립을 목적으로 한다. 현재 조직이 가지는 수동적 보안문화의 한계점을 수동적 보안문화 한계점을 인식하여 조직구 성원들이 능동적으로 참여할 수 있는 조직문화 일환 으로써의 보안문화 형성에 대한 필요성을 인지하였다.
이러한 보안문화는 발생 가능한 업무적 어려움을 해결함으로써 보안활동 이행에 대한 조직구 성원들의 인식변화와 적극적인 참여를 이끌어내고 불편사항 해소로 인해 발생 가능한 보안 리스크를 최소화하는 대응방안을 구축하는 방향으로 발전해나가야한다. 이를 위해 본 연구에서는 능동적인 보안문화 활성화 요인 도출을 위해 관련 선행연구 분석을 통한 실행요소 도출 및 통계적 검증을 수행하고자 한다.
ICT 기술발달과 함께 보안의 범위가 확장됨에 따라 기술중심에서 나아가 인간중심으로 한 조직구성원 대상의 능동적 보안문화가 구축되어야 한다. 이에 따라 본 논문에서는 수동적인 보안문화에서 벗어나 조직문화 일환으로서의 보안문화 활성화를 위한 요인을 도출하고자 한다. 보안문화의 형성과정은 기존의 선행 연구가 활성화되지 않음에 따라 조직문화와 정보보안 문화 형성과정을 포함한 선행연구 분석을 통해 조직과 조직구성원의 보안행동에 영향을 미치는 구성항목 및 실행요소를 도출하고자 하였다.
이와 함께 효과적인 보안문화의 수립은 조직구성원 개인의 의사결정을 어떻게 효율적으로 증진시킬 수 있는지에 의존된다고 주장한다.이와 함께 보안 정책 및 규범 수립, 조직구성원의 보안활동 및 윤리적 행위, 조직 특성을 반영한 문화적 변화와 보안 프로세스의 중요성을 제시한다. 특히 조직구성원의 보안 인식 제고와 교육 프로세스에 있어 경영층의 적극적인 후원과 참여를 강조하고 있다.
조직구성원의 자발적 참여형 보안문화를 정립하기 위해 관련 선행연구들을 기반으로 실행요소들을 도출 하고자 하였다. 앞서 수행한 선행연구 분석을 기반으로 도출한 총 7개의 구성항목과 31개의 실행요소를 구성하여 조직문화의 인적 실행요소와 정보보안문화 실행요소를 추가하여 조직 전체를 대상으로 하는 확장된 보안문화 구성항목과 실행요소를 도출하였다.

제안 방법

본 연구에서 도출한 20개의 보안문화 활성화 실행 요소에 대해 요인분석을 수행하였다. 이때 실행요소인 ‘소통(communication)’의 요인적재량이 0.
선행연구를 통해 살펴본 정의들을 바탕으로 본 연구에서는 문화는 조직이 가진 신념, 가치, 규범 등을 형성하며 조직구성원들의 행동양식을 이루는 것으로 파악한다. 정보보안문화는 효과적인 보안위협 대응방 안과 정보보안 인식제고를 위해 사회심리학적 원리가 적용된 문화적 요소로 이루어진 문화 환경으로, 정보 기술 위협에 대한 예방 및 조치의 문화적 접근을 의미한다.
조직구성원의 자발적 참여형 보안문화를 정립하기 위해 관련 선행연구들을 기반으로 실행요소들을 도출 하고자 하였다. 앞서 수행한 선행연구 분석을 기반으로 도출한 총 7개의 구성항목과 31개의 실행요소를 구성하여 조직문화의 인적 실행요소와 정보보안문화 실행요소를 추가하여 조직 전체를 대상으로 하는 확장된 보안문화 구성항목과 실행요소를 도출하였다. 아래 <표 2>에서는 총 9개의 선행연구를 기반으로 조직문화와 정보보안문화 형성 과정에서 발생하는 구성 항목 및 실행요소를 도출한 것을 보여준다.
아래 <표 2>에서는 총 9개의 선행연구를 기반으로 조직문화와 정보보안문화 형성 과정에서 발생하는 구성 항목 및 실행요소를 도출한 것을 보여준다. 이를 기반 으로 각 구성항목과 실행요소에 대한 통계적 검증 수행을 위해 설문조사를 수행하였다. 설문조사는 국내 기업 보안담당자를 대상으로 진행하였으며 특정 분야에 한정되지 않도록 근무 경력, 업종, 연령대의 범위를 제한하지 않고 설문조사를 진행하였다.
이를 위해 먼저 보안문화 관련 문헌에 대한 수집및 분석을 통해 실행요소 문항을 도출하고 이에 대한 통계적 검증을 수행하였다. 해당 연구추진 방법을 도식화하면 아래 (그림 2)와 같다.
그러나 실무 현장에서는 보안활동 이행에 대해 조직구성원이 불만을 표출하거나 인식 자체가 결여되는 상황이 지속적으로 나타나고 있음에 따라 조직구성원의 자발적 참여를 위한 효율적 보안 문화 정립을 위한 보안문화 활성화 요인을 도출하고자 하였다. 이를 위해 보안문화와 관련한 선행연구의 수집 및 분석을 통해 보안문화 정립을 위한 실행요소를 도출하여 설문조사를 수행하였다. 설문조사 결과를 바탕으로 적합타당성 검증과 요인분석을 수행하였다.
추가적으로 조직문화와 정보보 안문화의 실행요소 간 비교·분석을 통해 확장된 보안 문화의 구성항목과 실행요소를 도출하였다.

대상 데이터

이를 기반 으로 각 구성항목과 실행요소에 대한 통계적 검증 수행을 위해 설문조사를 수행하였다. 설문조사는 국내 기업 보안담당자를 대상으로 진행하였으며 특정 분야에 한정되지 않도록 근무 경력, 업종, 연령대의 범위를 제한하지 않고 설문조사를 진행하였다.

데이터처리

이를 위해 보안문화와 관련한 선행연구의 수집 및 분석을 통해 보안문화 정립을 위한 실행요소를 도출하여 설문조사를 수행하였다. 설문조사 결과를 바탕으로 적합타당성 검증과 요인분석을 수행하였다.
요인분석을 통해 도출된 7개의 요인에 따른 19개의 보안문화 활성화 요인과 관련해 신뢰도 계수 (Cronbach Alpha)를 활용해 신뢰도를 분석하였다.신뢰도 값은 아래 <표 5>와 같이 도출되었다.

성능/효과

더불어 조직구성원 대상의 보안 교육을 통해 효율적인 보안 행동을 수립해야 하며 보안 자체에 대한 불만·불편의 완화를 통해 향후 발생 가능한 변화사항에 대해 조직구성원이 긍정적인 태도를 유지할 수 있도록 해야 함을 강조하였다.
분석 결과 ‘보안사고 관리’, ‘물리·환경적’으로 구성된 요인은 0.588의 값으로 0.6미만(Cronbach Alpha 0.6 이상 수용)으로 탈락되어, 최종적으로 보안문화 활성화 요인은 6개의 요인과 17개의 실행요소를 가지는 것으로 도출되었다.
조직문화의 기능은 업무 효과성을 증대시킨다는 점과 조직 결속력과 응집력의 강화를 통해 조직 공동의 목표 달성을 야기한다는 점을 가진다[12]. 이러한 조직문화 성격을 기반으로 조직문화의 강화를 위해 구성요소들의 일관성과 상호적으로 연결되는 관계 유지가 필요함을 확인하였다.

후속연구

본 연구는 조직별로 형성되는 다양한 조직문화를 고려하지 못했다는 한계점을 지닌다. 향후 연구에서는 설문조사 표본 수 및 근무 분야의 수를 늘리고 조직 보안문화의 수준측정에 대한 연구가 진행되어야 할 것이다.
본 연구는 조직별로 형성되는 다양한 조직문화를 고려하지 못했다는 한계점을 지닌다. 향후 연구에서는 설문조사 표본 수 및 근무 분야의 수를 늘리고 조직 보안문화의 수준측정에 대한 연구가 진행되어야 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	능동적 참여에 의한 보안문화의 정착이 요구되는 이유는?	동시에 새로운 형태의 보안위협이 계속해서 발생하게 됨에 따라 조직 내 보안인식 제고를 위한 노력을 가하고 있다. 그럼에도 불구하고 현재 국내 기업 등 다양한 조직에 속한 조직구성원들은 보안활동이 개방된 업무환경 활동을 제한한다는 부정적 인식을 지니고 있는 상황이다. 이에 따라 조직구성원들의 내부 요구 사항을 기반으로 전사적인 조직 업무효율을 향상시킬 수 있도록 하는 능동적 참여에 의한 보안문화의 정착이 필요하다.
	문화의 사전적인 개념은 무엇인가?	문화의 사전적인 개념은 ‘사회 전반의 생활양식’으로, 자연과 대립의 개념으로 자연적, 필연적으로 발생하는 자연을 소재를 기반으로 목적의식을 보유한 인간의 활동으로 실현되는 과정으로 정의되고 있다[3].또한 문화는 사회구성원에 의해 변화시켜온 물질적· 정신적 과정의 산물로 조직 및 구성원들의 행동을 이루고 조직을 통해 학습 및 생성될 수 있다고 본다[4].
	정보보안 문화에 영향을 주는 인자는 무엇인가?	Tolah[15]의 연구에서는 조직행동의 요소로 조직 구성원의 직무 만족, 개인적 특성을 꼽으며 정보보안 문화에 영향을 주는 인자를 최고경영층, 보안정책, 정보보안 교육훈련 수행, 리스크 평가, 조직구성원들의윤리적 행동을 주장한다. 이를 기반으로 보안문화가 수립될 시 조직에는 보안인식 제고, 보안 주인의식이 형성됨을 제시한다.

참고문헌 (22)

삼정KPMG 경제연구원, "4차 산업혁명과 패러다임", 삼정 인사이트, 2018.
장항배, "미래산업융합 환경과 보안과제", 한국 IT서비스학회 춘계학술대회, pp. 339-343, 2016.
Kroeber, A. L., & Kluckhohn, C, "Culture: a critical review of concepts and definitions." Peabody Museum of Archaeology & Ethnology, Harvard University, Vol. 47, No. 1, 1952.
Dhillon, G, "Managing Information System Security", 1997.
정철현, '문화정책록', 서울경제경영, 2004.
Thomson, M, E, Solms, R, V, "Information security awareness: educating your users effectively", Information Management & Computer Security, Vol. 6, No. 4, pp. 167-173, 1998.

상세보기
Niekerk, J, F, Solms, R, "Information Security Culture: a management perspective", Computers and Security, Vol. 29, No. 4, pp. 476-486, 2010.

상세보기
정해철, 김현수, "조직구성원의 정보보안 의식과 조직의 정보보안 수준간의 관계 연구", 정보기술과 데이터베이스 저널, Vol. 7, No. 2, pp. 117-134, 2000.
이미정, 이선중. "지방공무원의 정보보호 인식 및 행태에 관한 연구", 한국사회와 행정연구, Vol. 20, No. 4, pp. 453-478, 2010.

상세보기
Pettegrew, A, M, "On studying organizational culture", Administrative Science Quarterly, Vol. 24, pp. 570-581, 1979.

상세보기
Schultz, M, Hatch, M, J, "Living with Multiple Paradigms the Case of Paradigm Interplay in Organizational Culture Studies", Academy of Management Review, Vol. 21, No. 2, pp. 529-557, 1996.

상세보기
Thomson, K, L, Solms, R, von, Louw, L, "Cultivating an organizational information security culture", Computer Fraud & Security, Vol. 6, No. 4, pp. 7-11, 2006.
Veiga, A, D, Eloff, J, H, P, "A framework and assessment instrument for information security culture", Computers & Security, Vol. 29, pp. 196-207, 2010.

상세보기
Walton, H, "Security Culture", Routledge, 2015.
Tolah, A, Furnell, S, S, Papadaki, M, "A Comprehensive Framework for Cultivating and Assessing Information Security Culture", HAISA, pp. 52-64, 2017.
Alhogail, A, Mirza, A, "A framework of information security culture change", Journal of Theoretical and Applied Information Technology, Vol. 64, No. 2, pp. 540-549, 2014.
Sherif, "A Conceptual Model for Cultivating an Information Security Culture", 2015.
AlHogail, "Design and Validation of Information Security Culture Framework", 2015.
Fagerstrom, A, "Creating, Maintaining and Managing an Information Security Culture", KPMG Finland, 2013.
Ramachandran, S, Rao, S, "Security Cultures in Organizations: A Theoretical Model", AMCIS 2006 Proceedings, pp. 3460-3464, 2006.
Alnatheer, M, A, "Understanding and measuring information security culture in developing countries: case of Saudi Arabia", Queensland University of Technology, 2012.
Veiga, A, D, "Cultivating and assessing information security culture", University of Pretoria, 2008.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증