조직의 목표지향성과 구조가 정보보안 준수의도에 미치는 영향
Copyright ⓒ 2020 The Digital Contents Society
This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-CommercialLicense(http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.
초록
연구 목적은 조직 특징에 따라 조직원의 정보보안 준수의도에 미치는 인지적 영향 관계를 검증하는 것이다. 연구는 조직 특성을 목표지향성(성장지향, 안전지향)과 조직 구조(수평구조, 수직구조)로 구분하여 교차설계를 실시한다. 정보보안 인지요인은 분배공정성, 개인조직 적합성, 인지된 제재, 그리고 준수의도로 구성하였다. 연구결과, 목표지향성과 조직구조는 분배공정성, 개인조직 적합성에 영향을 주는 것을 확인하였으며, 개인에게 성장지향이 안전지향보다 높은 영향을 주고, 수평구조가 수직구조보다 높은 영향을 주는 것으로 나타났다. 또한, 분배공정성과 준수의도간에는 개인조직 적합성과 인지된 제재를 통한 영향 관계에 있음을 확인하였다. 연구의 시사점은 조직 특성에 따른 개인의 정보보안 인지 및 의사결정에 차이가 있음을 확인하였으며, 조직 특성을 고려한 정보보안 준수 전략 수립의 필요성을 제시한다.
Abstract
The purpose of this study is to verify the relationship of cognitive influence on compliance intention of employee according to organizational characteristics. The study conducts cross-design by dividing organizational characteristics into goal-orientation(growth, validation) and organizational structure(vertical, horizontal). Information security factors consisted of distributive justice, person-organization fit, perceived sanction, and compliance intention. As a result of the study, goal orientation and organizational structure influenced distribution justice and person-organization. The growth seek had a higher impact than the validation seek, and the vertical structure was higher than the horizontal. And, distribution justice and compliance intention had an impact relationship through person-organizational fit and perceived sanctions. The implications are to confirm that there is a difference in information security cognitive and decision-making by employees according to organizational characteristics, and suggest the necessity of establishing an information security compliance strategy considering organizational characteristics.
Keywords:
Distributive justice, PO-fit, Perceived sanction, Compliance intention, Goal orientation, Organizational structure키워드:
분배공정성, 개인조직 적합성, 인지된 제재, 준수의도, 목표지향성, 조직구조Ⅰ. 서 론
조직의 정보보안의 중요성이 높아지면서, 세계적으로 정보보안 솔루션에 대한 투자가 많아지고 있다. 실제로 전 세계 정보보안 솔루션 시장은 2019년 1,210억 달러에서 2027년에는 2,818억 달러(연평균성장률 12.6%)에 이를 것으로 예상되는데, 온라인 플랫폼의 증가와 인공지능, 사물인터넷, 블록 체인 등과 같은 파괴적인 기술을 주도로 강력한 보안 기능의 확장을 주도하고 있기 때문이다[1].
그럼에도 불구하고, 조직의 정보보안 사고는 감소하지 않고 있다. 특히, 정보기술의 발전과 최근의 바이러스 위협 사태는 조직구성원들의 정보시스템에 대한 접근 방식과 권한을 다양하게 부여하고 있으며, 어떤 장소에서든 조직 관련 업무를 볼 수 있도록 하고 있다. 이러한 정보 활용 사례의 증가는 역으로 정보보안 위협을 증가시킬 수 있는 상황이 될 수 있다. 정보보안 사고의 유형을 살펴보면, Verizon[2020]은 매년 외부의 해킹, 바이러스 침입 등을 통해 발생하는 사고가 전체의 60~70% 수준이며, 조직 내부자의 정보 오남용 또는 악의적인 노출 등으로 발생하는 사고가 전체의 20~30%수준인 것으로 보고 있다[2]. 즉, 정보시스템에 대한 접근 권한의 확대는 내부자에 의한 보안 사고 위협을 발생시킬 수 있기 때문에, 구성원의 정보보안 준수 수준을 높이기 위한 노력이 필요한 상황이다.
조직구성원의 정보보안 준수 행동 향상을 위한 연구는 조직원의 정보보안 준수 동기를 향상시킴으로써 개인의 자발적인 보안 준수로 이어지는 방향을 제시해왔다 [3-8]. 세부적으로 범죄학, 사회학, 심리학 등에서 활용되던 제재이론(deterrence theory), 보호동기이론(protection motivation theory), 합리적선택이론(rational choice theory), 계획된 행동이론(theory of planned behavior) 등을 활용하여, 준수 행동으로 이어지기 위한 조직 차원과 개인 차원 등의 구조화된 동기 개선 방향을 제시해왔다. 조직 내 구성원들의 정보보안 행동 준수관련 선행연구들은 개인의 보안 준수 동기 형성을 위한 요인을 제시하고, 조직의 특성을 반영한 준수 노력 요인을 연계해서 제시하였다는 측면에서 높은 시사점을 가진다.
하지만, 선행연구들은 조직의 특성에 따른 개인들의 행동 변화에 대한 영향관계를 제시하지 못하고 있다. 선행연구들은 공통적으로 개인은 조직의 보안 환경(문화, 분위기 등)과 도입된 정책 수준 등의 수준에 의해 최선 또는 차선의 선택으로 보안 관련 의사결정을 하기 때문에 개인의 동기를 개선하기 위한 노력이 필요하다고 제시함으로써[9], 조직의 특성과 보안 행동 전략을 연계하는 것을 중요하다는 것을 강조했으나, 아직까지 조직의 특성별(문화적 차이, 환경적 차이 등) 개인들의 보안에 대한 인지 및 행동에 미치는 영향에 대한 연구는 부족한 상황이다.
본 연구는 조직의 특성을 결정하는 요인을 2개 차원으로 제시하고 차원의 유형별 조직원이 가지는 정보보안 요인의 인지에 미치는 영향의 차이를 제시하고자 한다. 조직 특성 결정 차원은 조직 목표지향성 이론의 성장지향과 안전지향의 차원과 조직 구조의 세부 요인인 수평적 구조와 수직적 구조의 차원으로 구분하여, 집단별 정보보안에 대한 개인의 인지 요인의 차이를 확인하고자 한다. 즉, 본 연구에서 확인하고자 하는 연구질문1은 다음과 같다.
- RQ 1. 조직의 목표지향성과 조직 구조 차원의 차이는 개인의 정보보안 관련 인지 및 정보보안 준수의도에 어떻게 영향을 미치는가?
또한, 본 연구는 정보보안 인지요인으로 분배공정성, 개인조직 적합성, 인지된 제재, 그리고 준수의도를 적용하여 각 요인간의 상호 연관관계를 찾고자 한다. 이에 분배공정성과 준수의사이의 개인조직 적합성, 인지된 제재의 매개효과가 있을 것으로 보고 매개효과 연구모델에 대한 검증을 통한 요인별 영향관계를 제시하고자 한다. 즉, 본 연구에서 확인하고자 하는 연구질문2는 다음과 같다.
- RQ 2. 정보보안 분배공정성은 정보보안 준수의도에 어떻게 영향을 미치는가?
연구 결과는 조직의 특성을 결정하는 조직의 차원별 개인의 정보보안 인지 및 준수의도의 영향력 차이와 요인간의 매개기반의 영향 관계를 검증함으로써, 조직의 특성별 구성원들에 대한 정보보안 준수의도 향상을 위한 다른 접근 방향을 제시한다는 측면에서 시사점을 제시할 것으로 판단한다.
Ⅱ. 이론적 배경
2-1 목표지향성
목표지향성(goal orientaion)은 개인이 도전적이고 특정적인 문제에 직면했을 때, 이를 해결을 위한 방법, 절차 등의 증명하고자 하는 방향을 의미한다[10]. 즉, 목표지향성은 문제 해결 등에 대한 개인의 선택적 지향점을 의미하며, 개인은 자신의 목표지향성을 기반으로 특정 문제를 해결하고자 한다[11].
조직 차원의 목표지향성은 조직구성원들의 개별적인 목표지향성이 집단화되어, 그룹의 목표 지향 규범으로 발전함으로써 조직 목표지향성으로 나타난다[12]. 더불어, 형성된 조직의 목표지향성은 다시 구성원에게 규범으로 작용하여 구성원들이 조직의 목표지향성을 따르도록 제시하는 요인이 된다. 조직들은 관련된 교육 및 학습 등을 통하여 일관된 목표지향성을 유지할 수 있으며, 관련 성과를 확보할 수 있다[13].
정보보안 관점에서도 목표지향성은 개인들의 행동적 방향을 규정하는 요인으로 작용한다. 조직에 형성된 정보보안 관련 목표지향성에 대한 구성원의 인지 수준이 높아질수록 조직과 일치하려는 경향을 보이며, 조직에서 요구하는 정보보안 관련 행동을 한다[6].
2-2 조직구조
조직 구조는 특정 목표 달성을 통해 조직의 지속가능성을 유지하는데 중요한 구조적 역할을 한다는 관점에서 지속적으로 연구되어온 분야이다[14]. 조직 구조(organizational structure)란 조직 구성원의 권력 관계, 지위·계층, 역할 배분 등의 활동에 대한 조직 관리 체계를 의미한다[15]. 조직구조에 대한 분류 기준은 다양하게 제시되고 있으나, 구성원간의 역할 배분, 명령 관계 등의 수준에 따라 수평적 조직과 수직적 조직으로 구분할 수 있다. 수평적 조직은 자율적 사고를 중심으로 개인간의 업무 협조를 강조하며, 팀 중심 운영 체계를 가진 형태를 의미하며, 수직적 조직은 상급자와 하급자간의 권한 위임이 강조되는 피라미드형 구조로서 규율적 관리를 중요시하는 조직을 의미한다[16].
2-3 분배공정성
공정성이론은 조직과 개인간의 교환관계에서 형평(equity) 기반의 분배의 적합성을 설명한 이론으로서, 개인에게 부여된 보상이 상대적으로 적합하게 제시되었는가를 기반으로 공정함을 평가하는 관점이다[17]. 조직에서 개인의 행동에 대한 결과에 대한 평가는 유사한 상황에서 주어진 결과물에 대한 비교를 통해 도출되며 공정하다고 판단될 경우, 개인의 직무 또는 조직만족도 등이 높아지며 조직이 원하는 적정한 행동을 취한다고 본다[18]. 개인이 고려하는 대표적인 공정성 유형이 분배공정성(distributive justice)로서 구성원들의 특정 행동에 대한 결과에 대한 조직 차원 분배가 상대적으로 적정하다고 판단할 경우, 구성원들은 조직에서 요구하는 특정 목표 등을 성취하기 위한 바람직한 행동을 한다[19].
정보보안 관점에서도 분배공정성은 개인의 정보보안 준수에 긍정적인 영향을 주는 선행 요인이다. 조직에서 설정한 정보보안 요구 수준 및 행동 조건에 대한 구성원의 행동 결과의 보상이 적정하다고 판단할 때, 구성원의 능동적인 정보보안 준수행동으로 이어지고 조직의 정보보안 수준이 높아진다[20,21].
2-4 개인조직 적합성
개인조직 적합성(person-organization fit)은 개인을 둘러싼 조직 환경에 대하여 대처하고자 하는 개인의 행동 경향을 예측하기 위한 관점으로서, 개인과 조직간의 상호작용을 통해 주요 특성을 전달하고 공유할 때 발현되는 호환 및 적합성 수준을 의미한다[22]. 개인은 조직이 보유하고 제시하는 가치, 목표, 비전 등을 통해 자신의 생각과의 적합성을 판단하며, 개인의 행동 방향과 조직의 철학 등이 일치할 때 개인조직 적합성은 높게 나타난다[23].
개인조직 적합성은 조직과 구성원 상호간에 목표 등 요구사항을 제시하고 상호간에 충족시킬 때 개인과 조직간의 적합성이 높다고 판단한다[24]. 이를 위해 조직은 개인과 지속적인 커뮤니케이션, 적정 목표 및 직무를 제공함으로써, 개인이 조직에서 추구하는 목표를 달성할 수 있는 기회를 제공하는 것이 필요하다[25]. 정보 보안 관점에서도 개인조직 적합성은 개인의 정보보안 준수에 영향을 주는 선행 조건이다. 개인조직 적합성은 개인의 정보보안 동기 형성에 도움을 주며, 보안 관련 스트레스 등이 발현되더라도 조직과의 일치적인 생각을 가지고 있다고 판단하여 정보보안 행동을 취하려는 경향을 가지게 된다[26].
2-5 인지된 제재
조직 차원에서 구성원에 대한 정보보안 준수 수준을 높이기 위해 대표적으로 사용하는 차원이 제재이다[5]. 인지된 제재(perceived sanction)는 강등, 평판 상실, 견책, 금전적 처벌 등 조직 내 구두 또는 서면화된 유형 또는 무형의 처벌에 대한 인지 수준을 의미한다[3]. 정보보호에 대한 특정한 상황에 대한 보호 또는 준수에 대한 조직의 일차적인 노력은 조직원에게 관련 상황 및 예상되는 결과, 평가 등에 대한 정보를 제공하고 행동에 대한 통제하는 것에 있다[4]. 즉, 제재이론은 구성원의 행동에 대한 부정적 결과(징계 등), 긍정적 결과(보상 등)를 인식시켜줌으로써 자발적으로 준수행동을 하도록 유도할 수 있다고 본다[27, 28]. 특히, 공정성이 반영된 제재 및 처벌이 조직에서 제시되고 실행되는 것을 조직원이 인지할 때, 결과에 대한 반영이 반드시 실행되다는 것으로 인식하고 준수행동으로 이어진다[20].
2-6 정보보안 준수의도
내부자에 의한 정보보안 사고는 직급, 장소 등과 관계없이 정보시스템에 연결되어 있으면 발생할 가능성이 존재한다[3]. 실제로 정보보안 유출 사고 당사자들의 직무는 IT 담당자외에도 사무직, 영업직, 외부 파트너사 등 다양하게 존재한다[2].
정보보안 위협 방지를 위하여 내부자들을 지속적으로 통제 및 관리하는 것은 불가능에 가깝기 때문에, 내부자의 정보보안 사고를 감소시키기 위해서는 정보보안에 대한 개인의 준수의도를 향상시키는 것이 중요하다[29]. 정보보안 준수의도는 조직의 잠재적인 보안 위협으로부터 정보 및 기술 자원을 보호하기 위한 행동의도로 정의된다[3]. 즉, 정보보안 준수의도는 내부 또는 외부의 보안 관련 위협으로부터 조직의 정보를 보호하고자 하는 자발적 행동의지이기 때문에, 조직원의 정보보안 준수의도 향상을 위한 조직 차원의 지원 및 노력이 필요하다.
Ⅲ. 연구 모델 및 방법
3-1 연구 대상
본 연구 목적은 조직원의 정보보안에 영향을 주는 조직 환경적 요인을 제시하고, 조직원의 정보보안 관련 인지요인과 준수의도와의 관계를 파악하는 것이다. 연구 실증 분석을 위한 연구 참여자들은 정보보안 정책을 도입한 조직에서 근무하는 일반인을 대상으로 하였으며, 남성은 167명, 여성은 157명의 설문을 수집하였다. 총 324개의 샘플을 분석에 활용하였다.
3-2 측정 도구
연구는 조직의 환경적 요인을 조직의 목표지향성 차원과 조직구조 차원으로 구분하여 교차모형 설계(cross-over design)을 실시함으로써, 개인의 행동에 영향을 미치는 조직 환경적 특성을 집단으로 구분하고 개인의 정보보안 인지 요인(분배공정성, 개인조직 적합성, 인지된 제재, 준수의도)에서의 차이를 확인하고, 정보보안 인지 요인간의 매개효과 기반의 연계모델을 검증한다. 연구 분석을 위한 측정도구는 조직 특성요인과 정보보안 관련 개인 인지요인으로 구성되며 다음과 같다.
목표지향성(goal orientation) 차원은 조직의 특정 목표에 대한 추구하는 지향성으로서, 응답자의 조직의 지향성을 “성장지향(growth seek)”, “안전지향(validation seek)”으로 선택하도록 하였다[30]. 조직 구조(organizational structure) 차원은 조직 내 의사결정의 계층이 존재하는 수준으로, 응답자의 조직구조를 “수평적 구조(horizontal structure)”, “수직적 구조(vertical structure)”로 선택하도록 하였다[16].
분배공정성(distributive justice)은 조직 내 형성된 조직원에 대한 공정성 중 행동 결과에 대한 상대적 만족 수준의 개념으로서,[19] 관련 선행연구를 정보보안 분야에 적용할 수 있도록 보완하여(3개 문항 구성), 7점 리커트 척도를 적용하여 설문하였다. 분배공정성의 신뢰도를 측정한 결과 크론바하 알파값은 0.929이었다.
개인조직 적합성(person-organization fit)은 조직의 특정 가치와 개인의 가치가 동일하다고 믿는 수준의 개념으로서[25], 관련 선행연구를 정보보안 분야에 적용할 수 있도록 보완하여(3개 문항 구성), 7점 리커트 척도를 적용하여 설문하였다. 개인조직 적합성의 신뢰도를 측정한 결과 크론바하 알파값은 0.833이었다.
인지된 제재(perceived sanction)는 조직 내 문서화 또는 구두로 제시된 특정 결과에 대한 무형 또는 유형의 처벌에 대한 개인의 인지 수준의 개념으로서 [3], 정보보안에 적용된 선행연구를 활용하여 3개의 문항으로 구성하고 7점 리커트 척도를 적용하여 설문하였다. 인지된 제재의 신뢰도를 측정한 결과 크론바하 알파값은 0.812이었다.
정보보안 준수의도(information security compliance intention)는 조직 정보자원에 대한 잠재적 위협으로부터 정보자원을 보호하기 위한 개인의 의도에 대한 개념으로서 [27], 정보보안에 적용된 선행연구를 활용하여 4개의 문항으로 구성하고 7점 리커트 척도를 적용하여 설문하였다. 준수의도의 신뢰도를 측정한 결과 크론바하 알파값은 0.720이었다.
Ⅳ. 연구 결과
4-1 기초통계
본 연구에 적용한 표본의 통계적 특성은 조직 특성요인 차원(목표지향성, 조직 구조)에 기반하여 도출하였다. 성장지향-안전지향 집단과 수평적 구조-수직적 구조 집단별 성별에 따른 비율을 확인하였으며, 전체적으로 집단 구성이 비슷한 비율로 구성되어 분석에 문제가 없는 것으로 파악되었다.
4-2 교차 분석
교차분석은 ANOVA 기법(SPSS 21.0)을 실시하였으며, 집단 구분은 조직의 특성요인인 목표지향성(성장지향, 안전지향) 관점과 조직구조(수평조직, 수직조직)에 따라 정보보안 분배공정성, 개인조직 적합성, 인지된 제재, 그리고 준수의도에 미치는 영향의 차이를 검증하였다.
첫째, 목표지향성과 조직구조 관점의 변인의 분배공정성에 미치는 영향에 대한 검증을 하였으며, 결과는 다음과 같다. 목표지향관점 변인에서 성장지향 집단(M = 3.14)이 안전지향 집단(M = 2.80)보다 분배공정성 평균이 높게 나타났으며, 목표지향 관점의 변인의 분배공정성에 미치는 영향은 통계적으로 유의한 것으로 나타났다(F(1, 320) = 5.11, p < 0.05). 조직 구조 관점 변인에서 수평 구조 집단(M = 4.66)이 수직 구조 집단(M = 1.82)보다 분배공정성 평균이 높게 나타났으며, 조직 구조 관점의 변인의 분배공정성에 미치는 영향은 통계적으로 유의한 것으로 나타났다(F(1, 320) = 722.15, p < 0.01). 분배공정성에 대한 목표지향성 관점과 조직구조 관점들의 상호작용효과는 통계적으로 유의하지 않았다(F(1, 320) = 0.00, n.s.).
둘째, 목표지향성과 조직구조 관점의 변인의 개인조직 적합성에 미치는 영향에 대한 검증을 하였으며, 결과는 다음과 같다. 목표지향관점 변인에서 성장지향 집단(M = 5.09)이 안전지향 집단(M = 4.68)보다 개인조직 적합성 평균이 높게 나타났으며, 목표지향 관점의 변인의 개인조직 적합성에 미치는 영향은 통계적으로 유의한 것으로 나타났다(F(1, 320) = 8.00, p < 0.01). 조직 구조 관점 변인에서 수평 구조 집단(M = 5.19)이 수직 구조 집단(M = 4.66)보다 개인조직 적합성 평균이 높게 나타났으며, 조직 구조 관점의 변인의 개인조직 적합성에 미치는 영향은 통계적으로 유의한 것으로 나타났다(F(1, 320) = 12.48, p < 0.01). 개인조직 적합성에 대한 목표지향성 관점과 조직구조 관점들의 상호작용효과는 통계적으로 유의하지 않았다(F(1, 320) = 1.29, n.s.).
셋째, 목표지향성과 조직구조 관점의 변인의 인지된 제재에 미치는 영향에 대한 검증을 하였으며, 결과는 다음과 같다. 목표지향관점 변인에서 성장지향 집단(M = 5.87)은 안전지향 집단(M = 5.44)보다 인지된 제재에 대한 평균이 높게 나타났으며, 목표지향 관점의 변인의 인지된 제재에 미치는 영향은 통계적으로 유의한 것으로 나타났다(F(1, 320) = 19.79, p < 0.01). 조직 구조 관점 변인에서 수평 구조 집단(M = 5.64)과 수직 구조 집단(M = 5.64)은 인지된 제재에 대한 평균이 동일하게 나타났으며, 조직 구조 관점의 변인의 인지된 제재에 미치는 영향은 통계적으로 유의하지 않은 것으로 나타났다(F(1, 320) = 0.00, n.s.).
인지된 제재 대한 목표지향성 관점과 조직구조 관점들의 상호작용효과는 통계적으로 유의하게 나타났다(F(1, 320) = 5.32, p < 0.05). 인지된 제재에 대한 상호작용 효과를 그래프로 표현한 결과, 수직적 구조에서 성장지향 집단과 안전지향 집단의 차이는 높지 않으나, 수평적 구조는 인지된 제재에 성장지향 집단이 안전지향 집단보다 높게 반응 하는 것으로 나타났다.
마지막으로, 목표지향성과 조직구조 관점의 변인의 준수의도에 미치는 영향에 대한 검증을 하였으며, 결과는 다음과 같다. 목표지향관점 변인에서 성장지향 집단(M = 5.19)이 안전지향 집단(M = 5.00)보다 준수의도 평균이 높게 나타났으며, 목표지향 관점의 변인의 준수의도에 미치는 영향은 통계적으로 유의하지 않은 것으로 나타났다(F(1, 320) = 1.90, n.s.). 조직 구조 관점 변인에서 수평 구조 집단(M = 5.00)이 수직 구조 집단(M = 5.16)보다 준수의도 평균이 낮게 나타났으며, 조직 구조 관점의 변인의 준수의도에 미치는 영향은 통계적으로 유의하지 않은 것으로 나타났다(F(1, 320) = 1.39, n.s.). 준수의도에 대한 목표지향성 관점과 조직구조 관점들의 상호작용효과는 통계적으로 유의하지 않았다(F(1, 320) = 0.07, n.s.).
4-3 연구모델 분석
본 분석은 조직 특성 요인별 개인의 정보보안 인지의 차이를 찾고, 적용된 정보보안 인지 요인간의 관계성에 대한 상호 관계를 분석한다. 연구에 적용한 인지 요인은 분배공정성, 개인조직 적합성, 인지된 제재, 그리고 정보보안 준수의도이며, 이중 매개모형을 제시하고 관련 모델 관계를 검증한다(Fig. 1).
분배공정성과 준수의도로 이어지는 이중매개모형 검증은 SPSS 21.0의 위계적 회귀분석을 통해 확인하였다(Table 6).
첫째, 분배공정성이 개인조직 적합성을 통해 정보보안 준수의도로 이어지는 영향관계를 설명하는 매개모형을 검증하였다. 분배공정성이 준수의도에 미치는 전체적인 영향력은 통계적으로 유의하지 않은 것으로 나타났으며(경로 c'; β = -0.08, n.s.), 분배공정성이 개인조직 적합성에 미치는 영향력(경로 a1; β = 0.21, p < 0.01)과 개인조직 적합성이 정보보안 준수의도에 미치는 영향력(경로 b1; β = 0.13, p < 0.05)은 통계적으로 유의한 것으로 나타났다. 반면, 분배공정성이 정보보안 준수의도에 미치는 직접적인 영향력은 통계적으로 유의하지 않은 것으로 나타났다(경로 c; β = -0.04, n.s.).
둘째, 분배공정성이 인지된 제재를 통해 정보보안 준수의도로 이어지는 영향관계를 설명하는 매개모형을 검증하였다. 분배공정성이 준수의도에 미치는 전체적인 영향력은 통계적으로 유의하지 않은 것으로 나타났으며(경로 c'; β = -0.08, n.s.), 분배공정성이 개인조직 적합성에 미치는 영향력(경로 a1; β = 0.13, p < 0.05)과 인지된 제재가 정보보안 준수의도에 미치는 영향력(경로 b1; β = 0.13, p < 0.05)은 통계적으로 유의한 것으로 나타났다. 반면, 분배공정성이 정보보안 준수의도에 미치는 직접적인 영향력은 통계적으로 유의하지 않은 것으로 나타났다(경로 c; β = -0.04, n.s.).
분배공정성이 정보보안 준수의도에 영향을 미치지 않아, 매개효과는 발생하지 않는 것으로 나타났다. 즉, 분배공정성-개인조직 적합성-준수의도로 이어지는 직접적인 관계와 분배공정성-인지된 제재-준수의도로 이어지는 직접적인 관계만 존재하여, 비일관적 매개(inconsistent mediation) 효과를 가지는 것으로 나타났다.
Ⅴ. 결 론
본 연구는 조직 특성 요인인 목표지향성과 조직 구조에 따른 개인의 정보보안 인지 및 준수의도에 미치는 상호 연관관계를 집단간 분석 및 매개효과 모델에 대한 분석을 통해 살펴보았다. 본 연구의 결과는 다음과 같은 이론적, 실무적 관점의 시사점을 가진다.
첫째, 연구는 개인의 정보보안 행동이 조직의 환경적 특성에 기반하여 영향을 받는다는 관점을 확인하기 위하여, 조직 특성 요인들을 집단으로 구분하여 개인의 정보보안 인지에 미치는 영향 연구를 실시하였다. 세부적으로, 조직의 목표 지향 특성(성장지향, 안전지향)과 조직 구조 특성(수평 구조, 수직 구조)로 구분하여 집단별 개인 정보보안 인지(분배공정성, 개인조직 적합성, 인지된 제재, 그리고 준수의도)의 영향 차이를 확인하였다. 즉, 이론적 관점에서 본 연구는 기존 정보보안 연구에서 제시하지 못했던 조직 특성 집단별 개인의 행동 차이에 대한 연구를 실시했다는 측면에서 기존 연구와의 학술적 차별점을 가진다. 또한, 실무적 관점에서 본 연구는 개인의 정보보안 준수 행동은 조직의 특성에 기반하여 행동으로 이어진다는 것을 확인하였다. 즉, 개인의 정보보안에 대한 의사결정은 조직의 환경에 기반하여 심리적 관점에서 행동하게 된다는 행동구조를 제시하였기 때문에, 조직은 조직 내 구성원들의 정보보안 행동을 위하여 조직의 분위기 및 문화, 그리고 특성 등을 어떻게 가져가야 하는지를 심도 있게 고려해야 할 것으로 판단한다.
둘째, 조직의 특성 중 목표지향성 관점에 따른 집단의 차이가 개인의 정보보안 관련 인지에 영향을 다르게 미치는 것을 확인하였다. 즉, 이론적 관점에서 목표지향성 중 성장지향 집단이 안전지향 집단보다 전체적으로 개인의 정보보안 인지 요인에 미치는 영향이 높음을 확인하였기 때문에, 집단별 차이를 제시한 선행연구로서의 가치를 가진다. 또한, 실무적 관점에서 성장을 목표로 가지는 집단이 안정을 목표로 가지는 집단보다 개인들의 정보에 대한 의식이 높은 것을 확인하였다. 세부적으로, 분배공정성, 개인조직 적합성, 그리고 인지된 제재 요인에서 평균이 높고 집단 간 차이가 있는 것으로 나타났는데, 개인의 정보보안에 대한 인지를 높이기 위해서 조직이 지향해야 할 목표 방향을 제시하였다는 측면에서 실무적 시사점을 가진다.
셋째, 조직 구조 관점에 따른 집단의 차이가 개인의 정보보안 관련 인지에 다르게 영향을 미치는 것을 확인하였다. 즉, 수평적 집단이 수직적 집단보다 분배공정성, 개인조직 적합성의 평균이 높고 집단간 차이가 있는 것을 확인하였으며, 준수의도에는 수직적 집단이 수평적 집단보다 평균이 적게나마 높은 것을 확인하였다. 이론적 관점에서 결과는 조직 구조 유형에 따라 개인의 정보보안 인지의 차이가 발생한다는 것을 제시하였다는 측면에서 시사점을 가진다. 실무적 관점에서 정보보안에 대한 조직원의 의사결정에 대하여 조직의 구조적 특성이 영향을 주는 것을 확인하였기 때문에, 조직 특성을 감안하여 정보보안 전략을 수립해야 함을 제시하였다.
마지막으로, 개인의 정보보안 준수의도에 영향을 주는 요인들의 연관관계를 파악함으로써, 조직차원에서 수행해야할 접근 방향을 제시하였다. 즉, 분배공정성 – 개인조직 적합성 – 준수의도와 분배공정성 – 인지된 제재 - 준수의도간의 긍정적인 영향관계가 형성되는 모형임을 확인하였다. 즉, 이론적 관점에서 분배공정성이 준수의도에 영향을 주는 영향관계를 확인하였다는 측면에서 시사점을 가진다. 또한, 실무적 관점에서 개인의 정보보안 준수의도를 높이기 위한 선행조건을 제시하였다. 준수의도 향상을 위해 개인과 조직의 가치가 일치할 수 있도록 조직차원에서의 노력이 필요하며, 개개인이 정보보안에 대한 제재를 인지할 수 있도록 하는 것이 필요함을 밝혔으며, 조직 내 공정성이 형성될 때 가능함을 확인하였다. 따라서, 조직은 정보보안 행동 결과에 대한 공정한 배분을 위한 정책 도입 및 확산을 위한 노력을 함으로써, 개인의 자발적인 정보보안 준수의도 향상을 지원하는 것이 필요하다.
본 연구는 조직 특성을 구분하는 문화 요인(목표지향성, 조직 구조)을 기반으로 정보보안 준수의도에 영향을 주는 인지 요인들간의 집단 비교 분석과 영향관계를 확인하였다는 측면에서 시사점을 가지지만, 다음의 한계점을 가진다.
첫째, 연구는 연구 참여자 설문 당시의 생각을 기반으로 조직의 특성을 구분하도록 하였다. 보다 의미있는 집단 간 비교 분석을 하기 위해서는 객관적으로 조직의 특성을 구분할 수 있는 지표를 적용하는 것이 필요하다. 둘째, 조직의 특성 요인으로 목표지향성, 조직 구조를 제시하였다. 개인주의-집합주의, 업무 중심 조직-사람 중심 조직 등 보다 다양한 조직 문화요인이 심리학, 사회학 등에서 제시되고 있다. 향후, 보다 다양한 조직 특성 요인을 반영하여 정보보안 인지에 미치는 영향을 검토하는 것이 필요하다. 셋째, 정보보안은 개인의 심리적 행동에 영향을 받기 때문에, 조직의 특성과 개인의 특성이 결합하여 행동으로 반영된다. 본 연구는 조직의 특성을 중심으로 검토하였기 때문에, 향후 연구에서는 개인의 특성과 조직을 연계하여 분석함으로써, 보다 의미 있는 시사점을 제시하는 것이 필요하다. 즉, 앞으로 조직-개인의 심리적 관계에서 보다 높은 수준의 정보보안 준수 행동 요인을 찾기 위한 개인적 특성, 조직적 특성을 반영한 다양한 연구들이 진행된다면, 조직의 정보보안 준수 수준을 높이는 강력한 시사점을 제시할 수 있을 것으로 판단된다.
Acknowledgments
이 논문은 2018년 대한민국 교육부와 한국연구재단의 지원을 받아 수행된 연구(NRF-2018R1D1A1B07050305)로서, 관계부처에 감사드립니다.
References
- Grandviewresearch. Cyber Security Market Size, Share & Trends Analysis Report by Component, by Security Type, by Solution, by Service, by Deployment, by Organization, by Application, and Segment Forecasts, 2019 – 2025, 2019. Available: https://www.globenewswire.com, .
- Verizon. 2020 Data Breach Investigations Report, 2020. [https://doi.org/10.1016/S1361-3723(20)30059-2]
- B. Bulgurcu, H. Cavusoglu, and I. Benbasat, “Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and Information Security Awareness,” MIS Quarterly, Vol. 34, No. 3, pp. 523-548, 2010. [https://doi.org/10.2307/25750690]
- K. H. Guo, Y. Yuan, N. P. Archer, and C. E. Connelly, "Understanding Nonmalicious Security Violations in the Workplace: A Composite Behavior Model", Journal of Management Information Systems, Vol. 28, No. 2, pp. 203-236, 2011. [https://doi.org/10.2753/MIS0742-1222280208]
- J. Y. Son, “Out of Fear or Desire? Toward a Better Understanding of Employees’ Motivation to Follow IS Security Policies,” Information & Management, Vol. 48, No. 7, pp. 296-302, 2011. [https://doi.org/10.1016/j.im.2011.07.002]
- Q. Hu, T. Dinev, P. Hart, and D. Cooke, “Managing Employee Compliance with Information Security Policies: The Critical Role of Top Management and Organizational Culture,” Decision Sciences, Vol. 43, No. 4, pp. 615-660, 2012. [https://doi.org/10.1111/j.1540-5915.2012.00361.x]
- H. Lee, H. Kho, E. Roh, and K. Han, “A Study on the Factors of Experience and Habit on Information Security Behavior of New Services - based on PMT and UTAUT2,” Journal of Digital Contents Society, Vol. 19, No. 1, pp. 93-102, 2018.
- I. Hwang, “The Effect of Information Security Delivery Activities and Feedback on Work Impediment and Compliance Intention,” Journal of Digital Contents Society, Vol. 21, No. 9, pp. 1653-1663, 2020. [https://doi.org/10.9728/dcs.2020.21.1.1653]
- R. West, “The Psychology of Security,” Communications of the ACM, Vol. 51, No. 4, pp. 34-40, 2008. [https://doi.org/10.1145/1330311.1330320]
- D. VandeWalle, “Development and Validation of a Work Domain Goal Orientation Instrument,” Educational and Psychological Measurement, Vol. 57, No.6, pp. 995-1015, 1997. [https://doi.org/10.1177/0013164497057006009]
- O. Janssen and N. W. Van Yperen, “Employees' Goal Orientations, the Quality of Leader-Member Exchange, and the Outcomes of Job Performance and Job Satisfaction,” Academy of Management Journal, Vol. 47, No. 3, pp. 368-384, 2004. [https://doi.org/10.5465/20159587]
- I. C. Chadwick and J. L. Raver, “Motivating Organizations to Learn: Goal Orientation and its Influence on Organizational Learning,” Journal of Management, Vol. 41, No. 3, pp. 957-986, 2015. [https://doi.org/10.1177/0149206312443558]
- E. H. Schein, “The Role of the Founder in Creating Organizational Culture,” Organizational Dynamics, Vol. 12, No. 1, pp. 13-28, 1983. [https://doi.org/10.1016/0090-2616(83)90023-2]
- R. L. Daft, Management, The Dryden Press, New York, 2010.
- B. Ryu, “The Multi-level Analysis on the Causal Relationship among Organizational Structure, Organizational Culture, and Organizational Effectiveness,” Korean Review of Organizational Studies, Vol. 13, No. 1, pp. 33-62, 2016. [https://doi.org/10.21484/kros.2016.13.1.33]
- M. Aoki, “Horizontal vs. Vertical Information Structure of the Firm,” The American Economic Review, Vol. 76, No. 5, pp. 971-983, 1986.
- C. B. Meyer, “Allocation Processes in Mergers and Acquisitions: An Organizational Justice Perspective,” British Journal of Management, Vol. 12, No. 1, pp. 47-66, 2001. [https://doi.org/10.1111/1467-8551.00185]
- J. A. Colquitt, “On the Dimensionality of Organizational Justice: A Construct Validation of a Measure,” Journal of Applied Psychology, Vol. 86, No. 3, pp. 386-400, 2001. [https://doi.org/10.1037/0021-9010.86.3.386]
- J. W. Thibaut and L. Walker, Procedural Justice: A Psychological Analysis. Hillsdale, NJ: Lawrence Erlbaum Associates, 1975.
- Y. Xue, H. Liang, and L. Wu, “Punishment, Justice, and Compliance in Mandatory IT Settings,” Information Systems Research, Vol. 22, No. 2, pp. 400-414, 2011. [https://doi.org/10.1287/isre.1090.0266]
- I. Hwang and S. Kim, “A Study on the Influence of Organizational Information Security Goal Setting and Justice on Security Policy Compliance Intention,” Journal of Digital Convergence. Vol. 16, No. 2, pp. 117-126, 2018.
- A. L. Kristof-Brown, R. D. Zimmerman, E. C. Johnson, and B. Henry, “Consequences of Individuals’ Fit at Work: A Meta-Analysis of Person-Job, Person-Organization, Person-Group, and Person-Supervisor Fit,” Personnel Psychology, Vol. 58, No. 2, 2005, pp. 281-342. [https://doi.org/10.1111/j.1744-6570.2005.00672.x]
- K. J. Lauver and A. Kristof-Brown, “Distinguishing Between Employees' Perceptions of Person–Job and Person–Organization Fit,” Journal of Vocational Behavior, Vol. 59, No. 3, 2001, pp. 454-470. [https://doi.org/10.1006/jvbe.2001.1807]
- A. L. Kristof, “Person‐Organization Fit: An Integrative Review of its Conceptualizations, Measurement, and Implications,” Personnel Psychology, Vol. 49, No. 1, pp. 1-49. [https://doi.org/10.1111/j.1744-6570.1996.tb01790.x]
- S. Valentine, L. Godkin, and M. Lucero, “Ethical Context, Organizational Commitment, and Person-Organization Fit,” Journal of Business Ethics, Vol. 41, No. 4, 2002, pp. 349-360. [https://doi.org/10.1023/A:1021203017316]
- I. Hwang and S. Hu, “The Mitigation of Information Security Related Technostress and Compliance Intention,” The Journal of Information Systems, Vol. 29, No. 1, pp. 23-50, 2020.
- Y. Chen, K. Ramamurthy, and K. W. Wen, "Organizations' Information Security Policy Compliance: Stick or Carrot Approach?", Journal of Management Information Systems, Vol. 29, No. 3, pp.157-188, 2012. [https://doi.org/10.2753/MIS0742-1222290305]
- I. Hwang and H. Lee, “The Employee's Information Security Policy Compliance Intention: Theory of Planned Behavior, Goal Setting Theory, and Deterrence theory Applied,” Journal of Digital Convergence, Vol. 14, No. 7, pp. 155-166, 2016. [https://doi.org/10.14400/JDC.2016.14.7.155]
- S. Ha and H. Kim, “The Effects of User’s Security Awareness on Password Security Behavior,” Journal of Digital Contents Society, Vol. 14, No. 2, pp. 179-189, 2013. [https://doi.org/10.9728/dcs.2013.14.2.179]
- B. M. Dykman, “Integrating Cognitive and Motivational Factors in Depression: Initial Tests of a Goal-Orientation Approach,” Journal of Personality and Social Psychology, Vol. 74, No. 1, pp. 139–158, 1998. [https://doi.org/10.1037/0022-3514.74.1.139]
저자소개
2007년 : 중앙대학교 대학원 (경영학석사)
2014년 : 중앙대학교 대학원 (경영학박사)
2014년~2018년: (사)한국창업경영연구원
2018년~2020년: 한국산업기술대학교
2020년~현 재: 국민대학교 교양대학 조교수
※관심분야:IT 핵심성공요인(IT CSF), 디지털 콘텐츠(Digital Content), 정보보안(Information Security), 프라이버시(Privacy) 등
2006년 : 중앙대학교 심리학과(문학석사)
2012년 : 중앙대학교 심리학과(문학박사)
2008년 3월 ~ 현재: 중앙대학교 심리학과 강사
2020년 3월 ~ 현재: 블라인드 공채 채용심사 전문요원
※관심분야:정보문화, 융합연구, 고령화, 빅데이터, 채용경향, 공동체 분야 등