조직 내 정보보안 작업 복잡성과 경쟁적 분위기에 따른 정보보안 가치 차이의 영향

2-1 조직 내부의 보안 사고 유형 및 보안 준수 필요성

정보보안 사고는 발생 시 대상 조직 및 정보와 관련된 이해관계자들의 가치를 감소시키는 조건이다[5]. 정보보안 예방은 매우 중요한 관점이며, 조직들은 정보보안 관련 정책, 규정, 기술 등에 대한 투자를 높이는 추세이다[6]. 지금까지 조직들은 외부의 정보 침입의 방어를 위한 기술적 노력을 중점적으로 추진해왔다. 하지만, 전 세계적으로 드러난 정보보안 사고 유형을 기술적 침입과 사람에 의한 노출의 관점에서 살펴보면, 사람(내부자 및 파트너)에 의한 정보보안 사고는 매년 전체 사고의 20-30% 내외에서 발생하는 것으로 판명되고 있다[13]. 단 한 건의 정보 노출 사고가 기업의 가치를 감소시키는 것을 고려하면, 사람에 의한 정보 노출 가능성을 최대한 억제하기 위한 노력이 필요한 시점이다. 더욱이, 내부의 정보보안 사고 위협은 이해관계자의 조직의 정보시스템 활용이 증가할수록 커질 수 있다. 즉 조직의 정보에 대한 접근이 가능한 사람이 많아질수록 정보보안에 대한 관리 포인트는 많아진다. 실제로, 내부자의 정보보안 사고는 IT, 사무직, 영업직, 엔지니어 등 직무와 관계없이 발생했으며, 최고 경영층에서 말단 직원 등 다양하게 발생한 것으로 나타났다[13].

따라서, 조직이 내부의 정보보안 수준 달성을 위한 전략 수립을 위해서는, 조직원에 대한 정보보안 관리체계를 새롭게 수립할 필요성이 있다. 특히, 조직은 사람들의 자발적인 보안 준수 행동을 유발할 필요성이 있으며, 전략적 접근이 요구된다. 정보보안 준수 의도(Compliance Intention)는 집단의 정보를 외부의 침입에 의한 위협으로부터 보호하고, 정보 노출 등 오남용을 최소화하고자 하는 의지를 지칭한다[7,14]. 즉, 준수 의도가 형성된 사람은 자신이 속한 조직의 정보 자산을 능동적으로 보호하고자 하는 활동을 하고자 한다[1]. 이에 본 연구는 개인의 준수 의도에 부정적 영향을 주는 주요 조건으로 정보보안 가치 차이를 제시하고, 정보보안 환경과 업무 환경에 따라 정보보안 가치 차이의 부정적 영향이 어떻게 변화하는지를 확인하고자 한다.

2-2 정보보안 관련 가치 차이

가치(Value)는 특정 환경에서 대상자가 의사결정을 하도록 돕는 요인으로서[15], 개인에게 본인의 행동에 의미를 부여하도록 돕는 내적 동기이며, 집단에게는 집단이 추구하는 목적을 설명하는 조건이다[4]. 즉, 조직은 조직으로서 나가고자 하는 방향이 존재하며, 조직 이해관계자들이 조직의 추진 방향을 이해하고 따르기를 원하는데, 가치는 이러한 목적을 달성하도록 돕는 조건이다[12].

또한, 상호 교환관계에 있는 이해관계자들은 자신이 보유한 가치와 교환 대상자의 가치를 평가한다. 즉, 당사자들은 가치 일치(Value Congruence)의 수준을 평가하는데, 상호 간에 추구하는 가치의 적합성이 충분히 존재한다고 판단할 때, 상대방을 이해하고 믿음을 형성하여, 상대방과 교류를 하도록 돕는다[16]. 특히, 조직과 조직원의 관점에서 조직 내 구축된 가치 및 가치의 전달은 조직원으로 하여 조직을 신뢰하고, 조직에 대한 매력을 인식하도록 하여 조직과 함께 나아가고자 하는 의도를 가지게 한다[16]. 나아가, 가치는 조직과 관련된 이해관계자(파트너, 고객 등)가 조직을 이해하고 동질성을 가져, 연계된 활동을 지속하도록 돕는 역할을 한다[15].

반대로, 교환 대상자(조직, 사람) 간 가치가 다르거나 갈등을 일으키는 조건으로 인식될 경우, 부족한 가치는 상호 간에 믿음을 상실시키고 반대되는 행동을 추구하도록 돕는다[17]. 조직에서 가치 차이(Value Dissimilarity)는 개인이 가치 측면에서 자신이 조직과 다르다고 인식하는 수준을 의미한다[12]. 조직 환경에서 개인은 업무의 목표와 절차가 왜 수행되어야 하는지에 대한 신념이 존재해야 능동적인 행동을 일으키는데, 조직과 가치 차이가 발생할 경우, 개인은 조직의 요구사항을 수행하는데 주저할 가능성이 있다[18].

정보보안 활동과 관련하여, 조직이 추진하는 정보보안 가치에 대한 이해는 조직원에게 정보보안 활동의 필요성을 느껴, 자발적인 정보보안 활동을 하도록 돕는다. Lian[2021]은 조직의 정보보안 지원 도구의 유용성이 가치를 형성하여 정보보호 의도를 형성시킨다고 하였으며[4], Doherty and Tajuddin[2018]은 사용자 중심의 정보보안 준수 모델을 제시하면서, 조직이 보유한 정보에 대한 가치 인식과 정보보안 활동에 대한 가치 인식이 사용자 행동을 강화한다고 하였다[19]. 즉, 조직의 정보 자산에 대한 중요성 인식과 정보보안 활동을 위해 조직이 추진하는 활동에 대한 가치가 상호 연동될 때, 조직원은 정보를 보호하기 위한 의지를 보유하게 된다. 따라서, 조직은 정보보안 활동에 대한 가치를 구성원이 이해하고 동질감을 가질 수 있도록 지원하는 것이 요구된다.

2-3 정보보안 관련 작업 복잡성

조직에서 조직원은 주어진 특정 환경 또는 이해관계자의 요구사항에 대하여 자신이 어떻게 해결할 수 있을지 판단한다. 당사자는 자신이 확보한 정보, 경험 등을 기반으로 대처하지만, 본인의 정보 부족, 조직의 과도한 요구사항 등이 발생할 때 예상되는 결과를 정확하게 판단할 수 없어 부정적 감정을 발현할 수 있다[20,21]. 대표적인 행동의 과정, 결과 예측을 어렵게 하는 조건이 복잡성이다. 복잡성(Complexity)은 조직 내 업무, 특정 행동 등 대상에게 요구되는 행위의 양과 정보의 출처, 대상과 관련된 복잡한 지식의 묶음으로 설명되는데[22], 요구되는 행동의 양과 행동을 위해 확보해야 할 정보가 많아 심리적으로 복잡하다고 느끼는 수준을 의미한다[23]. 즉, 복잡성 감정은 조직에서 개인에게 부여된 과업의 양과 과업을 해결하기 위해 요구되는 많은 정보로 인하여 추가적인 시간과 노력을 추가해야 한다고 느껴, 심리적으로 부담감을 느끼는 상황을 의미한다.

조직에서 복잡성의 대상은 기술, 업무, 프로젝트 등 다양하게 존재한다. Tarafdar et al.[2008]은 기술 스트레스 요인 중의 하나로 기술 복잡성을 제시하였으며, 지속적인 기술 도입 등으로 복잡한 기술을 배우거나 다루는 능력이 부족한 상황이라고 하였다[24]. Zhang et al.[2022]는 프로젝트와 같이 특별한 업무에 대한 복잡성을 제시하였으며, 대상 과제의 양과 필요 정보의 양의 과다로 인하여 느끼는 복잡성으로 정의하였다[25]. 본 연구는 작업에 대하여 개인이 느끼는 심리적 부담감을 정보보안 분야에 적용한다.

정보보안 작업 복잡성(IS Task Complexity)에 대하여, 본 연구는 정보보안 관련 조직의 요구사항을 개인의 업무에 추가로 반영하는 상황에서, 정보보안 활동 요구사항의 양과 확보해야 할 정보의 수준이 다양하여, 업무에 적용하기 힘들다고 느끼는 수준으로 정의하였다. 즉, 엄격한 정보보안 규칙과 행동 규정 등으로 인하여, 기존 업무를 크게 변화시켜야 하거나, 추가적인 정보 확보에 어려움을 겪어, 정보보안을 반영한 업무수행에 불편함을 겪을 때, 복잡성이 높다고 느낄 수 있다.

특정 목적 달성에 필요한 활동이 복잡하다고 느낄 경우, 당사자는 활동을 회피하거나, 숨기려는 경향을 보인다. Zhang et al.[2022]은 팀 프로젝트 복잡성이 높아질수록 팀원들은 각각의 지식을 은폐하려 하고 프로젝트 성과를 감소시키는 원인이 된다고 하였다[25]. Tarafar et al.[2008]은 기술 불확실성이 포함된 기술 스트레스 원인은 업무 스트레스를 높여, 조직 내 개인의 업무 생산성을 감소시킨다고 하였다[24]. 정보보안과 관련하여 D’Arcy et al.[2014]는 과부하, 복잡성, 그리고 불확실성으로 구성된 정보보안 관련 스트레스 원인은 감정적 대처를 통해, 정보보안 회피 의도를 강화한다고 하였다[10]. 즉, 업무에 정보보안 작업을 부여 시, 개인이 복잡하다고 느낄 경우, 개인은 정보보안 준수 행동을 줄이고자 한다. 이에, 연구는 복잡성과 준수 의도 간의 관계를 확인하기 위한 가설을 수립하였다.

• H1: 정보보안 관련 작업 복잡성은 정보보안 준수 의도를 낮춘다.

또한, 조직 내 특정 활동에 대한 복잡성은 대상에 대한 가치 차이를 강하게 인식하도록 하여, 대상과 관련된 조직의 요구를 따르지 않으려는 경향을 보이도록 한다.

첫째, 개인에게 스트레스를 발생시킬 수 있는 조직 내 조건은 대상의 가치를 감소시킨다. Lv et al.[2021]은 갈등과 불신, 그리고 커뮤니케이션이 발생하지 않는 조직 조건이 강화될수록, 대인 간의 혜택 중심의 가치 인식을 감소시켜 부정적 업무 행동을 높이는 것을 확인하였다[26]. Semerci[2018]는 조직 내 업무 갈등과 역할 갈등으로 인하여 형성된 경쟁에 대한 인식은 개인의 가치와 차이를 일으켜 지식 은폐를 강화한다고 하였다[27]. Taradfar et al.[2008]은 기술 관련 갈등, 복잡성 등을 통합하여 기술 스트레스 조건으로 제시하였으며, 스트레스는 개인에게 부정적 영향을 주는 요인임을 확인하였다. 즉, 갈등, 복잡성과 같은 부정적 조건은 특정 대상에 대한 가치 차이를 발현시킬 수 있다.

둘째, 가치 적합성을 감소시키는 상황 및 그로 인한 가치 차이에 대한 인식은 조직의 가치 향상과 관련된 개인의 행동을 감소시킨다. Cooper[2013]는 팀의 가치 차이가 팀에 대한 동일시를 감소시키고 팀 학습 활동을 감소시키는 조건임을 제시하였으며[12], Hobman et al.[2003]은 조직에 대한 가치 차이 인식이 본인의 업무 및 관계 갈등을 일으키는 원인이라고 하였다. 정보보안과 관련하여[17], Hedström et al.[2011]은 정보보안에 대한 가치 차이 발생할 경우, 당사자의 정보보안 활동에 부정적 행동을 일으키는 조건임을 제시하였다[28]. 즉, 선행연구는 복잡성 등 스트레스 발현 환경이 대상에 대한 가치 차이를 발생시켜 부정적 행동을 일으킨다. 본 연구는 정보보안 관련 조직 복잡성이 조직원의 정보보안 가치 차이를 일으켜, 준수 의도에 부정적 영향을 미칠 것으로 판단한다. 이에, 연구는 복잡성, 가치 차이, 그리고 준수 의도 간의 매커니즘을 확인하기 위한 가설을 수립하였다.

• H2: 정보보안 관련 작업 복잡성은 정보보안 가치 차이를 높여, 정보보안 준수 의도를 낮춘다.
• H2a : 정보보안 관련 작업 복잡성은 조직원의 정보보안 가치 차이를 높인다.
• H2b : 정보보안 관련 가치 차이는 정보보안 준수 의도를 낮춘다.

2-4 조직의 경쟁적 분위기

조직에서 개인은 본인을 둘러싼 환경에 영향을 받으며, 환경과의 균형성을 유지함으로써 안정감을 느끼고자 한다[29]. 특히, 환경은 조직이 도입한 기술, 정책과 같은 업무에 적용해야 하는 업무적 환경 조건에서부터, 가치, 분위기와 같이 눈에 보이지 않으나, 오래전부터 구성원들이 수행해왔던 행동 방식 등과 같은 환경적 조건에 이르기까지 다양하게 존재한다[30].

경쟁적 분위기(Competitive Climate)는 집단 구성원들이 보상을 추구하기 위해, 주변 동료들과 비교된 성과를 적극적으로 활용하는 수준을 인식하는 것을 의미한다[29]. 경쟁심은 사람이 가지는 본질적 특성이기에, 개인은 특정 행동에 대한 물질적 보상 또는 목표 달성을 통한 만족감 등을 확보하고자 한다. 이에, 조직에서 개인은 자신의 목표 달성을 위해 경쟁을 통해 인센티브, 권력 등을 확보하고자 하므로, 경쟁적 분위기는 조직 전체의 성과에 긍정적 영향을 주는 조건이다[30]. 따라서, 현대 조직은 보상의 개념을 적극적으로 채용하고 있으며, 개인에게 부여된 목표 달성 수준에 따라 유무형의 보상을 위한 정책을 마련하고 있다. 하지만, 과도한 수준의 경쟁적 분위기는 조직 전체의 성과 달성을 위한 활동보다는 조직원 개인만의 관점에서 성과 창출을 위한 활동을 증가시키는 역할을 한다[31]. 즉, 경쟁적 분위기가 주변에 형성되고 동료 간의 상대적 비교가 지속할 경우, 개인은 조직 환경에 대처하기 위하여 본인 중심의 사고와 행동 방식을 결정하고 활동을 한다. 조직이 지속해서 성장하기 위해서는 개인 중심의 사고 이외에 집단적 사고가 필요한데 경쟁적 분위기는 이를 감소시키는 역할을 한다.

정보보안은 준수 행동에 대한 보상의 개념보다 미준수 행동에 대한 처벌의 개념을 적극적으로 반영할 수밖에 없다. 한 번의 실수로 인하여 노출된 정보는 기존에 준수를 통해서 얻은 성과보다 큰 문제를 일으킬 수 있어 보안 사고에 대한 경각심을 일깨우기 위한 강력한 제재가 뒤따르기 때문이다[8]. 경쟁적 분위기는 조직원에게 성과 창출을 위한 지식교류 행동과 정보보안을 위한 행동에 대한 딜레마를 인식하도록 할 가능성이 있다[5]. 즉, 성과 달성에 대한 경쟁이 심화할 경우, 개인은 성과 달성을 위해 행동 결과가 눈에 띄지 않는 정보보안 활동을 최소화할 가능성이 존재한다[32]. 정보보안 문화, 분위기 등 환경과 관련된 선행연구는 긍정적 환경이 구축되어 있을 때 준수 행동을 강화함을 제시해왔다. Xue et al.[2021]은 윤리적 리더십에 의해 형성된 조직 내 정보보안 준수 분위기는 조직원의 정보보안 정책 회피 의도를 약화하는 것을 확인하였으며[8], Lin et al.[2022]은 사람 중심 문화를 구축한 조직은 능동적인 보안 행동을 기대할 수 있음을 확인하였다[2]. 즉, 조직 환경은 개인의 특정 활동 변화를 기대할 수 있다. 본 연구는 선행연구를 기반으로 경쟁적 분위기와 정보보안 준수 의도 간에 부정적 영향 관계가 존재할 것으로 판단하며, 가설을 수립하였다.

• H3: 조직의 경쟁적 분위기는 조직원의 정보보안 준수의도를 낮춘다.

또한, 조직에 형성된 경쟁적 분위기는 관련된 업무, 요구사항과 관련된 활동에 부담감을 일으켜, 정보보안 관련 미준수 원인의 부정적 영향을 조절할 수 있다.

첫째, 분위기와 같은 조직의 환경 조건은 스트레스 조건인 복잡성과 행동 간의 관계를 조절한다. Peng et al.[2021]은 조직의 경쟁 환경이 심화할수록, 조직 내 대인 간 관계 갈등이 지식 은폐에 미치는 영향을 높일 수 있음을 지적하였다. 정보보안과 관련하여[31], Nasirpouri Shadbad and Biros[2021]은 정보보안 관련 갈등, 과부하, 모호성 조건으로 구성된 스트레스가 정보보안 정책 행동에 미치는 부정적 영향에 대해, 조직이 구축한 지원 환경을 통해 감소시킬 수 있다고 하였으며[9], Trang and Nastjuk[2021]은 정보보안 활동 준수에 소요 시간의 증가로 인한 스트레스가 미준수 행동에 미치는 영향을 조직 차원에서 설계한 정보보안 정책 준수를 위한 구조 체계(처벌, 보상)가 조절 효과를 가진다고 하였다[32]. 즉, 조직의 경쟁적 환경은 불안감 등을 일으킬 수 있는 특정 조건에 영향을 주어 행동의 변화를 일으킬 수 있다.

둘째, 경쟁적 분위기는 가치와 같은 내적 동기와 행동 간의 관계를 조절한다. Han et al.[2020]은 경쟁적 분위기가 개인의 지식 은폐 행동에 미치는 부정적 영향을 개인의 낙관주의가 감소시킨다고 하였으며[29], Vedadi et al.[2021]은 조직의 요구사항에 대한 정보 불확실성 환경에 의해 형성된 불확실성 인식은 정보 관리에 대한 자기효능감이 행동에 미치는 영향을 감소시킨다고 하였다[33]. Semerci[2019]는 지식 공유 활동에 있어 개인이 느끼는 지식 가치에 대한 인식은 갈등 상황이 지식 은폐에 미치는 영향을 조절하기 때문에, 갈등과 관련된 조직 환경의 변화가 요구됨을 지적하였다[27]. 즉, 분위기는 대상 목표에 대한 가치의 영향을 변화시킬 수 있다.

선행연구를 기반으로 본 연구는 경쟁적 분위기가 정보보안 관련 작업 복잡성과 가치 차이가 준수 의도에 미치는 부정적 영향을 각각 조절할 것으로 판단하고, 연구가설을 수립하였다.

• H4a: 경쟁적 분위기는 정보보안 관련 작업 복잡성이 정보보안 준수 의도에 미치는 영향을 조절한다.
• H4b: 경쟁적 분위기는 정보보안 관련 가치 차이가 정보보안 준수 의도에 미치는 영향을 조절한다.

3-1 연구 모델

본 연구는 조직 내부의 정보보안 준수에 부정적 영향을 주는 정보보안 관련 요인과 조직 업무 환경요인을 확인한다. 선행연구를 통해, 정보보안 관련 작업 복잡성, 가치 차이, 그리고 준수 의도 간의 매커니즘과 경쟁적 분위기의 영향 관계를 제시하였으며, 연구 모델로서 제시하였다<그림 1>.

Fig. 1.

Research Model

3-2 설계 및 데이터 수집

연구는 설문지 기법으로 확보한 요인별 설문 결과를 기반으로 가설을 검증하고자 한다. 또한, 연구가설은 주 효과에 대하여 AMOS 22.0 툴을 적용한 구조방정식 모형으로 검증하고, 조절 효과에 대하여 Process 3.1을 적용하여 검증한다.

이를 위해, 연구는 연구 모델에 제시한 요인과 관련된 선행연구로부터 다 항목 기반의 설문 문항을 확보하고, 정보보안 특성에 맞추어 재정리하였다. 또한, 도출된 설문 문항이 정보보안 관련자들에 적정한 설문인지를 확인하기 위하여, 경영학과 대학원에 다니는 직장인 10명을 대상으로 설문의 내용 타당성을 확인하였으며, 최종 수정 후 설문을 수행하였다. 요인별 설문 문항은 표 1과 같으며, 7점으로 구분된 등간 척도(1점: 매우 그렇지 않다. 4점: 보통이다. 7점: 매우 그렇다)를 적용하여 설문을 수행하였다.

Table 1.

Questionnaire Items

설문 대상은 정보보안 관련 정책을 구축하고, 구성원의 업무에 정보보안 규정을 적용하여 행동하도록 하는 조직의 근로자로 선정하였다. 선정된 대상을 정확하게 확보하기 위하여, 본 연구는 직장인 표본을 다수 보유하고 있는 M 리서치 기업을 통해 온라인 설문을 수행하였다. 특히, 연구는 온라인 설문 설계 시, 설문 대상에 적정한 표본을 확보하기 위한 작업을 하였다. 첫째, 응답자의 직업을 확인한 후, 직장인만 다음 설문에 참여하도록 하였으며, 정보보안 정책을 업무에 반영하고 있는지를 추가 확인한 후, 해당자만 본 설문에 참여하도록 하였다. 또한, 본 설문 시작 전 연구의 목적 통계적 활용에 대하여 다시 설명하였으며, 활용 방법에 대하여 허가한 사람만 설문을 수행할 수 있도록 하였다.

설문을 통해 확보한 유효 표본은 396건으로서, 표본의 특성은 표 2와 같다. 연구는 특히 설문 확보 시, 성별, 연령, 업종, 기업 규모를 다르게 확보했다. 성별과 연령은 비슷한 비율로 확보하였으며, 업종은 제조업과 서비스업이 3:7 수준으로 맞추었다. 그리고 기업 규모의 경우, 10인 미만 기업은 최대한 적게 받고자 하였는데, 정보보안 정책, 기술을 적용하고 있는 국내 기업의 경우 규모가 클수록 많아지는 특성을 고려하였다. 즉, 표본의 특성은 국내 산업 특성을 대체로 반영하였다고 판단된다.

Table 2.

Characteristics of Samples

4-1 신뢰성 및 타당성

본 연구는 설문을 통해 요인별 응답자의 인식을 확보하되, 각 요인은 다 항목 기반의 문항을 적용하였다. 따라서, 연구는 각 문항이 요인을 정확하게 구성하고 있는지 신뢰성과 타당성을 확인하였다.

첫째, 적용 요인에 대한 신뢰성 분석은 요인의 일관성을 측정하는 것으로서, 본 연구는 SPSS 21.0 툴을 활용하여 요인별 크론바흐 알파를 측정하여 신뢰성을 확인하였다. 크론바흐 알파는 요인별 0.7 이상의 값을 가질 때 신뢰성이 있다고 판단한다[34]. 연구 모델에 적용된 총 4개의 요인에 대한 크론바흐 알파 값은 표 3에 제시하였으며, 모든 요인에 대한 요구사항을 충족했다.

Table 3.

Reliability and Confirmatory Factor Analysis

둘째, 적용 요인에 대한 타당성 분석은 요인의 구성항목의 일관성을 확인하고, 요인 간에 차별성을 지니는지를 확인하는 것으로서, 본 연구는 AMOS 22.0 툴을 활용하여 확인적 요인분석 모형을 구조화하고, 집중 타당성(일관성 확인)과 판별 타당성(차별성 확인)을 확인함으로써 타당성을 측정하였다. 우선 확인적 요인분석은 구조모형을 적용하였으므로, 모형의 적합도를 확인하였다. 해당 모형의 적합도는 χ2/df = 1.465, RMSEA = 0.034, RMR = 0.041, TLI = 0.990, CFI = 0.993, GFI = 0.971, 그리고 AGFI = 0.953로 나타났다. 모든 적합도 요구 수치가 요구사항을 충족하였다<표 3>.

집중 타당성은 개념 신뢰도(CR)와 평균분산추출(AVE) 값을 구하는데, 선행연구는 개념 신뢰도 0.7 이상의 값을 요구하고 있으며, 평균분산추출 0.5 이상의 값을 요구한다[35].

연구 모델에 적용된 요인들의 집중 타당성을 확인한 결과는 표 4와 같다. 모든 요인이 개념 신뢰도와 평균분산추출에 대한 요구사항을 충족하였다. 더불어, 본 연구는 판별 타당성을 확인하였다. 판별 타당성은 요인 간의 차별성을 확인하므로, 상관계수와 평균분산추출을 상호 비교하여 확인한다. 즉, 평균분산추출의 제곱근 중 가장 작은 값이 요인들의 상관계수보다 클 때, 판별 타당성이 있다고 판단한다[35]. 결과는 표 4와 같으며, 판별 타당성에 대한 요구사항을 충족하였다.

Table 4.

Convergent Validity and Discriminant Validity

마지막으로, 본 연구는 공통방법편의 문제를 확인하였다. 연구는 설문지 기법으로 설문 대상자의 응답 당시의 정보보안에 대한 독립 변수와 종속 변수 등을 측정하였으므로, 응답의 편향 문제가 있을 수 있다. 공통방법편의 문제 확인은 여러 기법이 있으나, 본 연구는 일반적으로 활용되는 단일방법 요인 기법을 적용하였다. 해당 기법은 확인적 요인분석 구조모형에 단일 요인을 추가하되, 단일 요인을 측정 항목에 연결한 구조모형을 구하고, 두 모형 간의 측정치의 변화량으로 확인하는 기법이다[36]. 확인적 요인분석 모형과 단일 요인을 추가한 모형의 적합도 모두 요구사항을 충족하였으며, 두 모델 간의 측정치의 변화량이 0.3 이하로 나타났다. 즉, 공통방법편의 문제는 높게 나타나지 않아, 가설을 검증하였다.

4-2 주 효과 분석

주 효과 분석은 정보보안 작업 복잡성, 정보보안 가치 차이, 그리고 정보보안 준수 의도 간의 매커니즘을 확인하는 것으로서, AMOS 22.0 툴을 활용하여 경로 검증을 수행하였다.

주 효과 분석 또한 구조모델을 적용하였으므로, 적용 모형의 적합도를 확인하였다. 적합도 확인은 타당성 분석과 동일한 수치 및 기준을 적용하였으며, χ2/df = 1.893, RMSEA = 0.048, RMR = 0.083, TLI = 0.982, CFI = 0.986, GFI = 0.961, AGFI = 0.938로 나타났다. 비록, RMR은 요구사항인 0.05보다 약간 높으나, 그 외 수치들이 요구사항을 충족하였다.

Fig. 2.

Results of the Main Effect Tests

Table 5.

Results of Main Effect Tests

가설 1은 정보보안 작업 복잡성이 개인의 정보보안 준수 의도를 낮춘다는 것으로서, 경로계수(β)를 확인한 결과 유의수준 1%에서 통계적으로 영향 관계가 수립되는 것으로 나타났다(H1: β = -0.330, p < 0.01). 결과는 복잡한 정보보안을 적용할 때 느끼는 스트레스가 조직 몰입을 통해 준수 의도에 부정적 영향을 준다는 Hwang and Cha[2018] 연구와 유사한 것이다. 즉, 엄격하고 수준 높은 정보보안은 외부의 침입은 억제할 수 있으나, 내부자에게 부정적 감정을 일으킬 수 있으며, 조직이 요구하는 정보보안 활동에 대한 부정적 의도를 발현시킬 수 있음을 의미한다. 가설 2는 정보보안 작업 복잡성이 정보보안에 대한 가치 차이를 통해(H2a), 정보보안 준수 의도를 낮춘다(H2b)는 것으로서, 경로계수(β)를 확인한 결과 유의수준 1%에서 통계적으로 영향 관계가 수립되는 것으로 나타났다(H2a: β = 0.526, p < 0.01, H2b: β = -0.386, p < 0.01). 결과는 조직 내 갈등 및 불신의 상황이 조직원 간의 연계된 가치를 감소시켜 부정적 행동을 유발한다는 Lv et al.[2021] 연구와 유사한 것이다. 즉, 개인에게 복잡하거나 갈등을 발생시키는 조건은 관련된 행동에 대한 필요성 및 가치 차이를 발생시킬 수 있으며, 이렇게 발현된 가치 차이는 조직보다는 개인 중심의 행동을 추진하도록 도울 수 있음을 의미한다. 즉, 조직은 조직원을 고려한 정보보안 정책을 마련하고, 업무에 효과적으로 적용할 수 있는 지원 체계를 구축함으로써, 조직원들이 정보보안의 필요성과 가치를 인식할 수 있도록 지원하는 것이 요구된다.

가설 3은 조직 환경 요소인 경쟁적 분위기가 개인의 정보보안 준수 의도를 낮춘다는 것으로서, 경로계수(β)를 확인한 결과 유의수준 1%에서 통계적으로 영향 관계가 수립되는 것으로 나타났다(H3: β = -0.207, p < 0.01). 결과는 정보보안 준수 분위기가 정보보안 부정적 행동을 약화한다는 Xue et al.[2021] 연구와 역설적으로 유사성을 가진다. 즉, 긍정적 분위기와 같은 조직의 환경은 동질성을 중심으로 개인의 행동을 유발하는데, 경쟁적 분위기는 개인 중심의 사고를 유발하여, 정보보안 활동보다 본인 성과 중심의 행동을 유발할 수 있음을 의미한다. 따라서, 조직은 경쟁심을 유발하되, 팀 또는 조직 중심의 활동 또한 보상으로서 역할을 할 수 있도록 전략을 수립하는 것이 요구된다.

또한, 선행 요인의 결정력인 결정계수(R²)를 확인하였다. 정보보안 작업 복잡성은 정보보안 가치 차이에 27.7%의 영향을 주었으며, 정보보안 작업 복잡성과 정보보안 가치 차이는 정보보안 준수 의도에 53.4%의 영향을 주었다.

4-3 조절 효과 분석

가설 4는 경쟁적 분위기가 정보보안 관련 미준수 원인(작업 복잡성, 가치 차이)가 정보보안 준수 의도에 미치는 부정적 영향을 조절하여, 부정적 영향을 강화한다는 것으로서, 본 연구는 Hayes[2017]의 Process 3.1을 적용하였다. 세부적으로, Process 3.1의 모델 1을 적용하되 부트스트래핑 5,000과 신뢰수준 95%를 적용하였다. 경쟁적 분위기의 조절효과에 대한 분석 결과는 표 6과 같다.

Table 6.

Results of Moderating Effect of CC

가설 4a는 작업 복잡성과 경쟁적 분위기가 상호작용 효과를 가져 준수 의도에 영향을 준다는 것으로, 유의수준 1%에서 통계적으로 영향 관계가 수립되는 것으로 나타났으며, 가설 4b는 가치 차이와 경쟁적 분위기가 상호작용 효과를 가져 준수 의도에 영향을 준다는 것으로, 유의수준 1%에서 통계적으로 영향 관계가 수립되는 것으로 나타났다. 이에, 본 연구는 경쟁적 분위기의 조절 효과가 어떠한 방식으로 발현되는지 확인하기 위하여 Process 3.1의 단순 기울기 그래프를 제시하였다.

경쟁적 분위기는 작업 복잡성과 연계하여, 경쟁적 분위기가 높아질수록 정보보안 준수 의도를 감소시키는 것으로 나타났으며<그림 3>, 가치 차이와도 동일한 결과를 보여주는 것으로 나타났다<그림 4>. 즉, 정보보안을 업무에 반영하는 과정에서의 복잡성과 정보보안에 대한 가치 차이를 인식하는 과정에서 조직 내 업무적 환경이 경쟁성을 강화할 때, 개인은 정보보안 준수 행동보다, 본인 중심적 행동을 보일 수 있음을 시사한다. 따라서, 조직은 정보보안 복잡성을 감소시키는 노력과 동시에 경쟁적 분위기에 대한 조직원의 인식을 감소시키기 위한 노력을 함께 하는 것이 요구된다.

Fig. 3.

Results of Moderating Effect of CC(H4a)

Fig. 4.

RResults of Moderating Effect of CC(H4b)

5-1 연구의 요약

조직 내 비대면 기반 정보시스템의 활용이 지속해서 증가하면서, 내부자에 의한 정보 노출 가능성의 우려가 커지고 있다. 본 연구는 조직 내부자에 대한 정보보안 성과 달성은 심리적 접근 및 행동 개선에 있다고 보고, 조직원의 정보보안 준수 의도를 감소시키는 정보보안 미준수 원인과 조직 업무 환경요인을 제시하고자 하였다. 세부적으로, 연구는 정보보안 작업 복잡성, 정보보안 가치 차이, 그리고 경쟁적 분위기 환경이 정보보안 준수에 미치는 부정적 영향의 매커니즘을 확인하고자 하였으며, 조직의 경쟁적 분위기가 정보보안 준수 의도 감소 요인(작업 복잡성, 가치 차이)의 영향을 높이는 효과를 가지는 것을 확인하고자 하였다. 연구는 정보보안 정책을 조직 내 업무에 적용하여, 정보보안 활동을 요구하는 조직의 근로자들에게 설문을 수행했으며, 396개의 유효 표본을 활용하여, 주 효과 분석과 조절 효과 분석을 수행하였다.

주 효과 분석은 정보보안 작업 복잡성, 정보보안 가치 차이, 그리고 정보보안 준수 의도 간의 연계 매커니즘을 확인하는 것으로, 분석 결과 작업 복잡성이 개인의 정보보안에 대한 가치 차이를 높여, 준수 의도를 낮추며, 경쟁적 분위기가 준수 의도에 부정적 영향을 주는 것을 확인하였다. 조절 효과 분석은 조직의 경쟁적 분위기가 작업 복잡성과 가치 차이가 미치는 부정적 영향을 강화하는 것으로, 분석 결과 경쟁적 분위기는 작업 복잡성, 가치 차이와 각각 상호작용 효과가 있음을 확인하였으며, 작업 복잡성과 가치 차이의 부정적 효과를 더욱 강화하는 것으로 나타났다.

5-2 연구의 시사점 및 향후 연구

본 연구는 정보보안 미준수 조건과 업무 환경 조건이 개인의 정보보안 활동에 미치는 영향을 확인하였으며, 학술적 측면에서 다음과 같은 의미를 지닌다. 첫째, 본 연구는 정보보안 미준수 원인으로 작업 복잡성을 적용하였다. 복잡성 개념은 조직 및 사회학에서 중점적으로 다루던 요인으로서, 역할의 양과 필요 정보에 대한 과다 등으로 인하여 역할 수행에 어려움을 겪을 수 있음을 설명한다. 본 연구는 정보보안 활동이 가지는 특성과 복잡성을 연계하였는데, 정보보안은 기존 개인이 수행하던 업무에 추가로 수행해야 할 처벌적 활동 개념이므로, 당사자는 관련 활동 수행을 위해 추가적 정보를 확보해야 하며, 업무 프로세스를 개선해야 하는 어려움을 가질 수 있다. 복잡성은 해당 상황을 잘 설명할 수 있는 용어이며, 본 연구는 정보보안 작업 복잡성이 정보보안 준수 의도를 낮추는 요인임을 확인하였다. 따라서, 학술적으로, 정보보안에 대한 개인의 부정적 감정을 유발하는 요인인 복잡성을 제시한 측면에서 의미를 지닌다.

둘째, 본 연구는 정보보안을 업무에 반영하는 조직원의 관점에서 정보와 보안 준수 활동이 가지는 가치에 의해 행동 변화가 일어날 수 있음을 고려하고, 정보보안 가치 차이의 부정적 영향을 확인하였다. 정보보안 행동 관련 연구는 정보보안 동일시, 몰입과 같은 조직 관점에서 긍정적 행동을 강화하는 내적 동기 요인을 지속해서 연구해왔다면[6], 본 연구는 정보보안 요구로 인해 업무적 복잡성이 강화될 때, 정보보안에 대한 가치 차이가 발현될 수 있음을 고려하였다. 특히, 연구는 정보보안 가치 차이의 선행 요인(복잡성)과 결과를 복합적으로 확인한 관점에서, 선행연구로서의 시사점을 지닌다.

셋째, 본 연구는 조직의 업무적 환경이 개인의 정보보안 관련 준수 활동에 영향을 줄 수 있음을 확인하였다. 특히, 연구는 경쟁적 분위기의 형성이 가지는 부정적 효과를 고려하여, 정보보안 분야에 적용하였다. 즉, 경쟁적 분위기는 개인의 성과 창출에 기여하지만, 과할 때는 개인 중심의 행동을 유발하는데, 성과 창출을 위한 손쉬운 정보 공유 활동과 정보보호 관점에서 억제적 활동 중 개인은 정보보호 활동을 감소시킬 가능성이 존재할 것으로 판단하였다. 즉, 학술적으로 본 연구는 경쟁적 분위기가 개인의 정보보안 준수 의도를 감소시키는 것을 확인하였으므로, 단순히 정보보안 관련 문화 등 환경적 조건이 아닌 일반적인 조직 환경까지 고려된 요인을 제시한 관점에서 선행연구로서의 의미를 지닌다.

본 연구는 조직 내부의 정보보안 목표 달성에 반드시 요구되는 조직원의 보안 준수에 부정적 영향을 주는 조건을 다각적으로 확인한 관점에서 현실에서 조직 전략 수립에 시사점을 제언한다.

첫째, 본 연구는 정보보안 작업 복잡성 개념을 적용하여, 조직원이 느낄 수 있는 정보보안 활동의 부담감이 준수 행동에 어떠한 영향을 주는지를 확인하였다. 즉, 정보보안 작업 복잡성은 기존 업무에 정보보안을 반영함에 있어, 업무의 양과 관련 업무를 수행하는데 필요한 정보 등이 복합적으로 작용하여, 정보보안 활동의 어려움을 겪는 상황을 지칭한다. 조직이 엄격한 정보보안 정책과 규정을 수립하였지만, 조직 구성원들의 동의 또는 업무적 상황을 고려하지 않은 활동에 대한 요구사항이 증대될수록 조직원은 정보보안 작업 복잡성을 느끼게 되어, 정보보안 준수에 어려움을 겪게 된다. 따라서, 조직은 정보보안을 반영한 업무 수행과정에 대한 정확한 지침을 마련하고, 정보보안 교육 및 훈련 등을 통해 조직원이 느끼는 복잡성을 최소화하는 것이 요구된다.

둘째, 본 연구는 정보보안 가치 차이 개념을 적용하여, 조직이 추진하는 정보보안에 대한 가치가 본인의 가치와 차이가 존재할 때 발생 가능한 문제점을 확인하였다. 즉, 조직이 추진하는 정보보호에 대한 필요성과 가치가 본인의 업무 또는 활동에 도움이 되지 않거나, 정보보안 가치를 명확하게 이해하지 못할 때, 가치 차이가 발생할 수 있는데, 정보보안 가치 차이는 정보보안 관련 행동을 하지 않도록 하는 조건이 된다. 특히 본 연구는 가치 차이가 발생하는 원인으로, 정보보안 작업 복잡성에 있음을 지적하였는데, 과도하거나, 사전 정보가 부족한 정보보안 요구사항은 개인에게 복잡함을 형성하여, 정보 관리의 가치를 상실하도록 돕는 조건이 됨을 확인하였다. 따라서, 조직은 정보보안 활동의 필요성과 활동을 통해 얻을 수 있는 혜택 등 가치를 조직원이 명확하게 이해할 수 있도록 지원하는 것이 요구되며, 특히, 정보보안 활동에 필요한 사전 정보와 수준을 체계적으로 제공함으로써, 정보보안 가치를 이해할 수 있도록 하는 것이 필요하다.

셋째, 본 연구는 조직 업무 환경 요소가 조직원의 정보보안 활동에 영향을 주는 조건임을 제시하였다. 특히, 경쟁적 분위기는 개인 중심의 사고 및 성과 창출 행동을 강하게 유발하는 조건인데, 정보보안과 연계하여 준수 행동에 부정적 영향을 미치는 환경적 조건임을 확인하였다. 따라서, 조직은 경쟁심이 가지는 긍정적 효과를 유지하되, 조직 전체를 위한 활동이 개인에게 주어지는 보상과 혜택에 도움이 될 수 있도록 인적 자원 전략을 수립하는 것이 필요하다. 즉, 개인에게 주어진 본연의 업무 성과 달성을 위해서, 당사자는 정보보안 활동을 의도적으로 회피할 수 있는데, 보상 체계가 조직 전체를 위한 활동으로 확장될 경우, 이러한 경쟁적 행동을 감소시킬 수 있을 것으로 판단된다. 또한, 경쟁적 분위기는 정보보안 미준수 원인(복잡성, 가치 차이)이 준수 의도에 미치는 부정적 영향을 강화하는 조절적 요인임을 확인하였다. 즉, 개인이 느끼는 정보보안 관련 행동 조건이 업무적 환경과 떨어져 있는 것이 아님을 제시하므로, 조직은 정보보안 목표 달성을 위해, 조직원의 업무 환경을 함께 고려하는 것이 요구된다.

본 연구는 정보보안 미준수 원인을 설명하는 매커니즘을 체계적으로 제시하였으나, 다음의 연구적 한계를 가지며 향후 보완될 필요성이 있다. 첫째, 본 연구는 설문지 기법을 적용하여 연구가설을 검증하였다. 특히, 응답자가 조직의 정보보안 상황과 개인의 특성에 대한 인식을 측정하여 결론을 제시하였다. 즉, 연구는 조직 특성에 대하여 개인 인식을 기반으로 측정하였다. 비록 표본의 양에 문제는 없으나, 경쟁적 분위기와 관련된 조직 특성을 명확하게 파악하기 위해서는 분위기 특성에 따른 집단 분석이나, 조직 정보보안 지원 수준에 대한 집단 분석 등을 통해 개인의 행동 변화를 측정한다면, 관련된 조직 특성별 차별화된 결론을 제공할 수 있을 것으로 판단한다. 둘째, 본 연구는 정보보안 복잡성과 가치 차이 관점의 부정적 조건을 제시하고 영향 관계를 파악하였다. 하지만, 본 연구는 조직에서 개인의 권한, 위치 등 특성의 차이를 고려하지 않았으며, 개인이 특정 문제를 해결하는데 적용되는 차별적 특성을 반영하지 않았다. 즉, 개인이 가지고 있는 환경적 차이점과 개인의 문제에 대한 대처의 차별성 등은 행동의 변화를 일으키는 중요한 조건이다. 따라서, 향후 연구에서 개인차 변인을 활용하여 정보보안 행동 변화를 연구한다면, 개인 맞춤형 전략 수립에 도움을 줄 것으로 기대한다.