Korea Digital Contents Society

Current Issue

Journal of Digital Contents Society - Vol. 25 , No. 2

[ Article ]
Journal of Digital Contents Society - Vol. 23, No. 5, pp. 965-976
Abbreviation: J. DCS
ISSN: 1598-2009 (Print) 2287-738X (Online)
Print publication date 31 May 2022
Received 11 Apr 2022 Revised 12 May 2022 Accepted 23 May 2022
DOI: https://doi.org/10.9728/dcs.2022.23.5.965

정보보안 관련 조직 공정성이 조직원의 자기결정성을 통해 제언 행동에 미치는 영향
황인호
국민대학교 교양대학 조교수

The Effect on IS Related Organizational Justice on IS Voice Behavior Through Self-determination of Employees
In-ho Hwang
Assistant Professor, College of General Education, Kookmin University, Seoul 02707, Korea
Correspondence to : *Inho Hwang Tel: +82-02-910-5794 E-mail: hwanginho@kookmin.ac.kr


Copyright ⓒ 2022 The Digital Contents Society
This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-CommercialLicense(http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

초록

정보가 조직의 핵심 자산으로 인식되면서, 많은 조직이 정보보안 정책 및 기술에 대한 투자를 높이고 있다. 하지만, 조직의 정보보안 사고는 조직 외부의 기술적 침입, 내부의 정보 노출 등 다양한 형태로 발생하는 상황이다. 본 연구는 조직 내부자에 대한 조직의 정보보안 전략에 주목하며, 정보보안 분야에 조직 공정성과 자기결정성, 그리고 제언 행동 간의 매커니즘을 제시한다. 본 연구는 선행연구를 기반 연구 모델을 도출하였으며, 정보보안을 업무에 적용하고 있는 조직원을 대상으로 설문을 하였다. 또한, 453개의 표본을 활용하여 구조방정식을 적용하여 가설을 검증하였다. 분석 결과, 정보보안 관련 공정성이 자기결정성 동기 유형인 내재적 동기와 외재적 동기(동일시 규제, 내사된 규제, 외부 규제)를 통해 제언 행동을 높이는 것으로 나타났다. 본 연구는 조직원의 이타적인 제언 행동을 높이는 동기 및 조직의 환경적 조건을 제시함으로써, 조직 내부의 정보보안 목표를 달성하는데 기여한다.

Abstract

As information is recognized as an organization's primary asset, many organizations are increasing their investment in IS(information security) policy and technology. However, an organization's IS incidents occur through various routes, such as external technical intrusion and internal information exposure. This study focuses on the organization's IS strategy for organizational insiders, suggests a mechanism between organization justice, self-determination, and voice behavior in the field of IS. We derived a research model based on previous research, and surveyed the employees of the organization who are applying IS to their work. In addition, we tested the hypothesis by applying structural equations using 453 samples. As a result of the analysis, IS organization justice increased voice behavior through intrinsic and extrinsic motivations (identity regulation, implicit regulation, external regulation). Our results contribute to achieving the internal IS goal of the organization by suggesting the motivation of employees' behavior and support factors of the organization.


Keywords: Information security, Voice behavior, Organization justice, Intrinsic motivation, Extrinsic motivation
키워드: 정보보안, 제언 행동, 조직 공정성, 내재적 동기, 외재적 동기

Ⅰ. 서 론

정보보안이 조직의 핵심 성장 가치로 인식되면서, 조직들은 자사의 핵심 정보 자산 보호를 위한 투자를 높이고 있다. 글로벌 조직들은 정보보안 국제 표준(ISO/IEC 27001)을 획득하고 있으며, 국내 조직들은 정보보호 관리체계 인증을 확보하거나, 자체 정보보안 정책 및 기술을 도입하는 등의 노력을 하고 있다. 실제로 정보보안 시장은 연평균 10%씩 성장하고 있으며, 2027년에는 3,264억 달러에 달할 것으로 예측된다[1].

하지만, 조직의 정보보안에 대한 투자에도 불구하고, 정보보안 사고는 다양한 형태로 발생하고 있다. Verizon[2020]에 따르면, 전 세계 정보보안 사고의 60-70%는 매년 해킹, 멀웨어 등과 같이 기술적으로 조직 정보자원을 탈취하려는 형태로 발생하고 있으며, 그 외 정보보안 사고의 30-40%는 매년 고의적 또는 비고의적 차원에서 조직 내부자 의해 노출되는 형태로 발생하고 있는 것으로 나타났다[2]. West[2008]는 정보보안 중 기술적 측면의 위협은 조직 차원의 엄격한 보안 기술 도입을 통해 어떻게든 해결할 수 있으나, 내부자에 의한 정보 노출의 위협은 사람의 심리적 측면에 기댈 수밖에 없으므로, 장기적으로 큰 위협 요인이라고 보았다[3].

조직 내부자의 정보보안 준수 강화를 위한 선행연구는 개인의 심리적 보안 인식 및 동기를 강화함으로써, 정보보안 준수 행동을 향상할 수 있다고 보고 있다. 외재적 동기의 개념인 처벌, 제재에 대한 심각성과 명확성이 조직원의 정보보안 참여를 이끌 수 있다고 본 연구[4,5], 정보 노출에 따른 위협 요인에 대한 두려움과 개인의 대처 인식이 당사자의 긍정적인 정보보안 준수 행동으로 이끌 수 있다고 본 연구[6,7], 인간의 합리성에 기대어, 정보보안 준수에 따른 혜택과 비용을 합리적으로 고려하여 행동 수준을 결정한다는 연구 [8,9] 등이 대표적이다. 최근에는 정보보안 정책 준수의 책임성 강화가 조직원의 스트레스를 발현시켜 오히려, 정보보안 미준수 행동을 강화할 수 있음을 제시한 연구도 제시되고 있다[10]. 관련 연구는 조직원의 긍정적 보안 행동을 향상하거나, 감소하는 개인의 조건을 제시한 측면에서 높은 시사점을 가진다. 하지만, 정보보안에 대한 조직원의 동기 관련 선행연구는 단편적 동기 형태에 초점을 맞추어 왔다. 선행연구는 정보보안에 대한 내재적 동기 또는 외재적 동기에 대한 개별적 조건을 제시하거나, 조직의 정보보안 환경 조건(정책, 문화, 훈련 등)에 대한 방향을 중점적으로 제시해왔다.

하지만, 조직에서 개인의 정보보안 행동은 조직의 보안 환경에서 복합적으로 동기를 형성하여 행동으로 전환되는데[11], 정보보안 관련 외적 요인에 의해 개인의 정보보안 행동을 설명하는 다양한 동기적 원인을 설명하는 연구는 부족한 상태이다.

본 연구는 인간은 유기체로서 성장을 추구하며, 외적 환경에 대한 행동 동기를 가지게 된다는 자기결정성 이론(Self-determination Theory)에 주목한다. 자기결정성 이론은 조직이라는 환경이 요구하는 특정 상황에 대하여 사람이 어떻게 내재화하여 동기를 형성하고, 행동으로 이어지는지를 설명하는 이론이다[11,12]. 즉, 자기결정성 이론은 조직에서 개인의 행동 변화에 대한 다양한 동기(내재적 동기, 외재적 동기)를 체계적으로 설명한다. 특히, 사람은 복합적인 동기 조절을 통해 행동을 결정한다고 본다[13].

즉, 본 연구는 조직원의 정보보안 준수 행동을 강화하기 위한 조직의 노력이 보상, 처벌과 같은 외재적 압력 요인도 존재하지만, 조직원의 정보보안에 대한 가치와 같은 내재적 동기를 강화하기 위한 노력도 복합적으로 포함된다고 보고, 자기결정성 이론에서 제시하는 개인의 자율적 선택 의지를 위한 동기 유형(내재적 동기, 동일시 규제, 내사된 규제, 외적 규제)을 정보보안에 반영하여, 정보보안 준수에 대한 복합적 행동 동기를 제시하고자 한다. 또한, 개인의 정보보안 행동이 단순히 본인의 긍정적 행동 전환도 중요하지만, 정보보안 성과 달성에 필요한 개인들의 능동적 의견 개진과 관련된 행동도 중요하다고 보고, 정보보안 제언 행동을 반영한다. 즉, 자기 결정성 동기 조절 유형(내재적 동기, 동일시 규제, 내사된 규제, 외적 규제)이 제언 행동에 미치는 영향을 확인한다. 마지막으로, 본 연구는 자기결정성 동기 조절 유형을 높일 수 있는 조직 환경 조건으로 공정성을 제시한다. 조직 공정성은 조직 내 조직원의 자기결정성을 높일 수 있는 대표적인 조직 노력 요인으로서, 정보보안과 관련된 조직 전반의 공정함에 대한 노력이 정보보안에 대한 능동적 의사결정 동기 형성에 어떠한 영향을 미치는지 확인한다.

본 연구는 다음의 절차를 통해 연구를 수행한다. 첫째, 선행연구를 통해 연구가설을 설정한다. 둘째, 데이터 측정 및 수집 방법을 제시하고, 확보된 표본의 특성을 제시한다. 셋째, AMOS 22.0을 활용한 구조방정식 모형 기반의 통계적 검증을 수행한다. 마지막으로, 연구 결과에 대한 시사점 및 향후 연구 방향을 제언한다. 해당 절차를 통해 도출된 연구 결과는 조직에서 조직원의 이타적인 정보보안 노력에 미치는 복합적 동기 요인을 확인하고, 내부자의 정보보안 수준 달성을 위해 필요한 조직의 노력 조건을 제시한다. 즉, 연구는 조직 내부의 보안 목표 달성에 필요한 조직원의 동기적 개선 방향과 조직원에 대한 조직의 지원 체계에 대한 논의를 통해, 자기결정성 관점의 정보보안 연구의 학술적 시사점과 조직 행동 관점의 실무적 시사점을 제언할 것으로 기대한다.


Ⅱ. 선행연구 및 가설설정
2-1 정보보안 제언 행동

코로나 19사태는 기업 내 사회적 활동을 강제로 최소화시키고 있다. 즉, 강력한 바이러스는 조직원의 연계 활동, 즉 업무적 미팅, 정보 공유 활동, 유대감 형성 활동 등을 억제하였으며, 재택근무와 같은 비대면 업무 방식을 강제하고 있다. 이에, 많은 기업이 온라인 미팅 솔루션과 같은 최신의 정보기술을 활용하여 연계 활동 억제로 인하여 발생 가능한 효율성 문제 등을 해결하고자 하고 있다. 하지만, 정보시스템에 대한 높은 수준의 접근 가능성은 조직 정보보안 관점에서 위협 요인으로 작용한다[9]. 즉, 내부자에 의한 정보 자산 노출은 내부자의 직무, 직위와 큰 관련이 없다. 내부자가 물리적, 가상적으로 조직의 정보시스템에 접근할 수 있으면, 마음만 먹으면 언제든, 어디서든 정보 자산 노출 사고를 일으킬 수 있다[10]. 실제로, 조직의 정보보안 사고 중 내부자에 의한 정보 자산 노출 사고는 IT 부서 직원 외에 사무직, 엔지니어 등 다양한 직무에서 발생했으며, 최고 경영자에서부터 일반 사무직 직원까지 다양한 직위에서 발생했다[2].

따라서, 내부의 정보보안 사고 위협을 최소화하기 위해서는 구성원들의 능동적인 정보보안에 대한 준수 의지와 행동이 요구된다[8]. 정보보안 준수 행동을 업무에 반영하는 당사자에게 있어, 정보보안은 기존 업무에 추가적인 활동을 요구하는 성격이 강하다[3]. 또한, 정보보안 정책은 개인들의 보안 준수에 따른 보상보다 미준수에 따른 처벌의 개념으로 설계되어 있어, 언제든 회피할 수 있다는 의지만 있다면 회피 행동으로 변화할 수 있는 특정을 가진다[5]. 따라서, 조직 내부의 정보보안 목표 달성을 위해서는 내부자들의 자발적이고 이타적인 마인드 기반의 준수 행동이 요구된다[7].

이러한 관점에서 본 연구는 조직원의 정보보안 행동과 관련하여 기존에 적용되었던, 본인 스스로 보안 행동을 수행할 것이라는 정보보안 준수 행동 요인을 넘어서 동료들에게 정보보안 정보를 제공하고 지원하는 개념인 정보보안 제언 행동(Information Security Voice Behavior)을 적용하고자 한다. 제언 행동은 개인의 특정 상황 내 직면한 문제의 해결을 위해서 건설적으로 자신의 의견을 개진하는 행동을 지칭한다[14]. 즉, 조직 구성원으로서의 제언 행동은 자신이 조직으로 받은 특정 역할의 목표 달성을 위하여 능동적인 의견 개진과 긍정적 조건을 강화하기 위한 표현적 행동을 포함한다[15,16]. 정보보안 관점에서 제언 행동은 조직 내 구축된 보안 정책 및 규정에 기반해 요구되는 활동에 있어 조직 전체의 보안 목표에 부정적 영향을 줄 수 있는 상황 또는 이슈를 과감하게 제시하고 개선 의견을 개진하는 행동으로서[10], 제언 행동이 많아질수록 내부의 정보보안 목표 달성을 위한 조직 전체의 노력 수준이 높아진다. 따라서, 본 연구는 정보보안 제언 행동 강화를 위한 동기 및 해당 동기 강화 방안을 찾기 위하여 자기결정성 이론과 조직 공정성 이론을 접목하고, 요인 간의 영향 관계를 확인함으로써 시사점을 제언한다.

2-2 정보보안 관련 자기결정성

특정 환경에서 사람의 행동 동기를 설명하기 위한 연구는 심리학, 사회학 등을 중심으로 환경 및 조건별 특성에 따른 개인의 동기 변화가 일어날 수 있다는 관점에 주목했다. 이중, 자기결정성 이론(Self-determination Theory)은 공동체 환경에 대한 개인의 행동 원인을 체계적으로 설명하는 이론으로서[11], 유기체로서의 사람이 어떻게 환경에 대처하는 내재화된 감정 및 동기를 형성하여 행동으로 이어지는지를 제시한다[12,17].

자기결정성 이론은 조직과 같은 외부의 요구사항에 대해 스스로 선택할 수 있는 능력을 갖추게 될 때, 다양한 긍정적 동기(내재적, 외재적 동기)를 형성하고 행동으로 이어지는 매커니즘을 제시해왔다. 특히, Ryan and Deci[2000]는 개인의 자발적 의지와 선택을 도출하기 위한 내재화 과정에 필요한 동기를 단순히 일차원적 동기로 발현되는 것이 아니라, 다차원적 동기에 기반해 내재화하여 행동으로 이어진다고 보았다[11]. 그들은 개인의 선택에 영향을 주는 동기의 조절 유형은 내재적 동기와 외재적 동기(동일시 규제, 내사된 규제, 외적 규제, 통합된 규제)로 다양하게 존재하며, 개인의 행동은 내재적 동기와 외재적 동기를 다각적으로 받아들임으로써 내재화된다고 보았다[11]. 일례로, 학교에서 학생들의 학습은 단순히 흥미 중심의 내재적 동기만 행동으로 이어지는 것이 아니다. 즉, 학교 및 교육자가 제공하는 외재적 동기 측면에 의해, 흥미롭지는 않으나 중요하므로 학습을 해야겠다는 당사자의 자발적 의지와 선택을 할 수 있다는 점은 자기결정성 동기적 요인이 다양하게 존재할 수 있음을 증명한다[18]. 이후 관련 연구들은 통합된 규제는 현실적으로 검증되기 어렵다는 측면에서 외적 규제와 통합되는 경향을 보이고 있다[18,19].

본 연구는 정보보안 관련 환경에서 조직원의 정보보안 행동에 대한 자발적 의지 및 선택을 도출하기 위한 동기화의 조건을 확인하고, 동기를 강화하는 조건을 제시하는 것에 목적을 두고 있다. 이에, 본 연구는 최근 자기결정성 이론에서 중점적으로 활용하는 네 가지의 동기 조절 유형(내재적 동기, 동일시 규제, 내사된 규제, 그리고 외적 규제)을 정보보안 분야에 적용한다.

첫째, 내재적 동기(Intrinsic Motivation)는 자율적 동기의 유형으로서, 내재적으로 동기가 부여된 행동은 요구된 것을 수행함으로써 파생되는 즐거움이나 자기만족을 얻기 위해 참여하는 행동을 지칭한다[11]. 즉, 행동에 대한 의도가 없고 자신이 왜 그러한 행동을 하지는지 알지 못하는 동기 부여를 의미한다[12]. 정보보안과 관련하여, 내재적 동기는 조직원의 개인적 흥미로서 정보보안 행동을 보이는 조절 유형을 의미한다[20].

둘째, 동일시 규제(Identified Regulation)는 자율적 동기에 해당하는 외재적 동기로서, 동일시 규제로서 동기가 부여된 행동은 개인은 활동을 수행하는 동안 선택을 하지만, 특정한 압력에 굴복하였기 때문에 해당 활동에 흥미를 보유하지 못하는 상황을 지칭한다[11]. 즉, 특정 활동에 대한 목적, 가치 등에 대한 중요성을 인식하여 선택하나 해당 목적, 가치 등은 외부로부터 받은 동기 부여이다[12]. 정보보안과 관련하여, 조직원에게 정보보안은 흥미롭지 않지만, 조직으로부터 부여된 목적과 가치를 통해서 행동의 필요성을 인식한 경우를 의미한다[20].

셋째, 내사된 규제(Interjected Regulation)는 통제적 동기의 유형으로서, 내사된 규제로서 동기가 부여된 행동은 특정 행동이 수행되도록 불안과 같은 내적인 강제를 부여받아 행동으로 이어진 것을 의미한다[11]. 즉, 내사된 규제는 외부의 압력이 개인에게 압박감으로 이어지도록 함으로써 행동하도록 하는 것이다[12]. 정보보안과 관련하여 내사된 규제는 정보보안 행동 이유를 외부로부터 찾아 미준수 행동에 대한 수치심 등을 회피하기 위한 경우를 의미한다[20].

마지막으로, 외적 규제(External Regulation)는 통제적 동기의 유형으로, 보상을 얻거나 처벌과 같은 회피하기 위하여 행동으로 이어진 것을 의미한다[11]. 즉, 외적 규제는 자기결정적 선택보다는 외부의 조건에 대한 선택으로서, 행동 결과의 이익을 고려한 수단으로서의 동기를 의미한다[12]. 정보보안과 관련하여 외적 규제는 미준수 행동 시 발생 가능한 처벌에 대한 심각성이나 준수 행동 시 제공되는 특정한 보상 등에 의해 발현되는 행동 상황을 의미한다[20].

개인의 자발적 의지와 선택을 도출하기 위한 자기결정성 조절 동기는 개인에게 특정한 만족도를 형성하거나, 조직과 함께하고자 하는 긍정적 행동을 형성시키는 조건이다. Nie et al.[2015]은 조직 차원에서 조직원의 자율적 행동의 분위기 지원이 당사자의 내재적 동기와 외재적 동기(동일시 규제, 내사된 규제, 외적 규제)를 복합적으로 형성시켜 직업 만족도를 높이고 업무 스트레스를 감소시키는 조건임을 확인하였으며[19], Gagné and Deci[2005]는 업무 환경과 개인차 요인에 의해 형성된 자율성 기반의 업무 동기는 개인의 웰빙 및 조직 신뢰 및 몰입 및 성과 달성에 영향을 줄 수 있음을 제시하였다[12]. Tandon et al.[2020]은 사람들의 식품 선택은 내재적 동기와 외재적 동기(동일시 규제, 내사된 규제, 외적 규제)가 복합적으로 형성되어 태도를 형성하고 구매 행동으로 이어짐을 확인하였다[21]. 정보보안 관점에서, Mernard et al.[2017]은 조직원이 정보보안 관련 행동을 스스로 결정할 수 있다는 자기결정성 관련 능력인 자율성, 역량, 그리고 관계성이 정보보안 행동 의도를 형성시키는 것을 확인하였다[6]. 즉, 정보보안 관련 조직원의 자기결정과 관련된 복합적 동기의 형성은 정보보안 관련 제언 행동에 긍정적 영향을 줄 것으로 판단한다. 이에, 본 연구는 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외적 규제로 세분화하여 제언 행동과의 영향 관계를 확인하고자 한다.

  • H1: 정보보안 관련 자기결정 동기 유형은 정보보안 제언 행동에 긍정적 영향을 준다.
  • H1a : 정보보안 관련 내재적 동기는 정보보안 제언 행동에 긍정적 영향을 준다.
  • H1b : 정보보안 관련 동일시 규제는 정보보안 제언 행동에 긍정적 영향을 준다.
  • H1c : 정보보안 관련 내사된 규제는 정보보안 제언 행동에 긍정적 영향을 준다.
  • H1d : 정보보안 관련 외적 규제는 정보보안 제언 행동에 긍정적 영향을 준다.
2-3 정보보안 조직 공정성

조직 공정성(Organization Justice)은 조직과 개인 간의 공정함(Fairness)에 대한 인식과 인식에 대한 행동적 반응이다[22]. 조직 공정성은 기본적으로 조직 내 개인은 조직으로부터 제공된 상대적 공정한 수준에 가치를 둔다는 것을 가정한다[23]. 일찍이, Adams[1965]는 분배의 관점에서 공평성을 설명하면서, 교환관계에 있는 이해관계자는 교환 시, 자신과 유사한 행동 및 결과를 받은 비교 대상을 선정하고 상대적 박탈감과 상대적 만족을 통해 비교함으로써 공정 수준을 결정한다고 보았다[24]. 즉, 공정함은 분배에 있어서 개인이 느끼는 상대적 차별성 수준에서 형성되는데, 분배가 유사 사례와 비슷하게 발생할 때 공정하다고 판단한다[25].

최근 조직 공정성 관련 연구들은 행동 결과에 대한 형평성의 원칙뿐만 아니라, 결과를 도출하는 과정 또한 공정성의 영역임을 제시하고 있다[23]. 즉, 행동 결과의 분배가 공정하기 위해서는 특정 행동이 균형 있게 발생할 수 있도록 절차와 정보 등이 공정하게 제공되어야 함을 지적하였으며, 연구 별 조금씩 차이가 있으나, 절차 과정의 중요성을 강조한 절차적 공정성, 행동을 위한 사전 정보가 올바르게 제공되어야 함을 강조한 정보 공정성 등을 세분화하여 제시하고 있다[4]. 최근에는 조직에 대한 개인들의 공정성 평가는 절차 공정성, 분배 공정성 등에 대하여 개별적으로 평가하는 것이 아니라, 종합적으로 고려하여 조직에 대한 공정성을 인식한다고 보는 연구도 제시되고 있다[22]. 본 연구는 조직 공정성에 대한 통합적 접근이 필요하다고 판단되어, 전반적 조직 공정성을 적용한다. 정보보안과 관련하여 조직 공정성은 조직원의 정보보안 준수 행동을 높이도록 돕는 선행 요인이다. Xue et al.[2011]은 정보보안에 대한 처벌의 명확성이 조직 공정성을 확립한다고 보았으며, 처벌이 조직 공정성을 통해 정보보안 준수 의도를 높이는 것을 확인하였다[4]. Alshare et al.[2018]은 정보보안 절차 공정성, 정보 공정성, 그리고 분배 공정성이 정보보안 위반을 감소시키는 것을 확인하였다[26]. 또한, Hwang[2021]은 조직 공정성이 개인에게 형성된 정보보안 관련 심리적 임파워먼트가 정보보안 준수 의도에 대한 긍정적 영향을 강화하는 것을 확인하였다[27].

조직 공정성은 개인의 자기결정성 향상에 도움을 주는 환경적 요인이다. Olafsen et al.[2015]은 업무 환경에서의 분배 공정성과 절차 공정성은 요구 충족을 통해 자기결정성 세부요인인 내재적 동기에 긍정적 영향을 주는 것을 확인하였으며[28], Aryee et al.[2015]는 조직의 전반적 공정성 인식이 조직원의 요구 충족을 통해 내재적 동기를 형성하고, 직업 성과까지 높이는 것을 확인하였다[29]. 또한, Ugaddan and Park[2019]는 조직 공정성과 진실적 리더십이 외재적 동기를 형성시켜 조직원의 내부고발 의도를 감소시키는 것을 확인하였다[30]. 즉, 조직 공정성은 개인의 내재적 동기와 외재적 동기에 긍정적 영향을 주는 요인이다. 본 연구는 정보보안과 관련하여 조직 공정성이 개인의 정보보안 내재적 동기와 외재적 동기에 긍정적 영향을 줄 것으로 판단하며, 조직 공정성이 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외적 규제에 미치는 영향 관계를 확인한다.

  • H2: 정보보안 관련 조직 공정성은 정보보안 자기결정 동기 유형에 긍정적 영향을 준다.
  • H2a : 정보보안 관련 조직 공정성은 내재적 동기에 긍정적 영향을 준다.
  • H2b : 정보보안 관련 조직 공정성은 확인된 규정에 긍정적 영향을 준다.
  • H2c : 정보보안 관련 조직 공정성은 주입된 규제에 긍정적 영향을 준다.
  • H2d : 정보보안 관련 조직 공정성은 외부 규제에 긍정적 영향을 준다.

Ⅲ. 연구 모델 및 데이터 수집
3-1 연구 모델

본 연구는 조직 내부의 능동적 보안 준수 활동을 향상하기 위한 조직원의 자기결정성 동기 조절 유형들을 확인하고, 각 동기 향상을 위한 조직 차원의 지원 방향을 제언하고자 한다. 이에, 본 연구는 선행연구를 기반으로 그림 1과 같은 연구 모델을 구성하였다. 또한, 설문지 기법을 통해 표본을 확보하고, 구조방정식 모형(AMOS 22.0 툴 활용)을 적용하여 연구 모델에 적용된 요인 간의 경로를 검증하고자 한다.


Fig. 1. 
Research Model

3-2 데이터 측정 및 수집

연구 모델에 적용된 6개 요인의 측정 항목은 모두 정보보안 분야, 조직 분야 등에서 개발되어 적용된 항목들을 활용한다. 특히, 본 연구는 다른 조직 분야에서 활용되던 항목들을 정보보안 분야에 맞추어 재정리하였으며, 정보보안 특성을 반영하여 도출된 설문 문항은 경영대학원에 다니는 직장인 5명에게 내용 적정성을 추가로 확인하였다. 데이터 측정에 적용한 설문은 표 1과 같으며, 7점 리커트 척도(1점: 매우 그렇지 않다 – 7점: 매우 그렇다)로 구성하였다.

Table 1. 
Questionnaire Items
Construct Items Reference
OJ Overall, I am being treated fairly by the organization for IS. [22]
I think our organization is fair about IS.
In general, our organization's IS activities are fair.
The organization treats employees fairly in relation to IS.
IM I think it is good to apply IS policies to work. [13]
I find it interesting to apply IS policies to work.
I like to apply IS policies to my work.
IdR Applying IS policies to work is important to me. [13]
Applying IS policies to my work helps me achieve my work goals.
I believe that reflecting the IS policies to work is important to achieving performance.
InR I feel bad if I don't apply IS policies to my work. [13]
I feel guilty if I do not apply IS policies to my work.
If I don't apply IS policies to my work, I'll be offended.
EX The task given to me requires additional reflection of IS policies. [13]
Organizations are obliged to apply IS policies to their work.
The organization has been required to comply with IS policies.
VB I offer opinions and make recommendations on organizational IS policies. [15]
I encourage my colleagues to participate in issues that affect IS policies within the organization.
I present an idea for IS policies change.
OJ(Organization Justice), IM(Intrinsic Motivation), IdR(Identified Regulation), InR(Interjected Regulation), EM(External Regulation), VB(Voice Behavior)

본 연구의 설문 대상은 정보보안 정책을 보유하고, 본인의 업무 활동에 정보보안 행동을 반영해야 하는 직장인으로 하였다. 본 연구는 적정 설문 대상을 설문을 통해 확보하기 위해, 특정 리서치 기업이 보유한 직장인 회원을 활용하고자 하였다. 즉, 본 연구는 온라인 설문 설계를 하였으며 직장인 회원에 대하여 설문 목표에 대하여 정보를 제공하지 않은 상태에서 직업을 확인하고, 정보보안 정책을 업무에 반영하는 유무를 확인하였으며, 설문 대상인 사람만 설문에 참여하도록 설계하였다.

이후, 설문의 목적과 결과의 통계적 활용에 대한 정보를 제공하였으며, 그럼에도 설문을 수행하겠다고 응답한 사람만 설문에 참여하도록 하였다. 설문은 2022년 1월에 수행하였으며, 총 453개의 유효 표본을 확보하였다.

확보된 표본의 특성은 표 2와 같다. 응답자의 성별과 연령은 비슷한 비율로 확보하였으며, 응답자가 근무하는 조직의 업종은 제조업과 서비스업을 약 3:7 수준으로 맞추었다. 특히, 조직 규모와 관련하여, 10인 이하의 조직은 정보보안에 대한 투자가 쉽지 않다는 판단하에, 50인 이상 조직 규모의 직장인 표본을 많이 확보하고자 하였다. 50인 이상 조직 규모 표본은 응답자의 68.2%로 나타났다. 응답자의 직위는 전체적으로 고르게 확보하였다. 즉, 표본에 대한 특정한 이상치가 존재하지 않았기 때문에, 적정하게 표본을 확보한 것으로 판단하였다.

Table 2. 
Demographic Characteristics of Samples
Demographic Categories Frequency %
Gender Male 226 49.9
Female 227 50.1
Age Under 30 105 23.2
31 - 40 104 23.0
41 - 50 119 26.3
Over 50 125 27.6
Industry Manufacture 135 29.8
Service 318 70.2
Firm Size Under 10 28 6.2
11~50 116 25.6
51~300 149 32.9
Over 300 160 35.3
Job Position Staff 186 41.1
Assistant Manager 102 22.5
Manager 77 17.0
Over Manager 88 19.4
Total 453 100.0


Ⅳ. 가설 검증
4-1 신뢰성 및 타당성 분석

본 연구는 설문지 기법을 적용하되, 요인별 다 항목으로 구성된 측정 항목을 반영하였다. 따라서, 본 연구는 요인에 대한 신뢰성 및 타당성 분석을 하였다.

신뢰성 분석은 반영된 요인들을 반복 측정에 대한 일관성을 확인하는 것으로, 본 연구는 SPSS 21.0의 크론바흐 알파 값을 통해 신뢰성을 확인하였다. 선행연구는 요인별 크론바흐 알파 값 0.7 이상의 값을 요구한다[31]. 연구 모델에 적용된 6개 요인의 크론바흐 알파를 확인한 결과는 표 3과 같으며, 모두 요구사항에 충족한 것으로 나타났다.

Table 3. 
Result for Construct Validity and Reliability
Constructs Factor
Loading
Cronbach’s
Alpha
CR AVE
OJ OJ1
OJ2
OJ3
OJ4
0.741
0.760
0.827
0.803
0.863 0.810 0.516
IM IM1
IM2
IM3
0.783
0.882
0.877
0.884 0.849 0.653
IdR IdR1
IdR2
IdR3
0.856
0.895
0.888
0.911 0.875 0.701
InR InR1
InR2
InR3
0.894
0.887
0.906
0.924 0.875 0.699
EX EX1
Ex2
EX3
0.763
0.723
0.871
0.821 0.765 0.521
VB VB1
VB2
VB3
0.902
0.906
0.856
0.917 0.891 0.732
OJ(Organization Justice), IM(Intrinsic Motivation), IdR(Identified Regulation), InR(Interjected Regulation), EM(External Regulation), VB(Voice Behavior)

타당성 분석은 반영된 요인이 일관성 있게 구성되어 있는지, 요인 간에 상호 상이한 개념으로 구성되어 있는지를 확인하는 것으로, 본 연구는 AMOS 22.0의 확인적 요인분석을 수행하여 집중 타당성과 판별 타당성을 확인한다. 우선 연구는 확인적 요인분석에 대한 적합도 요구사항을 확인하였다. 확인적 요인분석의 수치는 χ2/df = 2.488, GFI = 0.923, AGFI = 0.893, NFI = 0.950, TLI = 0.962, CFI = 0.969, 그리고 RMSEA = 0.057로 나타났다. AGFI가 비록 0.9보다 조금 낮으나 0.8까지 허용하고, RMSEA가 0.05보다 조금 높으나 0.1까지 허용하며, 그 외 지수가 요구사항을 충족하였기 때문에, 타당성 분석에 문제가 없는 것으로 나타났다. 집중 타당성은 개념 신뢰도(Construct Reliability)와 평균분산추출(Average Variance Extracted)을 확인하는데, 개념 신뢰도는 0.7 이상을 요구하며, 평균분산추출은 0.5 이상을 요구한다[32]. 집중 타당성 결과는 표 3과 같으며 모든 요인이 개념 신뢰도와 평균분산추출 요구사항을 충족한 것으로 나타났다.

판별 타당성은 상관계수와 평균분산추출의 제곱근을 비교하되, 평균분산추출 제곱근이 상관계수보다 클 때 요인 간의 차이가 존재한다고 본다[32]. 분석 결과는 표 4와 같으며, 판별 타당성을 확보한 것으로 나타났다.

Table 4. 
Result for Discriminant Validity
Constructs 1 2 3 4 5 6
OJ 0.718a          
IM .632** 0.808a        
IdR .657** .697** 0.837a      
InR .501** .559** .559** 0.836a    
EX .489** .474** .471** .322** 0.722a  
VB .658** .673** .675** .625** .537** 0.856a
Note: a = square root of the AVE, **: p < 0.01
OJ(Organization Justice), IM(Intrinsic Motivation), IdR(Identified Regulation), InR(Interjected Regulation), EM(External Regulation), VB(Voice Behavior)

그리고, 본 연구는 설문지 기법으로 설문 당시 응답자의 인식 수준에 대한 수치를 확보하였기 때문에, 공통방법편의 문제를 추가로 확인하였다. 공통방법편의 문제는 연구 과정별 다양한 이슈로 발생할 수 있으며, 공통방법편의 문제 확인에 대한 기법 또한 다양하게 제시되고 있다. 본 연구는 단일방법 요인을 적용한다. 단일방법 요인은 확인적 요인분석 모델과 해당 모델에 단일 요인을 추가하여 생성한 모델 간의 측정치의 변화량을 확인하는 방법으로, 변화량이 적을수록 공통방법편의 문제가 낮은 것으로 판단한다[33]. 단일 모델 적용 전 모델의 적합도와 단일 모델 적용 후 모델의 적합도를 확인하였으며, 모델별 적합도의 문제는 없는 것으로 나타났다. 또한, 측정 항목의 변화량이 0.3 미만으로 나타나 공통방법편의 문제는 크지 않은 것으로 나타났다.

4-2 주 효과 분석

연구 모델 검증은 구조방정식 모형을 적용하므로, 본 연구는 모델의 적합도 확인, 요인 간의 경로 검증(β), 그리고 종속변수에 대한 영향력 확인(R2)을 한다. 모델의 적합도 확인은 확인적 요인분석 기준과 동일하게 적용하였으며, χ2/df = 2.986, GFI = 0.901, AGFI = 0.869, NFI = 0.937, TLI = 0.949, CFI = 0.957, 그리고, RMSEA = 0.066로 나타났다. 비록, AGFI가 0.9보다 작고, RMSEA가 0.05보다 조금 큰 것으로 나타났지만, 각각 0.8 이상, 0.1 이하까지 허용하므로, 적합도 요구사항에 큰 문제는 없는 것으로 판단되어, 요인의 경로 검증을 하였다.

가설 1은 정보보안과 관련된 개인의 자기결정성 동기 유형(내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제)이 정보보안 제언 행동에 긍정적 영향을 준다는 것으로서, 본 연구는 각 경로에 대한 경로계수(β)를 확인하였다. 분석 결과 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제 모두 정보보안 제언 행동에 긍정적 영향을 주는 것으로 나타났다(H1a: β= 0.277, p < 0.01; H1b: β= 0.240, p < 0.01; H1c: β= 0.281, p < 0.01; H1d: β= 0.260, p < 0.01). 이와 같은 결과는 사람들의 식품 선택에 있어, 자기결정성 형성 동기인 내재적 동기와 외재적 동기가 복합적으로 작용하여, 소비자의 구매 행동으로 이어진다는 것을 제시한 Tandon et al.[2020]의 연구와 유사한 결과이다[21]. 연구 결과는 선행연구와 유사하게 정보보안 관점에서 조직원의 다각적 동기 형성은 긍정적 행동을 발현할 수 있음을 제시한다. 즉, 조직의 정보보안 환경에 대한 개인의 자기 결정은 내재적 동기와 외재적 동기(동일시 규제, 내사된 규제, 그리고 외부 규제)가 복합적으로 발현되어, 본인의 정보보안 관련 행동으로 이어지는 것을 의미한다. 따라서, 조직은 내부자의 정보보안 준수 행동 강화를 위해, 당사자 개개인에게 형성시킬 수 있는 동기적 조건(내재적 동기, 외재적 동기 등)을 다각적으로 고려하고, 지원하는 것이 요구된다.

가설 2는 정보보안 조직 공정성이 개인의 자기결정성 동기 유형(내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제)에 긍정적 영향을 준다는 것으로서, 본 연구는 각 경로에 대한 경로계수(β)를 확인하였다.


Fig. 2. 
Results of the Main Effect Tests

Table 5. 
Results of Main Effect Tests
Path Coefficient t-value Result
H1a IM → VB 0.277 5.435** Supported
H1b IdR → VB 0.240 4.882** Supported
H1c InR → VB 0.281 6.936** Supported
H1d EM → VB 0.260 6.262** Supported
H2a OJ → IM 0.827 14.685** Supported
H2b OJ → IdR 0.817 15.761** Supported
H2c OJ → InR 0.647 12.974** Supported
H2d OJ → EM 0.591 11.207** Supported
OJ(Organization Justice), IM(Intrinsic Motivation), IdR(Identified Regulation), InR(Interjected Regulation), EM(External Regulation), VB(Voice Behavior)
**: p < 0.01

분석 결과 정보보안 조직 공정성이 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제 모두에 긍정적 영향을 주는 것으로 나타났다(H2a: β= 0.827, p < 0.01; H2b: β= 0.817, p < 0.01; H2c: β= 0.647, p < 0.01; H2d: β= 0.591, p < 0.01). 이와 같은 결과는 조직 공정성이 개인의 내적 동기에 긍정적 영향을 주어 행동을 향상한다는 Iafsen et al.[2015]의 연구와 조직 공정성이 외재적 동기를 높여 내부고발 의도를 감소시킨다는 Ugaddan and Park[2019]의 연구와 유사한 결과이다[30]. 연구 결과는 선행연구와 유사하게 정보보안 관점에서 조직 공정성에 대한 조직원의 긍정적인 인식 형성은 당사자의 내재적 동기 및 외재적 동기를 복합적으로 형성시킬 수 있음을 제시한다. 특히, 조직 공정성은 개인이 느끼는 상대적 공평함의 수준이므로, 조직 공정성이 높다고 판단될수록 자신에게 피해를 주지 않을 것이라는 믿음이 형성된다. 따라서, 조직은 조직원들의 정보보안 관련 행동 동기 향상을 위해, 공정한 조직 문화를 구축하고, 조직원들이 조직을 긍정적이고 신뢰할 수 있도록 지원하는 것이 필요하다.

마지막으로, 본 연구는 결정계수(R2)를 확인하여 독립변수가 종속변수에 미치는 영향력을 확인한다. 첫째, 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제는 정보보안 제언 행동에 71.2%의 영향을 주는 것으로 나타났다. 이러한 결과는 정보보안 제언 행동에 정보보안 관련된 복합적 동기 형성이 높은 수준의 영향을 줄 수 있음을 의미한다. 또한, 정보보안 조직 공정성은 내재적 동기에 68.4%, 동일시 규제에 66.7%, 내사된 규제에 41.8%, 그리고, 외부 규제에 35.0%의 영향을 주는 것으로 나타났다. 이러한 결과는 조직 공정성은 조직에 대한 공평한 대우와 관련된 믿음이기 때문에, 개인의 내재적 동기에 더욱 높은 영향을 준 것으로 판단된다. 따라서, 조직 공정성이 장기적 관점에서 조직원의 긍정적 행동을 유도하기 위한 내재적 동기에 강한 영향을 줄 수 있음을 시사하며, 정보보안에 대한 조직의 공정한 지원이 지속해서 필요함을 의미한다.

4-3 매개 효과 분석

본 연구는 정보보안 조직 공정성, 자기결정성, 그리고 제언 행동으로 이어지는 매커니즘을 확인하고자 하였으므로, 자기결정성이 어떠한 매개 효과를 가지는지 추가로 확인하였다.

구조방정식 모형을 적용한 매개 효과 분석은 Hoyle and Kenny[1999]의 기법을 적용하였다[34]. 해당 기법은 2단계로 진행되는데, 1단계는 독립변수와 종속변수 간의 유의한 관계가 있는지를 확인하며, 2단계는 매개변수를 반영하되 부트스트래핑을 적용하여 매개 효과의 수준을 확인하는 것이다. 본 연구는 부트스트래핑 1,000과 신뢰 수준 95%를 적용하였으며, 매개 효과 분석 결과는 표 6과 같다. 정보보안 자기결정성 동기 유형(내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제)은 각각 정보보안 조직 공정성이 정보보안 제언 행동에 미치는 영향을 부분 매개하는 것으로 나타났다.

Table 6. 
Results of Mediating Effect Tests
Path Coefficient t-value Result
OJ → IM → VB step1 OJ → VB 0.738 14.919** Partial
Mediation
step2 OJ → VB 0.426 7.107**
OJ → IM 0.718 13.086**
IM → VB 0.435 7.321**
Indirect Effect = 0.340 (p < 0.01)
OJ → IdR → VB step1 OJ → VB 0.738 14.919** Partial
Mediation
step2 OJ → VB 0.439 7.020**
OJ → IdR 0.737 14.232**
IdR → VB 0.407 6.746**
Indirect Effect = 0.327 (p < 0.01)
OJ → InR → VB step1 OJ → VB 0.738 14.919** Partial
Mediation
step2 OJ → VB 0.528 10.588**
OJ → InR 0.563 11.046**
InR → VB 0.374 8.272**
Indirect Effect = 0.229 (p < 0.01)
OJ → EM → VB step1 OJ → VB 0.738 14.919** Partial
Mediation
step2 OJ → VB 0.579 10.866**
OJ → EM 0.558 9.779**
EM → VB 0.284 5.673**
Indirect Effect = 0.172 (p < 0.01)
OJ(Organization Justice), IM(Intrinsic Motivation), IdR(Identified Regulation), InR(Interjected Regulation), EM(External Regulation), VB(Voice Behavior)
**: p < 0.01,


Ⅴ. 결 론
5-1 연구의 요약

정보가 조직의 중요한 가치로 인식되면서, 조직들은 정보 관리를 위한 투자를 높이고 있다. 하지만, 정보보안 사고는 외부의 침입 및 내부의 유출과 같은 다양한 경로로 발생하고 있어, 다각적 정보 노출 위협을 고려하고 사전 대처를 하는 것이 필요하다. 본 연구는 조직 내부자 관점에서 정보보안 준수 향상 방안 수립에 주목하였다. 특히, 본 연구는 기존 조직원의 정보보안 관련 준수 행동과 같은 개인화된 행동 전환에 대한 조건을 제시하는 것을 넘어서, 정보보안 관련 의견을 능동적으로 개진하고 문제를 해결하는 행동 개념인 제언 행동을 반영하고자 하였다. 또한, 정보보안 제언 행동에 영향을 주는 개인의 동기가 단순히 단일화된 동기가 아닌 내재적 동기와 외재적 동기가 복합적으로 발현되어 행동으로 이어진다는 자기결정성 이론을 반영하고자 하였다. 그리고, 조직 공정성 환경이 개인의 자기결정성 동기 유형에 어떠한 영향을 주는지를 확인하고자 하였다.

본 연구는 정보보안 정책을 업무에 적용하고 있는 조직의 근로자를 대상으로 설문을 하여, 453개의 표본을 확보하였으며, 구조방정식 모형을 적용하여 연구 목적에 맞게 제시한 연구 모델 검증을 하였다. 분석 결과는 정보보안 조직 공정성이 조직원의 자기결정성 동기 유형인 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제를 통해 정보보안 제언 행동을 높이는 것을 확인하였다.

5-2 연구의 시사점 및 향후 연구

본 연구는 정보보안 목표를 달성하는데 고려되어야 할 조직원의 정보보안 동기적 조건과 조직의 정보보안 환경적 측면을 제시하고 영향 관계를 확인한 측면에서 다음과 같은 학술적 시사점을 가진다. 첫째, 본 연구는 정보보안 분야에 구성원의 능동적이고 건설적인 의견 개진 행동 개념인 제언 행동을 반영하였다. 조직 내부 구성원 관점의 정보보안 관련 선행연구는 정보보안 관련 조직 조건, 개인의 반응 또는 인식 등에 의해 결정되는 종속변수로 정보보안 준수 행동을 반영해왔다. 정보보안 준수 행동은 조직이 구축한 정보자원에 대한 자발적인 보호 행동으로서, 개개인의 행동을 통해 조직 내부의 보안 목표 달성에 도움이 된다고 본다. 본 연구에서 제시한 제언 행동은 조직원이 본인에게 주어진 업무상 보안 행동을 넘어서, 이타적이고 건설적으로 정보보안 관련 문제를 제기하고 공동의 성과를 위해 행동한다는 관점이기 때문에, 조직 전반적 보안 행동 확산에 도움을 줄 것으로 판단하였다. 즉, 학술적 관점에서 본 연구는 조직에 대한 이타적 정보보안 행동 개념을 적용하였다는 측면에서 선행연구로서의 의미를 지닌다.

둘째, 본 연구는 환경에 대한 개인의 행동 원인을 체계적으로 설명하는 자기 결정성 이론을 반영하였다. 특히, 자기결정성 이론에서 제시하는 선택적 의지를 높이는 능력 조건인 자율성, 역량, 그리고 관계성이 아닌, 환경에 의해 도출된 자기 결정 동기 유형에 대한 관점을 고려하였다. 정보보안 동기 관련 선행연구는 단일 형태의 동기적 접근을 중심으로 행동 원인을 설명해왔다. 자기결정성에서 동기는 내재적 동기뿐만 아니라 다양한 외재적 동기의 결합을 통해 행동을 결정하는 복합적 동기 요인을 제시한다. 본 연구는 정보보안 분야에 자기결정성에서 중점적으로 다루는 내재적 동기, 외재적 동기(동일시 규제, 내사된 규제, 외부 규제)를 적용하여, 정보보안 제언 행동을 일으키는데, 동기들이 어떻게 영향을 주는지를 확인하였다. 즉, 가설 검증 결과는 각 동기가 자체적으로 제언 행동을 높일 수 있는 요인임을 확인하였을 뿐 아니라, 조직원의 자기결정성 기반의 복합적 동기 형성이 제언 행동에 미치는 영향이 높은 수준임을 확인하였다. 학술적 관점에서 본 연구는 자기결정성 동기 유형들을 조직원의 정보보안 행동 선행 조건으로 적용했다는 측면에서 선행연구로서 의미를 지닌다.

셋째, 본 연구는 조직원의 자기결정성 동기 조절 유형에 영향을 주는 조직 외적 환경요인으로 조직 공정성을 반영하였다. 정보보안 행동 연구에서 조직 공정성은 조직원의 정보보안 업무에 의한 스트레스를 감소시키거나, 정보보안 준수 의도를 향상하는 선행 조건으로 중점적으로 활용되었다. 본 연구는 개인이 스스로 선택을 함으로써 행동으로 전환하도록 돕는 자기결정성 이론과 연계하였다. 특히, 자기결정성 동기 유형과의 연계성을 확인함으로써, 정보보안을 반영한 조직 공정성이 어떤 개인의 동기에 영향을 줄 수 있는지를 확인하였다. 즉, 조직 공정성, 자기 결정성 동기 유형, 그리고 제언 행동으로 이어지는 매커니즘을 확인하였으며, 특히, 자기 결정성의 세부 동기 유형의 매개적 영향력이 존재함을 확인하였다. 따라서, 학술적 관점에서 정보보안 조직공정성과 정보보안 동기 요인 간의 관계를 확인한 측면에서 선행연구로서 의미를 지닌다.

본 연구는 조직 내부의 정보보안 위협을 최소화하는 제언하기 위하여, 조직 환경요인(조직 공정성), 조직원 정보보안 행동 선택 동기 요인, 그리고 제언 행동 간의 매커니즘을 제시한 관점에서 다음의 실무적 시사점을 지닌다.

첫째, 본 연구는 특정 문제에 대한 조직원의 능동적 의견 및 행동을 추구하는 개념인 제언 행동을 정보보안 분야에 반영하였다. 조직 내 정보보안 사고는 조직원 한 사람이라도 실수 또는 고의성을 가지게 될 때, 발생할 가능성이 존재한다. 반대로, 조직 내 한 사람의 정보보안 준수 의도 또는 행동이 강화된다고 하더라도, 조직 전체적인 보안 준수 분위기 형성 또는 이타적 행동이 나오지 않는다면 쉽게 정보 노출 사고가 발생할 가능성이 존재한다. 즉, 조직 내부의 정보보안 목표 달성을 위해서는 조직원이 정보보안과 관련하여 주변의 동료들을 챙기고, 자발적인 정보보안 행동 문화를 형성시키는 것이 필요하다. 그러한 관점에서 조직원의 정보보안 제언 행동은 조직 단위의 보안 문제를 발견하고 개선하도록 돕는 조건이다. 따라서, 조직은 조직원의 정보보안 제언 행동이 나올 수 있도록 조직 구조 및 구성원의 동기를 개선하도록 노력하는 것이 요구된다.

둘째, 본 연구는 정보보안 행동에 대한 조직원의 선택 의지를 향상할 수 있는 방향을 제언하고자 하였다. 즉, 본 연구는 자기결정성에 주목하였다. 특히, 개인의 행동은 본인에게 주어진 환경에서 형성된 다양한 동기들의 집합을 통해 형성되는데, 정보보안과 관련하여 조직원의 보안 행동에 영향을 주는 동기 유형(내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제)을 제시하고 제언 행동에 미치는 영향을 확인하였다. 첫째, 내재적 동기는 정보보안 관련 행동의 필요성 등에 대한 의미를 부여한 것이 아닌 자기만족에 대한 동기이다. 구조방정식 모형 검증 결과 내재적 동기가 행동에 미치는 영향은 다른 동기보다 높은 것으로 나타났다. 즉, 조직원에게 조직 내 정보 관리가 외부의 의지가 아닌 자기만족일 때 행동으로 전환될 가능성이 있음을 의미한다. 조직은 자기만족을 통한 정보보안 준수 행동 사례를 지속해서 홍보하는 등 개인 스스로 행동 전환을 위한 노력을 할 필요성이 있다. 둘째, 동일시 규제는 외재적 동기이지만 자율적 동기의 개념으로서 정보보안에 대한 조직의 압력은 받았으나, 스스로 가치를 인식하는 경우이다. 따라서, 조직은 조직원들이 관리하는 정보 자산이 조직의 가치보다 개인의 가치를 향상하는 조건임을 지속해서 알리는 활동이 요구된다. 즉, 정보보호에 대한 조직 내부의 캠페인, 홍보 등의 활동을 통해 정보 자산 관리의 가치가 개인과 조직 전체의 가치를 향상할 수 있는 조건임을 제시하는 것이 필요하다. 셋째, 내사된 규제는 조직에 의해 통제된 동기로서, 조직의 압력, 압박으로 인하여 행동으로 전환된 경우를 의미한다. 즉, 미준수 행동에 대한 조직의 행동이 조직원의 수치심을 자극할 수 있음을 지적할 때, 내사된 규제 동기가 형성된다. 따라서, 조직은 정보보안 미준수 행동에 따른 개인의 평가 결과가 조직 전체에 피해를 줄 수 있음을 지적하여, 행동 동기를 일으키도록 하는 것이 필요하다. 넷째, 외적 규제는 조직이 가장 일반적으로 활용하는 형태로서, 정보보안 미준수에 따른 처벌 또는 준수에 따른 보상 등을 통해 변화된 행동 동기를 의미한다. 따라서, 조직은 정보보안 미준수 시 조직원이 받을 수 있는 처벌 체계를 명확하게 규정하고 정보화함으로써, 조직원이 외적 규제 동기를 형성할 수 있도록 지원하는 것이 필요하다.

마지막으로, 본 연구는 정보보안 관련 개인의 자기 결정 관련 동기 유형에 영향을 주는 조직 보안 환경요인을 제시하였다. 특히, 본 연구는 정보보안 조직 공정성에 주목하였으며, 내재적 동기, 동일시 규제, 내사된 규제, 그리고 외부 규제에 긍정적 영향을 주는 선행 요인임을 확인하였다. 조직 공정성은 개인의 행동 과정 및 결과 등에 대한 상대적 공평성에 대한 개념으로, 정보보안에 대한 조직 차원의 사전 지원, 과정, 그리고 결과가 조직 내 동료들과 비교했을 때 공평하다고 판단할 때 조직에 대한 믿음을 형성하게 된다. 특히, 형성된 믿음은 개인의 정보보안 제언 행동을 위한 내재적, 외재적 동기 형성에 영향을 준다. 따라서, 조직은 정책적으로 정보보안 관련 활동이 공정하다고 판단할 수 있도록 구조화하는 것이 필요하다. 즉, 조직원에게 정보보안 정책, 규칙 등에 대한 정보를 체계적으로 전달하고, 정보보안 정책운영 과정에 조직원을 참여시켜 추가적인 의문을 가지지 않도록 하며, 특정 행동 결과에 대한 공평한 처리를 통해 조직원들의 믿음을 형성시킬 수 있도록 하는 것이 필요하다.

본 연구는 정보보안 조직 공정성, 자기결정 동기 유형, 그리고 제언 행동으로 이어지는 행동 원인을 설명한 측면에서 의미가 있으나, 다음과 같은 측면의 연구적 한계를 가지며 향후 연구에서 보완될 필요성이 있다. 첫째, 본 연구는 정보보안 정책을 보유하고 업무에 적용한 기업에 다니는 근로자들을 연구 대상으로 선정하고, 보편적 행동 원인을 확인하고자 하였다. 하지만, 정보의 가치는 조직의 특성별 차이가 있을 수 있다. 즉, 제조업과 금융업은 정보가 가지는 중요성의 차이가 있을 수 있다. 따라서, 향후 조직 특성별 차별화된 조직원 행동 원인을 제시한다면, 실무적 측면에서 강화된 시사점을 제시할 수 있을 것으로 판단한다. 둘째, 본 연구는 정보보안 관련 환경에 대한 개인의 다양한 동기 형성을 설명하였다. 하지만, 개인의 동기는 개인이 보유한 행동에 대한 특성 요인에 따라 달라질 수 있다. 대표적으로 목표 지향성과 예방 지향성에 대한 관점은 특정 행동에 대한 접근 방식의 차이를 제언한다. 따라서, 향후 개인 특성별 정보보안 행동 원인에 대한 조절적 차이를 제시한다면, 조직 관점에서 맞춤형 대응이 가능할 것으로 판단한다.


References
1. Grandviewresearch, Cyber Security Market Size, Share & Trends Analysis Report By Component, By Security Type, By Solution, By Services, By Deployment, By Organization, By Application, By Region, And Segment Forecasts, 2021 – 2028[Internet], 2021. Available:https://www.grandviewresearch.com
2. Verizon, 2020 Data Breach Investigations Report, 2020.
3. R. West, “The Psychology of Security,” Communications of the ACM, Vol. 51, No. 4, pp. 34-40, April, 2008.
4. Y. Xue, H. Liang, and L. Wu, “Punishment, Justice, and Compliance in Mandatory IT Settings,” Information Systems Research, Vol. 22, No. 2, pp. 400-414, February, 2011.
5. L. Jaeger, A. Eckhardt, and J. Kroenung, “The Role of Deterrability for the Effect of Multi-Level Sanctions on Information Security Policy Compliance: Results of a Multigroup Analysis,” Information & Management, Vol. 58, No. 3, pp. 103318, April, 2021.
6. P. Menard, G. J. Bott, and R. E. Crossler, “User Motivations in Protecting Information Security: Protection Motivation Theory Versus Self-determination Theory,” Journal of Management Information Systems, Vol. 34, No. 4, pp. 1203-1230, January, 2017.
7. C. Liu, N. Wang, and H. Liang, “Motivating Information Security Policy Compliance: The Critical Role of Supervisor-Subordinate Guanxi and Organizational Commitment,” International Journal of Information Management, Vol. 54, pp. 102152, October, 2020.
8. B. Bulgurcu, H. Cavusoglu, and I. Benbasat, “Information Security Policy Compliance: An Empirical Study of Rationality-based Beliefs and Information Security Awareness,” MIS Quarterly, Vol. 34, No. 3, pp. 523-548, September, 2010.
9. M. Kajtazi, H. Cavusoglu, I. Benbasat, and D. Haftor, “Escalation of Commitment as an Antecedent to Noncompliance with Information Security Policy,” Information & Computer Security, Vol. 26 No. 2, pp. 171-193, June, 2018.
10. W. Lee and I. Hwang, “Sustainable Information Security Behavior Management: An Empirical Approach for the Causes of Employees’ Voice Behavior,” Sustainability, Vol. 13, No. 11, pp. 6077, May, 2021.
11. R. M. Ryan and E. L. Deci, “Self-determination Theory and the Facilitation of Intrinsic Motivation, Social Development, and Well-being,” American Psychologist, Vol. 55, pp. 68-78, January, 2000.
12. M. Gagné and E. L. Deci, “Self‐determination Theory and Work Motivation,” Journal of Organizational behavior, Vol. 26, No. 4, pp. 331-362, April, 2005.
13. C. Fernet, C. Senécal, F. Guay, H. Marsh, and M. Dowson, “The Work Tasks Motivation Scale for Teachers,” Journal of Career Assessment, Vol. 16, No. 2, pp. 256-279, May, 2008.
14. L. Van Dyne and J. A. LePine, “Helping and Voice Extra-role Behaviors: Evidence of Construct and Predictive Validity,” Academy of Management Journal, Vol. 41, No. 1, pp. 108–119, November, 1998.
15. M. Svendsen and T. S. Joensson, “Transformational Leadership and Change-related Voice Behavior,” Leadership & Organization Development Journal, Vol. 37, No. 3, pp. 357-368, May, 2016.
16. J. Song, J. Wu, and J. Gu, “Voice Behavior and Creative Performance Moderated by Stressors,” Journal of Managerial Psychology, Vol. 32, No. 2, pp. 177-192, March, 2017.
17. J. Park, J. Yoon, Y. Huang, Y. Kang, H. Ko, B. Kim, S. Hong, G. Kim, and J. Kim, “A Design Strategy of Interactive Agent for the Elderly: Field Research for Searching Design Element Based on Self-Determination Theory,” Journal of Digital Contents Society, Vol. 20, No. 5, pp. 891-905, May, 2019.
18. E. Lee, “The Relationship Between Self-determined Motivations and Academic Outcomes: Revisiting the Effects of Identified and Introjected Regulations,” The Korean Journal of Educational Psychology, Vol. 31, No. 4, pp. 713-743, November, 2017.
19. Y. Nie, B. L. Chua, A. S. Yeung, R. M. Ryan, and W. Y. Chan, “The Importance of Autonomy Support and the Mediating Role of Work Motivation for Well‐being: Testing Self‐determination Theory in a Chinese Work Organisation,” International Journal of Psychology, Vol. 50, No. 4, pp. 245-255, November, 2015.
20. K. Padayachee, “Taxonomy of Compliant Information Security Behavior,” Computers & Security, Vol. 31, No. 5, pp. 673-680, July 2012.
21. A. Tandon, A. Dhir, P. Kaur, S. Kushwah, and J. Salo, “Why Do People Buy Organic Food? The Moderating Role of Environmental Concerns and Trust,” Journal of Retailing and Consumer Services, Vol. 57, pp. 102247, November, 2020.
22. M. L. Ambrose and M. Schminke, “The Role of Overall Justice Judgments in Organizational Justice Research: A Test of Mediation,” Journal of Applied Psychology, Vol. 94, No. 2, pp. 491-500, June, 2009.
23. T. A. Judge and J. A. Colquitt, “Organizational Justice and Stress: The Mediating Role of Work-Family Conflict,” Journal of Applied Psychology, Vol. 89, No. 3, pp. 395-404, September, 2004.
24. J. S. Adams, Inequity in Social Exchange, In Advances in Experimental Social Psychology, Academic Press, 1965.
25. I. Hwang, “The Effects of Information Security Organizational Injustice on Information Security Anxiety and Avoidance Behavior: Focusing on Moderation Effects of Victim Justice Sensitivity,” Journal of Digital Contents Society, Vol. 22, No. 5, pp. 855-866, May, 2021.
26. K. A. Alshare, P. L. Lane, and M. R. Lane, “Information Security Policy Compliance: A Higher Education Case Study,” Information & Computer Security, Vol. 26 No. 1, pp. 91-108, March, 2018.
27. I. Hwang, “The Effect on Psychological Empowerment on IS Compliance Intention: Focusing on the Moderating Effect of Trust and Justice,” Journal of Digital Contents Society, Vol. 22, No. 10, pp. 1683-1694, October, 2021.
28. A. H. Olafsen, H. Halvari, J. Forest, and E. L. Deci, “Show Them the Money? The Role of Pay, Managerial Need Support, and Justice in a Self‐determination Theory Model of Intrinsic Work Motivation,” Scandinavian Journal of Psychology, Vol. 56, No. 4, pp. 447-457, March, 2015.
29. S. Aryee, F. O. Walumbwa, R. Mondejar, and C. W. Chu, “Accounting for the Influence of Overall Justice on Job Performance: Integrating Self‐determination and Social Exchange Theories,” Journal of Management Studies, Vol. 52, No. 2, pp. 231-252, October, 2015.
30. R. G. Ugaddan and S. M. Park, “Do Trustful Leadership, Organizational Justice, and Motivation Influence Whistle-blowing Intention? Evidence from Federal Employees,” Public Personnel Management, Vol. 48, No.1, pp. 56-81, July, 2019.
31. J. C. Nunnally, Psychometric Theory, 2th ed. New York: McGraw-Hill, 1978.
32. C. Fornell and D. F. Larcker, “Evaluating Structural Equation Models with Unobservable Variables and Measurement Error,” Journal of Marketing Research, Vol. 18, No. 1, pp. 39-50, February, 1981.
33. P. M. Podsakoff, S. B. MacKenzie, J. Y. Lee, and N. P. Podsakoff, “Common Method Biases in Behavioral Research: A Critical Review of the Literature and Recommended Remedies,” Journal of Applied Psychology, Vol. 88, No. 5, pp. 879-903, October, 2003.
34. R. H. Hoyle and D. A. Kenny, “Sample Size, Reliability, and Tests of Statistical Mediation,” Statistical Strategies for Small Sample Research, Vol. 1, pp. 195-222, 1999.

저자소개

황인호(Inho Hwang)

2007년 : 중앙대학교 대학원 (경영학석사)

2014년 : 중앙대학교 대학원 (경영학박사)

2014년~2018년: (사)한국창업경영연구원

2018년~2020년: 한국산업기술대학교

2020년~현 재: 국민대학교 교양대학 조교수

※관심분야:IT 핵심성공요인(IT CSF), 디지털 콘텐츠(Digital Content), 정보보안(Information Security), 프라이버시(Privacy) 등