Journal Archive

억제 이론(deterrence theory)은 조직원에게 조직의 정보보안 준수 규정, 절차, 행동 방식 등의 정보와 정보보안 미준수 시 발생가능한 위협 및 예상 결과를 명확하게 제공할 때, 개인의 정보보안 행동을 높일 수 있다는 이론이다[7]. 즉, 억제이론은 정보보안 행동에 대한 필요성을 인지시키고, 정보보안 지식 형성을 지원하여 조직원의 미준수 행동을 사전에 억제할 수 있다고 본다.

억제이론에서 개인의 정보보안에 대한 인지를 높이는 핵심적인 접근 방법은 제재(sanction)로서, 연구자별로 제재, 처벌, 패널티 등으로 설명하고 있다. 제재는 조직 구성원에게 언급된 정보보안 미준수에 대한 문서화된 무형 또는 유형적 처벌에 대한 정보 수준이다[8]. 정보보안 관련 제재가 조직원에게 명확하게 인식되기 위해서는, 보안 미준수행동에 대한 제재의 결과가 심각해야 하며, 제재가 명확하고 엄격하게 적용된다는 것을 인지하도록 하는 것이 필요하다. 즉, 효과적인 제재는 제재의 심각성, 제재의 확실성을 가져야 한다. 제재의 심각성(severity of sanction)은 정보보안 미준수 행동에 대한 강력한 수준의 처벌의 수준으로 정의되며[13], 제재가 강력할수록 조직원은 조직의 정보보안에 대한 의지가 높다고 판단하며, 자신의 행동이 조직 보안 요구사항에 어긋나지 않도록 행동하려는 경향이 있다[8]. 제재의 확실성(certainty of sanction)은 조직 내 모든 구성원들이 정보보안 미준수 행동에 대해 처벌 받을 가능성의 수준으로 정의되며[13], 구성원에 대한 확실한 정보보안 처벌 가능성에 대한 인지는 개인의 보안 위반을 억제하는 효과를 가진다[8]. 따라서, 제재는 조직 내부자들에 대한 정보보안 준수를 위한 기본적인 요구사항에 대한 준수 방식이며, 보안 방향과 어긋난 행동을 억제하는 중요 요인이다.

조직과 개인간의 관계에서 개인은 자신의 업무에 대한 행동 매커니즘에 문제가 생기는 상황이 발생할 때, 업무 관련 스트레스를 일으킨다. 업무 스트레스는 개인의 업무에 문제를 일으키거나 성과 달성 과정에 바람직하지 않은 절차로 인하여 발생하는 육체적, 심리적 반응을 의미한다[14]. 즉, 개인은 자신의 업무를 처리하는데 있어 필요한 역량을 한정하고 있는데, 외부 환경으로 인하여 필요 역량의 한계를 넘어서는 상황이 온다고 판단할 때 스트레스를 발생시킨다[15].

업무 스트레스는 다양하게 나타나지만, 외부 환경적 변화 등으로 인하여 업무가 모호하게 되는 상황이 발생할 때 발현되며, 업무 모호성(role ambiguity)이라 지칭한다. 업무 모호성은 개인에게 주어진 업무에 대한 관련 규정, 행동 절차 등 정보가 부족하거나 과대하여 자신의 한계를 넘은 상황을 지칭한다[9]. 정보보안 분야에서도 업무모호성은 발현될 가능성이 높은데, 정보보안 행동은 업무적 성과 달성에 어려움을 주는 요인이기 때문이다[12]. 예를 들어, 업무 효율성 확대를 위하여 활용하던 정보 공유시스템을 정보보안 때문에 사용하지 못하게 막거나, 파트너와의 정보 교환이 새로운 규정에 의해서 업무적 절차가 강화될 경우 등 업무 시간에 정보보안을 위해 추가적인 활동을 해야하는 상황이 발생하며, 이럴 경우 조직원은 업무 모호성을 일으킬 수 있다[11].

조직이 정보 공유, 제어 등을 위해 새로운 기술을 도입 시 핵심적으로 고려해야 하는 부분은 기술 도입으로 인하여 발생하는 변화하는 업무 프로세스, 즉 업무 표준화이며, 업무 프로세스의 변화는 개인의 업무에 추가적인 역량을 추가해야 하는 부분이기 때문에 스트레스를 발생시킬 수 있다[9].

조직원의 추가적 부담을 축소시키기 위해서는 새로운 기술에 대한 이해를 높이기 위한 추가적 활동이 필요하다. 기술적 지원은 도입 기술의 활용 방법에 대하여 이해할 수 있도록 물리적, 시스템적 관점에서 지원하는 것으로서[15], 개인이 관련 기술을 업무에 적용하는 과정에서 발생하는 문제 해결을 지원함으로써, 관련 기술에 대한 지식 발현을 돕는 역할을 한다[9]. 정보보안 기술 또한 업무에 적용 시 어려움이 있을 수 있기 때문에, 정보보안 관련 기술적 지원은 필요한 요인이다. 기술적 지원의 대표적인 예가 원격 헬프데스크를 운영함으로써 업무에 보안 기술을 적용할 때 어려움이 없도록 지원하는 것이다.

대처(coping)는 개인이 보유한 역량에 부담을 주거나 초과하는 것으로 평가되는 외부, 내부의 요구를 관리하기 위하여 행동하고자 하는 의지 및 노력이다[16]. 즉, 대처는 자신의 역량적 한계를 초과하는 스트레스 상황에 대하여 반응하고자 하는 행동 의지를 의미한다[17].

개인의 대처 유형은 다양하게 제시되고 있으나, 대표적으로 업무중심 대처(task-oriented coping)이 있다. 업무대처는 역량적 한계를 부여하는 환경적 문제에 대하여 직접적으로 대처하여 문제를 해결하고자 하는 의지를 의미한다[16]. 즉, 업무대처는 해당 문제에 대한 해결을 위하여 새로운 행동 방법을 제시하거나, 기술을 익힘으로써 문제에 대처하고자 하는 성향이다.

정보보안 정책 및 기술의 지속적인 도입은 업무 상 스트레스를 발생시키며, 개인은 업무에 발현된 스트레스 해결을 위해 노력하며, 개인이 보유한 대처 방식에 의존하게 된다[11]. 특히, 문제를 대면하여 해결하고자 하는 업무 대처는 스트레스를 완화시키는 선행조건이기 때문에[18], 조직 내부 정보보안 수준을 높일 수 있는 요인이다.

조직 내부자에 의한 보안 위협은 정보시스템에 접근가능한 사람이면 언제든 발생할 가능성이 있다. 실제로, 내부자에 의한 정보 노출 사고는 IT부서 이외에 일반 오피서, 영업직, 기술직 등 다양하게 나타나고 있다[3]. 따라서, 내부자에 의한 정보 사고를 최소화하기 위해서는 최신의 보안 기술 도입도 필요하지만, 실제 보안행동을 행동으로 옮기는 당사자들의 보안 행동의지를 높이는 것이 필요하다[4,19].

정보보안 준수의도는 조직의 정보자산을 보호하고자 하는 조직원의 행동의지로서[5], 조직의 정보자산의 가치를 이해하고, 정보 노출에 대한 내부, 외부의 다양한 위협 요인을 파악하고, 개선하고자 하는 의도를 의미한다. 그렇기 때문에, 정보보안 준수의도가 높은 사람은 조직이 요구하는 보안에 대한 직접적인 행동을 하려는 경향이 강하다[20]. 따라서, 준수의도 향상이 내부자에 의한 보안 위협을 최소화할 수 있으며, 준수의도 향상 또는 감소 최소화를 위한 조직의 맞춤형 지원이 필요하다.

본 연구의 목적은 정보보안 준수에 부정적 영향을 미치는 스트레스 요인인 업무 모호성을 완화하기 위한 방안을 찾는 것이며, 선행연구를 통해 도출한 요인들을 적용하여 다음의 연구모델을 제시한다(Fig. 1).

Fig. 1. 
Research Model

설문 대상은 정보보안 정책 및 기술을 강력하게 도입한 기업에 종사하는 일반직 근로자들을 대상으로 한다. 자신의 업무에 보안에 의한 스트레스를 확인하기 위해서는 보안 부서가 아닌 일반 업무에 보안업무를 적용해야 하는 근로자들이 적당하다고 판단하였기 때문이다.

설문 항목 구성은 선행연구를 기반으로 국내 보안 환경에 맞추어 재정리하였으며, 연구 모델에 적용한 6개의 요인에 대하여 다 항목 기반 7점 리커트 척도로 구성하였다.

제재의 심각성은 선행연구를 기반으로[13], “정보보안 규칙을 어긴 조직원에 대한 심각한 징계를 함”, “규칙을 반복적으로 어긴 조직원에 대한 더욱 강력한 징계를 함”, “내가 정책 위반할 경우, 심각한 처벌을 받을 것”과 같은 3개 문항으로 구성하였다. 제재의 확실성은 선행연구를 기반으로[13], “엄격하게 정보보안 정책을 적용”, “내가 보안을 어길 경우, 제재를 받을 가능성이 있음”, “명시적으로 제재가 발생한다는 것을 제시”와 같은 3개 문항으로 구성하였다. 업무 모호성은 선행연구를 기반으로[9], “보안 행동과 업무 행동 중 어떤 것을 해야할지 망설여짐”, “보안 준수행동과 업무 성과를 위한 행동 중 우선적으로 해야하는 것이 불확실”, “정보보안 해결 시간은 업무 시간에 영향을 미침”과 같은 3개 문항으로 구성하였다. 준수의도는 선행연구를 기반으로[5], “나는 보안정책을 지속적으로 따를 것”, “나는 보안 정책을 지속적으로 준수할 것”, “나는 정보시스템 접속 시 마다 보안 정책을 준수할 것”, “나는 업무 수행시 마다 보안 절차를 준수할 것”과 같은 4개 문항으로 구성하였다. 기술적지원은 선행연구를 기반으로[9], “보안 데스크는 조직 보안 문제에 대한 답변을 제공”, “보안 데스크는 보안 지식을 가지도록 지원”, “보안 데스크는 조직원의 요청에 응답”, “보안 데스크는 쉽게 접근이 가능”과 같은 4개의 문항으로 구성하였다. 업무 대처는 선행연구를 기반으로[16], “업무 이슈 발생 시, 나는 더 나은 해결방법을 계획”, “유사한 문제를 어떻게 해결했는지 고민”, “이슈 대처 전 문제를 분석”과 같은 3개 문항으로 구성하였다.

설문은 경영학과에 다니는 직장인 대학생을 대상으로 실시하였으며, 설문 응답 전 설문에 대한 목적과 통계 분석 방법에 대하여 정보를 제공하고, 응답에 참여하겠다고 한 사람들만 실시하였으며, 266개의 표본을 분석에 활용하였다.

표본의 특성을 분석한 결과, 응답자의 성별이 비슷했고, 나이 직위는 기업에 근무하는 직장인 비율과 유사하여 표본의 대표성에 문제가 없다고 판단하여 검증에 적용하였다(Table 1).

본 연구는 가설 검증을 위하여 구조방정식 모델링을 적용하여 요인간의 관계성을 확인하고자 한다. 이에 AMOS 22.0 툴을 활용하였으며, 구조모델 분석을 위하여 요인의 신뢰성과 타당성 검증을 실시하였다.

신뢰성은 멀티 항목으로 하나의 요인을 설문하였을 때, 항목들의 묶이는 정도를 확인하는 것으로, conbach’s α를 도출하여 확인한다. 선행연구는 0.7이상의 값을 요구하며[23], SPSS 21.0을 활용하여 분석한 결과 기술적지원의 1개 문항(TS 2)을 제외했을 때, 6개 요인 모두 신뢰성을 확보한 것으로 나타났다(Table 2).

타당성 분석은 멀티 항목으로 구성된 요인들이 요인 내, 요인 간 일정한 특성을 보유하고 있는지 확인하는 분석으로 집중타당성 분석과 판별타당성 분석을 통해 확인하였다. 집중타당성은 개념신뢰도(construct reliability)와 평균분산추출(average variance extracted) 기법을 활용하여 분석한다. 집중타당성 분석을 위해 확인적 요인분석을 실시하였으며, 모델의 적합도가 구조방정식 모델링에서 요구하는 수준을 달성한 것으로 나타났다(χ2/df = 1.474, GFI = 0.927, AGFI = 0.889, CFI = 0.99, NFI = 0.969, RMSEA = 0.042). 선행연구는 개념신뢰도를 0.7이상, 평균분산추출을 0.5이상일 때 집중타당성이 있다고 판단하며[24], 분석 결과 6개 요인 모두 집중타당성이 있는 것으로 나타났다(Table 2).

추가적으로 판별타당성 분석을 실시하였다. 판별타당성은 요인간 차별이 있는가를 확인하는 기법으로, 상관분석을 통해 도출된 값보다 평균분산추출 값의 제곱근이 높으면 판별타당성이 있다고 판단한다[25]. 분석 결과, 평균분산추출 값의 제곱근이 상관계수보다 높게 나타나 판별타당성이 존재하는 것으로 나타났다(Table 3).

마지막으로, 동일방법편의(common method bias) 문제를 검증한다. 동일방법편의는 설문을 통해 요인에 대한 인식을 측정할 때 잘 나타나는 문제이며, 이상치가 나타날 가능성을 의미한다. 본 연구는 Podsakoff et al.[2003]에서 제시한 여러 기법 중 대표적으로 활용되는 단일공통요인(single common method factor)기법을 적용한다[26]. 해당 기법은 확인적요인분석에 공통요인을 적용하기 전과 후에 있어 항목들의 변화량이 낮은지를 확인하는 기법이다. 분석 결과 공통요인 미적용 모델의 적합도(χ2/df = 1.474, GFI = 0.927, AGFI = 0.889, CFI = 0.99, NFI = 0.969, RMSEA = 0.042)와 공통요인 적용 모델의 적합도(χ2/df = 1.478, GFI = 0.919, AGFI = 0.881, CFI = 0.989, NFI = 0.968, RMSEA = 0.042)는 모두 요구수준에 적합한 것으로 나타났으며, 항목들의 변화량은 0.2 미만으로 나타나 동일방법편의 문제는 낮은 것으로 판단되어, 주효과 분석을 실시한다.

주효과 분석은 AMOS 22.0을 활용하여 구조모델을 구축하여 적합성 검증, 가설의 경로간의 경로분석(β), 그리고 독립변수들의 종속변수에 대한 영향력(R2) 검증을 실시한다.

첫째, 주효과 연구모델에 대한 구조모형의 적합성 분석을 실시한 결과, 적합도 요구수준보다 모두 높은 값이 나왔다((χ2/df = 1.49, GFI = 0.951, AGFI = 0.924, CFI = 0.994, NFI = 0.981, RMSEA = 0.043).

둘째, 연구가설에 대한 경로 분석(β)을 통해 영향관계를 확인하고 연구가설을 검증하였다 (Fig. 2, Table 4). 연구가설 1은 정보보안 제재의 심각성이 업무 모호성에 음(-)의 영향을 미친다는 것으로, 경로 분석 결과는 제재의 심각성이 업무 모호성을 감소시키는 관계에 있는 것으로 나타났다(H1: β= -0.210, p<0.01). 연구가설 2는 정보보안 제재의 확실성이 업무 모호성에 음(-)의 영향을 미친다는 것으로, 경로 분석 결과는 제재의 확실성이 업무 모호성을 감소시키는 관계에 있는 것으로 나타났다(H2: β= -0.368, p<0.01). 연구가설 3은 정보보안 제재의 심각성이 준수의도에 양(+)의 영향을 미친다는 것으로, 경로 분석 결과는 제재의 심각성이 준수의도를 높이는 관계에 있는 것으로 나타났다(H3: β= 0.358, p<0.01). 연구가설 4는 정보보안 제재의 확실성이 준수의도에 양(+)의 영향을 미친다는 것으로, 경로 분석 결과는 제재의 확실성이 준수의도를 높이는 관계에 있는 것으로 나타났다(H4: β= 0.309, p<0.01). 연구가설 5는 정보보안 업무 모호성이 준수의도에 음(-)의 영향을 미친다는 것으로, 경로 분석 결과는 업무 모호성이 준수의도를 낮추는 관계에 있는 것으로 나타났다(H3: β= -0.152, p<0.01).

Fig. 2. 
Results of the Structural Model (Main Effect)

셋째, 독립변수들이 종속변수에 미치는 영향력인 결정계수(R2)를 확인하였다. 업무 모호성은 제재의 심각성과 확실성을 통해 28.2%의 영향력을 가지는 것으로 나타났으며, 준수의도는 제재의 심각성과 확실성, 그리고 업무 모호성에 의해 49.0%의 영향력을 가지는 것으로 나타났다.

주효과 분석 결과는 조직원의 보안 준수의도에 직접적으로 업무 모호성이 부정적 영향을 미치는 것을 확인하였는데, 엄격한 보안 정책 및 기술 도입으로 인한 개인에게 부여된 업무 달성에 어려움이 존재함을 의미하며, 이러한 문제를 조직이 이해하고 해결하기 위한 지원을 하는 것이 필요함을 제시한다. 또한, 업무 모호성을 감소시키기 위해서는 정보보안에 대한 명확한 정보 제공을 기반으로 개인의 부정적 행동을 억제하는 요인인 제재가 필요함을 확인하였다. 특히, 제재의 심각성과 확실성 모두 업무 모호성을 감소시키는 것을 확인하였으며, 준수의도에도 긍정적 영향을 직접적으로 미치는 것을 확인하였기 때문에, 조직은 정보보안 규칙 및 행동 방식, 그리고 예측되는 결과를 명확하게 제공하는 것이 필요함을 제시한다.

조절효과는 두 가지 관점에서 분석한다. 첫째, 제재가 업무모호성을 완화하는 것을 강화하는 요인(기술적 지원)을 확인하는 것이며, 둘째, 업무모호성이 준수의도를 감소시키는 것을 완화하는 요인(업무 대처)을 확인하는 것이다. 각 요인은 7점 리커트 척도로 측정되었기 때문에, AMOS 22.0을 활용하여 상호작용효과를 검증함으로써 영향력을 확인한다. 본 연구는 직교화접근법(orthogonalizing approach)을 통해 상호작용항을 도출하였으며[27], 분석 결과는 Table 5와 같다.

가설6은 기술적지원이 제재 심각성과 업무모호성의 관계를 조절할 것이라는 것으로, 분석 결과는 상호작용효과가 존재하는 것으로 나타났다. 명확한 효과 검증을 위해 그래프로 확인하였으며, 분석 결과는 제재 심각성이 낮을 경우, 기술적 지원 수준이 높으면 업무 모호성을 낮출 수 있는 것으로 확인되었다.

Fig. 3. 
Moderation Effect of Technical Support (H6)

가설7은 기술적 지원이 제재 확실성과 업무모호성의 관계를 조절할 것이라는 것으로, 분석 결과는 상호작용효과가 존재하는 것으로 나타났다.

Fig. 4. 
Moderation Effect of Technical Support (H7)

명확한 효과 검증을 위해 그래프로 확인하였으며, 분석 결과는 제재 확실성이 낮을 경우, 기술적 지원 수준이 높으면 업무 모호성을 낮출 수 있는 것으로 확인되었다.

가설 8은 업무 대처가 업무모호성과 준수의도의 관계를 조절할 것이라는 것으로, 분석 결과는 상호작용효과가 존재하는 것으로 나타났다. 명확한 효과 검증을 위해 그래프로 확인하였으며, 분석 결과는 업무 모호성이 높을 경우, 업무 대처가 높으면 준수의도에 미치는 부정적 영향을 낮출 수 있는 것으로 확인되었다.

Fig. 5. 
Moderation Effect of Task Coping (H8)

조절효과 분석 결과는 제재의 업무 모호성에 미치는 완화 효과를 조직차원의 기술적 지원이 강화하는 것을 확인하였다. 즉, 정보보안 정책의 강화는 업무 모호성을 낮출 수 있지만, 업무에 보안 행동을 적용할 때 발생하는 문제점을 상시적으로 해결해줄 수 있는 기술적 지원 프로그램은 이러한 효과를 높일 수 있음을 인지하고 조직차원의 지원을 늘리는 것이 필요함을 의미한다. 또한, 업무 모호성이 준수의도에 미치는 부정적효과를 업무 대처가 완화하는 것을 확인하였다. 즉, 개인에게 형성된 업무 대처 방식은 무엇보다 정보보안 기술에 대한 어려움을 해결하고자 하는 의지이기 때문에, 업무 모호성의 부정적 효과를 감소시킬 수 있음을 의미한다. 따라서, 조직은 개인의 업무 대처를 높이기 위한 교육 및 훈련 등을 강화할 필요가 있다

정보 자산 관리의 중요성이 높아짐에 따라, 조직들의 정보보안 투자는 증가하고 있다. 조직들은 보다 엄격한 보안 정책, 기술 등을 도입함으로써, 내·외부에서 발생가능한 보안 위협을 해결하고자 하고 있다. 하지만, 조직에 도입된 새로운 보안 체계는 업무에 보안 규정을 적용해야하는 조직원들에게 업무적 부담을 일으킬 수 있으며, 스트레스로 발현될 수 있다. 연구는 개인의 정보보안 관련 스트레스인 업무모호성이 개인의 정보보안 준수의도에 미치는 부정적인 영향을 확인하고, 업무모호성을 완화시키기 위한 요인을 제시하는 것을 목적으로 하였다. 이에, 정보보안 정책 및 기술을 엄격하게 적용하고 있는 기업에 근무하는 직장인들을 대상으로 설문지 기법으로 표본을 확보하였으며, AMOS 22.0의 구조방정식모델링을 적용하여 가설 검증을 실시하였다.

가설 검증 결과, 업무 모호성이 준수의도에 부정적인 영향을 미쳤으며, 준수의도에 긍정적 영향을 미치는 것으로 나온 제재 심각성과 제재 확실성이 업무 모호성을 감소시키는 것을 확인하였다. 또한, 기술적 지원이 제재가 업무 모호성에 미치는 감소효과를 강화하는 것으로 나타났으며, 업무 대처가 업무 모호성이 준수의도에 미치는 부정적 영향을 완화하는 것으로 나타났다. 본 연구는 국내 정보보안 준수 관련 스트레스 유형과 완화 유형을 제시함으로써, 조직 차원의 인식 및 개선에 대한 시사점을 제시한다.

본 연구는 다음과 같은 관점에서 학술적, 실무적 시사점을 가진다. 첫째, 정보보안 정책 및 기술 도입으로 인하여 발생가능한 업무적 스트레스 요인을 제시하고 보안 준수에 미치는 부정적 영향을 확인하였다. 정보보안 정책 및 기술이 도입되면, 조직은 기존 업무 체계에 새로운 규정들을 접목함으로써 조직원에게 새로운 지식을 확보하도록 유도한다. 이 경우, 개인은 자신의 역량 수준과 업무 체계를 함께 고려하며, 불균형이 발생시 스트레스를 일으키게 된다. 학술적 관점에서 본 연구는 업무 스트레스 요인인 업무 모호성이 정보보안 분야에서 적용되는 것을 확인하였으며, 정보보안 관련 스트레스 연구의 선행연구로서의 가치를 가질 것으로 판단한다. 또한, 실무적 관점에서 연구는 업무 모호성이 준수의도에 부정적 영향을 미치는 요인임을 확인하였기 때문에, 정보보안 기술을 도입한 조직에게 대처의 필요성을 인지시키는 효과를 가질 것으로 판단한다.

둘째, 정보보안 준수 행동에 영향을 주는 제재가 조직원의 업무 모호성을 감소시키는 효과가 있음을 확인하였다. 억제이론에 따르면, 개인에게 특정 활동에 대한 절차, 결과 등에 대한 명확한 정보를 제공할 때, 개인의 행동 수준은 높아진다고 하였다. 학술적 관점에서 연구는 이러한 정보보안 행동 결과의 정보 개념인 제재의 심각성과 확실성이 업무 모호성을 감소시키는 것을 확인하였으며, 이는 정보보안 분야에서 연구되지 않았던 부분이다. 이에, 스트레스 완화를 위한 요인을 제시하였다는 측면에서 시사점을 가진다. 실무적 관점에서 결과는 조직원의 업무 스트레스를 완화시키기 위한 조직의 노력요인을 제시하였으며, 정보보안 미준수 행동에 대한 명확한 절차 및 결과에 대한 정보를 제공하는 것이 필요함을 제시한다.

셋째, 정보보안 규칙을 업무에 적용 시 발생하는 어려움을 지원하는 개념인 기술적 지원이 가지는 효과를 확인하였다. 기술적 지원은 조직원의 보안 행동에 대한 필요 정보를 제공하고 개선방안을 마련하도록 돕는 조직의 활동이며, 제재가 업무 모호성에 미치는 감소 효과를 강화하는 역할을 하는 요인임을 확인하였다. 학술적 관점에서 기술적 지원이 조절 효과를 가져, 스트레스 완화에 도움을 주는 요인임을 밝혀냈다는 측면에서 시사점을 가진다. 실무적 관점에서 조직의 정보보안에 대한 기술적 지원이 강화될 필요성이 있음을 제시한다.

넷째, 특정 문제가 발생 시 문제 중심으로 해결하고자 하는 대처 개념인 업무 대처의 효과를 확인하였다. 업무 대처는 문제에 대하여 기술 습득, 행동 개선 등을 통하여 직접적으로 해결하고자 하는 행동의지이며, 정보보안에서 업무 모호성의 부정적 영향을 완화시키는 요인임을 확인하였다. 학술적 관점에서 업무 대처가 조절효과를 가져, 스트레스에 의한 부정적 영향(준수의도 감소)을 완화시키는 요인임을 제시하였다는 측면에서 시사점을 가진다. 실무적 관점에서 결과는 개인에게 형성된 스트레스를 완화시키기 위한 개인의 대처 유형을 찾았기 때문에, 개인이 문제 중심으로 대처할 수 있도록 관련 보안 정보를 제공하고 지원하는 것이 필요함을 제시하였다.

연구는 조직 내 보안 수준 향상을 위한 내부자의 준수의도에 미치는 영향 요인을 다각적으로 제시하였다는 측면에서 시사점을 가지나, 다음 측면의 연구의 한계성이 존재한다. 첫째, 연구는 정보보안 정책을 엄격하게 적용한 조직의 근로자들을 대상으로 설문을 실시하여, 응답 당시의 생각을 확인함으로써 가설을 증명하였다. 하지만, 조직 제재 등 보안적 특성을 명확하게 판단하기 위해서는 조직과 개인 관점의 데이터를 분리하여 수집 및 분석하는 것이 필요할 것으로 판단된다. 둘째, 설문에 응답한 응답자의 특성화가 추가적으로 필요할 것으로 판단된다. 본 연구는 응답자의 대처 유형 특징이 스트레스의 영향을 완화하는 것을 확인하였지만, 개인의 의사결정에 영향을 주는 요인은 다양하게 제시되고 있다. 예를 들어 조절초점이론(regulatory focus theory), 전망이론(perspective theory) 등은 개인의 의사결정을 분리하는 중요한 이론이며, 향후 연구에서는 응답자의 특성에 따른 분석을 한다면, 개인의 보안 준수 원인을 찾는데 도움을 줄 것으로 판단한다. 마지막으로, 연구는 정보보안을 도입한 조직으로만 특정하고 설문을 실시하였으나, 심리학, 사회학 등에서는 조직의 유형별 구성원의 행동 방식의 차이가 발생함을 제시하고 있다. 예를 들어 집단주의-개인주의와 같은 집단의 차이가 정보보안에 미치는 영향을 확인한다면 보다 높은 실무적 시사점을 제시할 수 있을 것으로 판단한다.