Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on The Preference Analysis of Personal Information Security Certification Systems: Focused on SMEs and SBs

개인정보보호 인증제도 선호도 분석에 관한 연구: 중소기업 및 소상공인을 중심으로

  • 박경태 (한국과학기술원 정보보호대학원) ;
  • 김세헌 (한국과학기술원 산업및시스템공학과)
  • Received : 2014.06.09
  • Accepted : 2014.10.07
  • Published : 2014.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

Over the past few years, security breaches have been consistently reported around the world. Especially, people's personal information are at risk of being breached as the firms gather and utilize the information for their marketing purposes. As an effort to revamp their data infrastructures, companies have rebuilt their system that almost every data, including the personal information, are stored within the digital database. However, this migration provides easier access to the database but it has also increased the system vulnerability. As the data can be easily exposed to the unauthorized personnel both intentionally and unintentionally, it is necessary for companies to establish a set of security protocol and operate the personal information protection system. There are two major certified security system in South Korea; PIMS from KISA and PIPL from NIA. This paper analyzes the preferences of SMEs and small business using conjoint attributes of PIMS and PIPL. The study shows that the business owners take post certification rewards as the most important factor. It also shows that the attributes that have the highest utility rates are the following; 1) KISA certification, 2) 79 points of protection counter measurements, 3) 28 items of life cycle, 3) 50 percent discount on certification fee, and 4) Reduced amount of fine for personal information leakage incident.

최근 국내 외에서 보안사고가 지속적으로 발생하고 있다. 특히 개인정보의 경우, 기업이 마케팅에 개인정보를 활용하면서 침해의 위험성이 더욱 증가하고 있다. 과거와 달리 기업이 개인정보가 데이터베이스화 하여 수집 관리하고 있기 때문에 고의 또는 실수로 유출 될 위험이 있다. 따라서 기업이 개인정보보호 관리 체계를 수립하고 운영하는 것이 매우 중요해졌다. 국내에서는 대표적으로 한국인터넷진흥원의 PIMS와 한국정보화진흥원의 PIPL 제도가 운영되고 있다. 하지만 개인정보보호 인증제도의 남발과 심사 항목 중복 등의 논란이 제기되고 있다. 따라서 본 연구에서는 PIMS와 PIPL의 속성을 가지고 컨조인트 분석을 통해 중소기업과 소상공인을 대상으로 선호하는 유형의 제도를 분석하였다. 연구 결과 속성 중에서는 인증 후 혜택을 가장 중요시 하는 것으로 나타났다. 각 속성 별로 효용이 가장 높은 수준은 한국인터넷진흥원(인증기관), 관리 과정 11개, 보호대책 79개, 생명주기 28개, 심사 수수료 50% 할인, 개인정보 유출 사고 과태료 할인 등으로 나타났다.

Keywords

I. 서론

21세기 들어 국내·외에서 보안사고가 지속적으로 발생하고 있다. 특히 개인정보의 경우, 기업이 마케팅 등에 개인정보를 활용하면서 개인정보 침해의 위험성이 증가하고 있다. 또한 과거와 다르게 개인정보들이 데이터베이스화 되어 중앙 집중 방식으로 수집·관리되고 있는 현대사회에서는 개인정보를 보유하고 있는 기업이 고의 또는 실수로 쉽게 개인정보가 유출될 수 있는 위험성에 놓여있다[15]. 국내에서는 2008년 옥션, 2011년 SK커뮤니케이션즈, 2011년 넥슨, 2014년 KB국민카드·롯데카드·NH농협카드 3사와 SK텔레콤·KT·LG유플러스·SK브로드밴드 등에서 대량의 개인정보 유출 사건이 발생한 바 있다. 특히 개인정보 유출 사건의 발단이 된 기업들이 대부분 대기업, 금융기관, 대형 IT 기업 등 정보보호에 있어서 철저한 관리 감독이 이루어져야하고, 이루어지고 있었을 것으로 신뢰를 받고 있던 기관들이었기에 충격이 더 컸다.

Table 1. Personal Information Leakage Accidents in South Korea

비단 위에서 언급한 대기업, 금융기관, 대형 IT 기업뿐만 아니라 개인정보보호에 대한 인식 제고와 관리체계를 수립·운용하는 것은 개인정보를 가지고 있는 모든 중소기업과 소상공인들에게도 필요하다. 중소기업과 소상공인들이 개인정보보호 관리 체계를 빠르고 효과적으로 수립·운용하는 방법으로는 공인된 기관의 개인정보보호 인증 제도와 그 가이드라인을 이용하는 것이 있다. 해외에는 대표적인 개인정보보호 인증 제도로 영국의 표준협회인 BSI에서 실시하고 있는 BS 10012가 있으며, 국내에서는 한국인터넷진흥원(KISA)에서 2010년부터 실시하고 있는 PIMS, 한국정보화진흥원(NIA)에서 2013년부터 실시하고 있는 PIPL이 있다.

하지만 국내에서는 PIMS에 이어 PIPL이 새로운 개인정보보호 인증제도로 제도 남발, 중복 규제 우려 등의 문제가 제기되고 있으며[1,2], 제도의 개선·보완이나 통합 등이 절실히 필요한 상황이다. 따라서 본 연구에서는 중복 우려가 제기되고 있는 PIMS와 PIPL 두 제도의 속성들을 가지고 중소기업과 소상공인들은 어떤 유형의 개인정보 인증 제도를 선호하는지 컨조인트(conjoint) 분석 기법을 이용하여 알아보고자 한다.

II. 이론적 배경

2.1 개인정보

개인정보보호법에서는 개인정보를 ‘살아있는 개인과 관련된 정보로써 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’ 또는 ‘해당 정보만으로는 특정인을 알 수 없으나 다른 정보들과 쉽게 결합하여 알 수 있는 것’으로 정의하고 있다. 개인정보는 정보화된 현대 사회에서 고객 관리, 전자상거래, 금융 거래 등 사회를 위한 필수적인 기능을 하며, 기업에게도 수익창출을 위한 자산 가치로 높게 평가 받고 있다. 하지만 개인정보 유출로 인해 스팸 문자, 피싱과 같이 전자 통신 수단을 이용한 사기 행위 등이 발생할 수 있다. 개인정보에는 이름 과 주민등록번호 같은 일반적인 정보부터 통신정보, 위치정보, 취미정보와 등도 포함된다[13].

2.2 개인정보보호 인증제도

국내에서는 한국인터넷진흥원과 한국정보화진흥원에서 운영하는 개인정보보호 인증제도로 PIMS와 PIPL이 있으며 두 제도를 간략하게 비교하면 다음과 같다.

Table 2. Comparison between PIMS and PIPL[13]

2.3 개인정보보호 관리체계 관련 선행 연구

그 간 개인정보보호 인증 제도와 관련된 연구는 국제 표준화 필요성, 평가지표 개발, 구축 사례, 거버넌스 등의 분야에서 주로 이루어져왔으며, 국내 공인기관에서 운영중인 개인정보보호 인증 제도의 선호도를 분석한 연구는 아직까지 미비하다. 이는 개인정보보호 인증 제도가 운영되기 시작한 시기가 PIMS의 경우 2010년, PIPL의 경우 2013년으로 길지 않기 때문인 것으로 생각한다.

III. 연구 설계

3.1 분석 기법

본 연구를 수행하기 위한 분석 기법으로 컨조인트 분석 기법을 이용하였다. 컨조인트 분석은 제품이나 서비스를 구성하는 요소들을 조합한 프로파일 카드들로 만든 뒤 응답자의 선호 순위를 통해 제품이나 서비스 구성 요소들의 최적 조합 도출, 중요도 계산 등이 가능한 기법이다[12].

3.2 프로파일 구성

컨조인트 분석을 위한 속성(attribute)으로는 인증기관, 인증심사 기준, 중소기업(소상공인) 심사 시 혜택, 인증 후 혜택을 선정하였다. 예비 조사 단계에서 심사비용도 속성으로 고려하였으나, 심사료 산출 시 필요한 항목인 개인정보 보유 수, 서버 컴퓨터 보유 수 등을 여러 기업의 상황에 맞게 평균화하는 것이 매우 어렵기 때문에 속성에서 제외하였다. 본 연구에서 선정한 속성은 모두 PIMS와 PIPL 각 인증제도의 표준 문서를 바탕으로 선정하였으며, 속성과 수준(level)은 다음과 같다.

Table 3. Attributes and Levels

위와 같은 속성 및 수준으로 프로파일 카드를 구성할 경우 24개가 추출이 되지만, 24개의 프로파일 카드를 응답하도록 하는 것은 응답자로 하여금 집중력을 저하시키고, 분석 결과의 신뢰도에 영향을 미칠 우려가 있기 때문에 SPSS의 직교 생성을 통해 모든 속성과 수준을 반영한 8개의 최소 프로파일 카드로 압축하였다.

3.3 표본 통계

본 연구의 실증 분석을 위한 조사 대상은 한국 내 중소기업과 소상공인으로 선정하였다. 온라인과 오프라인을 통해 설문지를 배부하였으며, 그 중 유효한 설문지 205부를 확보하여 실증 분석에 이용하였다. 회수된 설문지의 표본 통계는 다음과 같다.

Table 4. Respondent Statistics

IV. 연구 결과

4.1 전체 결과 분석

컨조인트 분석 결과 속성 별 중요도는 인증 후 혜택(36.213%), 인증 심사 기준(21.795%), 중소기업·소상공인 심사 시 혜택(21.715%), 인증기관(20.277%) 순으로 나타났다. 속성의 수준 별 효용으로 인증기관에서는 한국인터넷진흥원(.235), 중소기업·소상공인 심사 시 혜택에서는 심사 수수료 50% 할인(.035), 인증 후 혜택에서는 개인정보 유출 사고 과태료·과징금 할인(.333)이 가장 높은 수치를 기록하였다. 적합성 검정의 경우 본 연구에서는 서열 척도를 사용하였기 때문에 Kendall의 타우 값을 가지고 적합도를 검정할 수 있는데, 본 연구에서 Kendall의 타우 값이 .643을 기록하여 본 연구의 모델은 타당한 것으로 나타났다. 또 변수 간의 관련성을 구하기 위해 보편적으로 이용하는 피어슨 상관계수의 경우, 각 분석에서 .8대를 나타냈으며 이는 강한 양의 선형관계를 갖는 것으로 해석할 수 있다. 각 수준 별 효용, 속성 별 중요도, 적합성 검정 값은 다음과 같다.

Table 5. Conjoint Analysis Result

4.2 규모별 분석

4.2.1 중소기업

중소기업의 응답치만을 가지고 분석한 결과, 속성별 중요도는 인증 후 혜택(36.058%), 심사 혜택 (22.584%), 인증 심사 기준(21.526%), 인증기관(19.832%)의 순으로 나타났다. 각 속성별 중요도 및 수준별 효용은 다음과 같다.

Table 6. Conjoint Analysis Result of SMEs

4.2.2 소상공인

소상공인의 응답치만을 가지고 분석한 결과, 속성별 중요도는 인증 후 혜택(36.993%), 인증 심사 기준(23.147%), 인증 기관(22.515%), 심사 시 혜택(17.345%) 순으로 나타났다. 각 속성별 중요도 및 수준별 효용은 다음과 같다.

Table 7. Conjoint Analysis Result of SBs

V. 향후 제도 발전 방향 및 결론

5.1 연구 분석

연구 결과 중소기업과 소상공인들은 개인정보보호 인증 후의 혜택에 매우 높은 중요도(36.213%)를 부여하고 있는 것으로 나타났다. 그 중에서도 개인정보 유출 사고 시 과태료·과징금 할인(.333)과 개인정보 보호 배상 책임 보험료 할인(-.033)에 상대적으로 높은 효용을 부여하고 있음을 알 수 있었다. 또 중소기업·소상공인 심사 시 혜택에서는 심사 항목 축소보다 심사 수수료 할인에 더 높은 효용을 부여하고 있는데, 이 같은 분석 결과로 미루어 볼 때, 중소기업과 소상공인들은 개인정보보호 인증 심사 시와 인증 후에 경제적인 혜택을 더 중요시 하고 있는 것을 알 수 있었다. 인증기관에 대한 신뢰도에서는 한국인터넷진흥원이 한국정보화진흥원에 비해 상대적으로 높은 것으로 나타났는데, 이는 한국인터넷진흥원이 2000년 초부터 ISMS와 같은 정보보호 관련 인증제도를 시행하기 시작했고, 최근 일련의 정보보호 사건과 관련하여 언론에 기관명이 많이 언급되어 인지도가 더 높기 때문인 것으로 생각한다. 심사기준의 경우 분석 결과상으로는 KISA-PIMS의 기준이 더 효용성이 높게 나타났으나 이는 응답자인 중소기업·소상공인들이 아직 개인정보보호 인증에 관심은 가지고 있으나 제대로 체계를 이해하지 못 한 경우가 많기 때문에 심사기준에 큰 의미를 부여하여 해석하기 보다 심사 혜택과 인증 혜택에 초점을 맞추었다.

본 연구를 진행하면서 개인정보보호 인증 제도에 대한 인식과 인증 의향도 같이 조사하였는데, ‘인증제도에 대해 전혀 몰랐다’고 응답한 비율이 26.3%로 예상보다 적은 수치를 기록하였고, ‘인증 의향이 전혀 없다’고 응답한 비율도 9.8%에 불과했다. 이는 그 동안 정보보호 관련 투자, 인프라 확립, 인증 제도에 관심이 적은 것으로 여겨졌던 중소기업의 태도가 과거에 비해 긍정적으로 변화한 것으로 보인다.

Table 8. Awareness about Certification of Privacy Protection

Table 9. Intention to Obtain Certification of Privacy Protection

5.2 향후 제도 발전 방향

현재 방송통신위원회에서 ISMS, PIMS, PIPL을 통합한 ISMS-P(가칭)를 신설한다는 계획을 발표한 상태인데 본 연구의 결과에 비추어 볼 때 중소기업과 소상공인에 특화된 인증 제도로 더욱 발전하기 위해서는 이들을 위한 인증 혜택을 강화해야 할 것으로 생각한다. 본 연구에서는 현행 PIMS와 PIPL 제도에서 제시한 인증 혜택을 가지고 컨조인트 분석을 진행하였으나 이 외에도 다른 부분에서의 혜택, 특히 중소기업과 소상공인이 체감할 수 있는 혜택이 필요할 것으로 생각한다. 본 연구에서는 컨조인트 분석 결과 가장 높은 수준으로 분석된 인증 획득 시 혜택에 대해 중소기업과 소상공인들은 어떤 혜택을 원하는지(Q2), 또 정부에 바라는 지원 사항은 무엇이 있는지(Q1) 추가로 조사하여 빈도분석과 교차분석을 실시하였다, 빈도 분석 결과. 개인정보보호 인증을 위해 정부에서 지원했으면 하는 사항으로는 ‘개인정보보호 체계 도입·운용을 위한 교육 제공이 48.4%로 가장 높게 나타났고, 그 다음으로는 개인정보보호 인증 심사료 인하·할인(25.8%), 인증 획득을 위한 컨설팅 제공(19.4%), 개인정보보호를 법·제도적으로 의무화(6.5%) 순으로 나타났다. 개인정보 보호 인증 획득 시 원하는 혜택으로는 세제 관련 혜택(36.6%), 개인정보보호 실태조사 면제(31.2%), 개인정보보호 수준 유지를 위한 보조금 지급(16.1%), 개인정보 관련 사고 시 과태료 할인(11.8%), 개인정보 관련 사고 보험료 할인(3.2%) 순으로 나타났다.

Table 10. Result of Frequency Analysis(Q1)

Table 11. Result of Frequency Analysis(Q2)

응답자를 중소기업과 소상공인으로 나누어 교차분석을 실시한 결과 중소기업에서 선택한 개인정보보호 인증을 위해 정부에서 지원했으면 하는 사항으로는 개인정보보호 체계 도입·운용을 위한 교육 제공(34.4%), 개인정보보호 인증 심사료 인하·할인(16.1%), 인증 획득을 위한 컨설팅 제공(9.7%), 개인정보보호 인증을 법·제도적으로 의무화(5.4%) 순으로 나타났다. 소상공인의 경우 개인정보보호 체계 도입·운용을 위한 교육 제공(14.0%), 인증 획득을 위한 컨설팅 제공과 개인정보보호 인증 심사료 인하·할인(9.7%), 개인정보보호 인증을 법·제도적으로 의무화(1.1%) 순으로 나타났다. 분석 결과를 보면 중소기업과 소상공인들은 모두 개인정보보호 인증 보급 확대를 위해 정부가 지원해야 하는 사항으로 개인정보보호 체계 도입·운용을 위한 교육 제공을 가장 크게 바라는 것을 알 수 있었는데, 이는 중소기업과 소상공인 모두 개인정보보호 인증을 위해서는 그 기반을 매우 중요하게 생각하는 것으로 추정된다.

Table 12. Result of Crossover Analysis(Q1)

개인정보보호 인증 획득 시 원하는 혜택으로 중소기업은 개인정보보호 실태조사 면제(26.9%), 세제 관련 혜택(20.4%), 개인정보보호 수준 유지를 위한 보조금 지급(7.5%), 개인정보 관련 사고 시 과태료 할인(6.5%),개인정보 관련 사고 보험료 할인(3.2%), 국제 개인정보보호 인증 시 지원(1.1%) 순으로 나타났다. 소상공인의 경우 세제 관련 혜택(16.1%), 개인정보보호 수준 유지를 위한 보조금 지급(8.6%), 개인정보 관련 사고 시 과태료 할인(5.4%), 개인정보보호 실태조사 면제(4.3%) 순으로 나타났다. 분석 결과를 보면 중소기업의 경우 인증 획득 시 개인정보보호 실태조사 면제를 가장 많이 바라고 있는데 이는 실태조사와 같은 강제적인 조사 때문에 업무에 지장이 있거나 위축되는 것을 상당히 우려하기 때문인 것으로 추정되며, 세제 관련 혜택이나 개인정보보호 수준 유지와 같이 경제적인 혜택에 관심이 많은 것으로 추정된다. 소상공인의 경우 세제 관련 혜택과 개인정보보호 수준 유지를 위한 보조금 지급과 같이 경제적인 혜택에 관심이 많은 것으로 추정된다.

Table 13. Result of Crossover Analysis(Q2)

5.3 기대효과 및 활용방안

본 연구를 통해 차후 개인정보보호 인증제도 개선 시 심사 항목 중복 및 인증제도 남발 등의 논란을 줄이고 더 객관적인 제도로 개선되어 개인정보보호 인증의 저변이 확대되기를 기대한다. 특히 본 연구에서 제시한 “개인정보보호 인증을 위해 정부에서 지원했으면 하는 사항”과 “개인정보보호 인증 획득 시 원하는 혜택”에 대한 조사 결과는 개인정보보호 인증 저변 확대에 활용하기 매우 적절할 것으로 생각한다.

5.4 결론

본 논문에서는 개인정보보호 관련 인증제도 남발, 심사 항목 중첩 등의 논란이 제기되는 현 시점에서 국내의 대표적인 두 인증 제도인 PIMS와 PIPL의 속성들을 가지고 컨조인트 분석 기법을 이용하여 중소기업·소상공인이 선호하는 인증제도 유형을 분석하였다는 점에 의의가 있다. 또 연구 마지막에 중소기업과 소상공인이 실질적으로 바라는 개인정보보호 인증 확대를 위해 정부에서 지원했으면 하는 사항과 개인정보보호 인증 획득 시 원하는 혜택을 조사하여 빈도 분석과 교차 분석을 실시하였는데, 이 조사 결과는 차후에 관련 기관에서 개인정보보호 인증의 저변을 확대하는데 있어 매우 중요한 연구 자료가 될 것으로 생각한다.

References

  1. DATANET, http://www.datanet.co.kr/news/articleView.html?idxno=70902
  2. Ddaily, http://www.ddaily.co.kr/news/article.html?no=111106
  3. Seo Young-Soo, Lee Seong-Il, and Hwang K. T, "A Study on the Factors Affecting the Establishment of Personal Information Management Systems (PIMS)," Journal of Information Technology Applications & Management, Vol. 19, No. 3, pp. 31-47, 2012
  4. Park EunYeop, Jinwon Choi, and Taehee Cho, "The Case Study on The Certification of PIMS," REVIEW OF KIISC, Vol. 21, No. 5, pp. 27-36, Aug. 2011
  5. Mina Shim, "A Study on the Implementation Methodology of the Efficient PIMS Certification System," Ph.D. Thesis, Korea University, Dec. 2009
  6. Geonsang Cha, Hohyeorn Han, and Yongtae Shin, "An Effective Personal Information Management System to Ensure Self-imposed Control on Personal Information Protection Act," Journal of KISS : Information Networking, Vol. 39, No. 3, pp. 276-281, Jun. 2012
  7. Young Cheol Wang, "Analysis of problems on Screening Criteria for Information Security Management System (ISMS) and Personal Information Management System (PIMS)," M.S. Thesis, University of Incheon, Aug. 2013
  8. Myoung Sub Kim, "Developing Standard for Privacy Information Security Level Assesment," M.S. Thesis, Chonnam National University, Aug. 2011
  9. Heung-Youl YOUM, "Necessity of International Standardization of PIMS," REVIEW OF KIISC, Vol. 23, No. 4, pp.65-72, Aug. 2013
  10. Yang Liu, "A Comparative Study on Personal Information Management System Based on OECD Principles," M.S. Thesis, Chung-Ang University, Feb. 2011
  11. Kim Jungduk, "A Management System and Governance for Personal Information Security," REVIEW OF KIISC, Vol. 18, No. 6, pp. 1-5, Dec. 2008
  12. Ji-Chul Ha, Dong-Han Lee, Marketing Research Practice Notes, Korean Studies Information, 2010
  13. Privacy Information Protection Portal, http://www.privacy.go.kr
  14. Regulatory Reform Committee, http://www.better.go.kr
  15. Wikipedia,http://ko.wikipedia.org/wiki/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4
  16. Bryan Orme, Getting Started with Conjoint Analysis: Strategies for Product Design and Pricing Research, 2nd Ed., Research Publishers, LLC, Sep. 2010

Cited by

  1. The Effect of Information Security Certification Announcement on the Market Value of Firms vol.15, pp.3, 2016, https://doi.org/10.9716/KITS.2016.15.3.051