Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Factors Affecting Information Breach Intention: Based on General Deterrence Theory and Rational Choice Theory

정보유출의도에 대한 영향요인: 일반 억제 이론 및 합리적 선택 이론을 기반으로

  • 김준영 (충북대학교 정보보호경영학과) ;
  • 김태성 (충북대학교 경영정보학과)
  • Received : 2017.08.02
  • Accepted : 2017.10.17
  • Published : 2017.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

Generally, information breach incidents are thought to be caused by external hackers. However, both direct and indirect information breach incidents by insiders are more frequent than by external hackers. It also accounts for more than half of the total information breach, so it should be prepared against insider breach. In this study, based on General Deterrence Theory(GDT) and Rational Choice Theory(RCT), we integrated the risk sensitivity and situational anxiety, which were studied in the field of traffic psychology to construct research model. Result of analysis shows that the impact of risk perceptions on the severity and certainty of perceived punishment was not statistically significant, but perceived benefits, situational anxiety, and severity and certainty of perceived punishment were found to influence the information breach intention.

일반적으로 정보유출사건은 외부 해커에 의해 발생된다고 생각되지만 내부자에 의한 직간접적인 정보유출사건이 더 많고 전체 유출비중의 과반 수 이상을 차지하기 때문에 내부자 유출에 대한 대비가 필요하다. 본 연구에서는 일반 억제 이론과 합리적 선택 이론을 기반으로 교통심리학 분야에서 연구되었던 행동결정요인인 위험감수성과 상황불안을 통합해 연구모델을 구성하고 설문조사를 통해 실증분석 하였다. 분석 결과, 위험감수성이 지각된 처벌의 심각성 및 확실성에 미치는 영향은 통계적으로 유의미하지 않았으나, 지각된 이익, 상황불안, 지각된 처벌의 심각성 및 확실성은 정보유출의도에 영향을 주는 것으로 확인되었다.

Keywords

I. 서론

최근 미국에서, 국가안보국(National Security Agency)의†계약직원이 높은 접근권한을 이용해 기밀문건을 탈취한 사건이 있었다[1]. 또한 중국에서 개인정보 불법 유출 및 매매 용의자를 검거한 결과, 10명 중 1명이 해당 개인정보를 보유한 기관의 내부자인 것으로 나타났다[2]. 과거 국내에서는 외부 파견 직원에 의해 국내 카드사 고객정보가 1억 건이 넘게 유출된 사례도 있었다[3]. 이와 같이 내부자는 정보유출사건에서 중요한 비중을 차지하고 있다. 일반적으로 정보유출사건은 외부해킹에 의한 것이 많을 것이라고 생각되지만 실제로는 직간접적인 조직 내부자에 의한 정보유출사건이 더 많이 발생하며 전체 유출비중의 과반 수 이상을 차지한다[4,5].

정보보안의 행동적 연구들은 내부 및 외부 위협으로부터 조직의 디지털 자산을 보호하는 데 있어서 가장 큰 취약점이 내부자라고 주장한다[6,7,8]. 내부자에 의한 손상은 내부자가 의도적으로 보안 정책에 위배되는 행동을 하는 경우와 의도하지는 않았지만 보안 정책을 위반하는 경우로 구분할 수 있다[6]. 의도적인 악성 내부자의 행동은 자산 손실, 경쟁력 약화, 신용도 감소 등 조직에 직접적인 피해를 줄 수 있으며 사보타주(sabotage), 절도(stealing), 산업적 혹은 정치적 스파이 행위(espionage) 등이 이에 해당한다[6]. 가트너의 보고서에서는 악성 내부자 사건 중 62%는 부수익을 올리기 위해, 29%는 퇴사 후를 대비하기 위해, 9%는 피해를 주기 위해서 발생했다고 밝혔다[9]. 의도적이지 않은 내부자실수의 대부분은 악성 소프트웨어 감염으로 인한 보안 취약점의 생성으로 외부 해커가 내부 시스템에 침입하는 것을 더 용이하게 하는 간접적인 손상이다[6]. 이러한 내부자의 비의도적인 손상 행동은 단순한 비밀번호 사용, 회사 컴퓨터로 업무와 관련되지 않은 웹사이트 접속, 보호되지 않은 서버나 웹사이트에 기밀성이 필요한 자료를 부주의하게 포스팅하기, 이메일 및 웹사이트의 피싱 링크를 부주의하게 클릭하기 등이 있다[6,10,11,12]. 시만택과 포네몬 인스티튜트의 내부자에 의한 기업 핵심 정보 유출 위협에 대한 보고서에 따르면, 52%의 응답자가 개인 이메일 계정으로 업무 관련 파일을 취급하고, 37%는 클라우드 파일 공유 시스템을 이용해 업무관련 파일을 업로드하고, 41%는 개인소유의 태블릿 PC나 스마트폰으로 회사의 민감한 정보를 다운로드한다고 밝혔다[13]. 의도적인 내부자에 의한 손상뿐만 아니라 비의도적인 손상도 비중이 적지 않으며 그 피해도 무시할만한 수준이 아니기 때문에 내부자에 대한 대비는 반드시 필요하다고 할 수 있다[6,9].

본 연구에서는 일반 억제 이론(General Deterrence Theory)과 합리적 선택 이론(Rational Choice Theory)을 기반으로 교통심리학 분야에서 연구된 행동결정요인인 위험감수성(Risk Sensitivity)과 상황불안(Situational Anxiety)을 통합하여 정보유출의도에 영향을 미치는 요인이 무엇인지 확인하고자 한다.

II. 이론적 배경

2.1 일반 억제 이론

일반 억제 이론(General Deterrence Theory, GDT)은 범죄 및 반사회적 행동에 대한 연구에서 많이 사용되었고, 범죄학 분야에서 많이 활용되었다[14]. GDT는 인간이 합리적이며 경제적 선택을 하는 존재라는 전제 하에 범죄에 의한 이익이 처벌의 고통보다 크면 범죄가 발생하며, 처벌의 고통이 범죄의 이익보다 크면 범죄는 발생하지 않는다고 가정한다[15]. 처벌의 고통과 같은 불이익은 처벌의 심각성과 처벌의 가능성에 의해 그 효율성이 나타난다[16]. 처벌의 가능성이 높을수록, 처벌의 강도가 심각할수록 잠재적 범죄자는 불법적인 행동을 억제한다[14]. GDT는 IS(Information Systems) 환경에서 성공적으로 적용되어 왔고 특히, 컴퓨터 악용과 악성 내부자 유출 행동에 대한 억제 효과를 조사하기 위해 상당한 수의 연구가 시행되었다[6,16]. Straub과 Nance[17]는 보안활동주기(Security Action Cycle)을 통해 억제, 예방, 탐지, 즉각적인 대응 등을 제시하였고, 시스템 악용에 대한 대처 방법으로는 억제가 효과적이라고 하였다. D’arcy 외[18]는 보안 정책, SETA(Security Education, Training, Awareness)프로그램, 컴퓨터 모니터링 등 보안 대책에 대한 사용자 인식과 지각된 처벌의 심각성, 지각된 처벌의 확실성 등의 억제 인식이 IS 악용 의도에 주는 영향을 알아보기 위해 확장된 GDT모델을 활용하였다.

억제 이론에서 인간이 합리적이라고 가정하는 것은 계획된 범죄가 아닌 폭력이나 강간과 같이 충동적으로 발생되는 범죄에 대해서는 명확한 설명이 불가능하기 때문에 비판을 받기도 한다[19]. 그러나 IS 환경에서의 악용이나 산업 기밀 유출 등은 충동적인 행동이라기보다는 계산적인 행동이며, 이러한 행동을 하는 사람들은 이성적인 판단 능력을 가진 사람들이라고 볼 수 있기 때문에 억제 이론이 효과적으로 적용될 가능성이 높다[19].

정보유출행동은 철저하게 계산된 행동이라고 할 수 있으며 GDT모델은 이미 다양한 연구에서 그 효과성을 검증했기 때문에 본 연구에서도 GDT모델을 적용하였다.

2.2 합리적 선택 이론

합리적 선택 이론(Rational Choice Theory, RCT)에 따르면 사람들은 모든 행동을 선택하고, 그 행동은 쾌락을 추구하며, 고통을 감소시키는 방향으로 진행이 되고, 쾌락과 고통은 합리적으로 계산이 되며, 계산 결과를 바탕으로 이익이 큰 방향으로 선택을 진행한다[19]. RCT 관점에서는 범죄자들이 검거와 처벌이라는 위험성을 고려서 범죄로 인해 얻을 즐거움이나 이익을 계산해 범죄 행동으로 진행할지 말지 결정한다[20]. 합리적 선택 이론의 주요 개념은 편익(benefit)과 비용(cost)이다[19]. 의사결정자들은 특정 행동으로 인한 손실이 적고 이익이 크다면 그 행동을 수행한다. 범죄의 관점에서는 범죄자들이 범죄로 인한 손실보다 이익이 크다면 범죄를 감행할 것이나, 합법적으로 얻을 수 있는 이익이 크다면 범죄를 저지르지 않는다[21]. RCT와 유사하게 기대 효용 이론에서도 의사결정자들은 완벽히 합리적이고 위험-혜택 평가를 완벽히 수행할 수 있으며, 효용의 극대화를 위해 위험-혜택 평가 결과와 완벽하게 일관성이 있는 선택을 한다고 가정한다[22]. 위험이란 미래에 발생할 수 있는 바람직하지 않은 사건의 확률을 뜻하며, 혜택은 개인의 효용을 높이는 물질적, 비물질적 보상을 의미한다[23]. Walt[24]는 산업 보안 분야에서 일어나는 범죄들이 다른 분야에 비해 이성적이고 비용-편익 분석을 많이 한다고 주장하였는데, 정보유출행동은 비교적 충분한 시간을 가지고 계획 하에 이루어지기 때문에 합리적 선택 이론을 적용하는 것이 타당하다고 전제하였다.

2.3 위험감수성과 상황불안

위험감수성(risk sensitivity)과 상황불안(situational anxiety)은 국내 교통심리학 분야의 운전행동에 관한 연구에서 많이 사용되었다. 본 연구에서는 위험감수성과 상황불안의 개념을 정보보안 분야에 적용해 효과성이 있는지 검증해 보고자 하였다. 김종회와 오주석, 이순철[25]은 위험 운전에 영향을 미치는 위험감수성, 준법정신, 상황적응성 등의 운전 행동결정요인을 밝혀냈다. 이순철과 오주석[26]은 일반 운전자들과 위험 운전자들에 대한 비교 연구를 진행하였고 위험감수성 및 상황적응성의 수준과 교통사고 가해경험 간의 밀접한 관련을 밝혀냈으며, 상황 불안이 높고 위험감수성이 낮은 경우 과속운전행동을 많이 한다는 것을 밝혀냈다.

2.3.1 위험감수성

인간은 객관적 위험 상황에서 주관적 위험평가를 통해 위험을 인식한다. 주관적 위험평가가 적절히 이루어지지 않으면, 높은 위험 환경에서 낮은 위험평가를 수행해 위험행동을 하거나 낮은 위험환경에서 높은 위험평가를 수행해 불안감을 느껴 적절한 행동을 하지 못 하기도 한다[27]. 위험상황에 처한 인간은 주관적으로도 위험을 인지해야 위험상황에서 빠져나오려 노력을 하거나 위험을 감소 혹은 제거하기 위해 대응을 할 수 있다[28]. 위험감수성은 위험에 대한 정서적, 감각적 예민함으로 위험을 예측하고 대처할 수 있는 능력이라고 할 수 있으며, 이 위험감수성의 수준에 따라 안전행동의 정도가 달라진다[25]. 적정수준의 위험감수성은 위험상황을 적절히 판단해 안전행동을 할 것이고, 위험감수성이 부족한 경우에는 위험을 예측하지 못해 위험행동을 할 것이다.

본 연구는 정보유출 행위에 대한 처벌과 같은 불이익을 위험이라고 가정하여 위험감수성이 GDT모델의 억제 요인이 미치는 영향을 알아보고자 하였다.

2.3.2 상황불안

상황불안은 물리적 환경에 대한 적응 및 불안 수준이라고 할 수 있다[29]. 오주석과 이순철[29]은 위험운전자들이 일반운전자들과 차별화되는 심리적 특징으로 사회부적응행동 비율이 높다고 하였다. 이순열[27]은 정서적 불안과 관련된 다양한 연구들에 대해 언급했고 이를 종합하자면, 불안이 높은 사람들은 그렇지 않은 사람들보다 사고와 관련이 더 많으며, 불안 수준이 낮은 사람보다 위험 평가가 둔감하며 위험행동의 빈도가 더 높다. 박선진과 이순철[30]에 따르면, 음주운전상황에서 음주단속과 같은 불안상황에서 운전자는 운전을 빠르게 종료하기 위해 과속을 하는 등의 서두름 행동을 하여 위험을 증가시킨다.

본 연구에서는 상황불안이 개인의 적응성과 관련성이 있고 높은 수준의 불안은 위험 행동에 영향을 주기 때문에 정보유출의도에 대해서 상황불안이 주는 영향을 알아보고자 하였다.

III. 연구모형 및 가설

3.1 연구모형

3.1.1 정보유출의도

인간의 행동은 의도나 흥미, 경험, 지식 및 태도, 성격, 대인관계 등의 여러 가지 개인, 사회문화적 요인에 의해 영향을 받는다[25]. 정보유출의도는 조직 내에서 조직의 자원을 유출시키는 행동을 할 의도로 정의할 수 있다. 의도란 행동에 영향을 줄 수 있는 동기적 요인이라고 할 수 있다[31].

따라서 정보유출의도를 측정하는 것은 정보유출행동의 동기적 요인을 측정하는 것이라고 볼 수 있다.

3.1.2 억제 요인 – 지각된 처벌의 심각성 및 확실성

GDT는 바람직하지 못한 행위에 대한 지각된 처벌의 심각성과 지각된 처벌의 확실성이 클수록, 그 행위를 억제한다고 가정한다[32]. 지각된 처벌의 심각성이란 정보 유출 행위 발각 시의 처벌의 정도를 말하고, 지각된 처벌의 확실성이란 유출 행위를 했을시에 처벌을 받을 가능성을 말한다[33]. 억제 연구는 처벌 공포가 다양한 범죄 및 일탈 행동에 대한 공포를 예측한다는 일관성을 보여왔다[34].

따라서 본 연구에서도 정보유출의도에 영향을 미칠 수 있는 요인으로 지각된 처벌의 심각성과 지각된 처벌의 확실성을 억제 요인으로써 고려하였다.

Fig. 1. Research model

3.1.3 위험감수성

위험감수성은 위험을 예측하고 대처할 수 있는 능력을 말하며, 위험감수성의 수준에 따라 안전행동의 정도가 달라진다[25]. 일반적으로 위험은 Hazard와 Risk로 나뉜다. 전자는 물리적, 객관적 위험으로 상해나 사망 등의 원인이 되거나 기여할만한 조건이나 상황이다. 후자는 상해나 사망의 가능성을 말하며, 행동주체의 주관적인 판단에 의한 위험 가능성을 의미하는 객관적이지 않은 사고요인이다[25]. 즉, 객관적이고 물리적인 Hazard 상황이라도 개인에 따라 사고 가능성에 대한 판단은 달라질 수 있다[35].

본 연구에서의 지각된 처벌의 확실성과 지각된 처벌의 심각성은 주관적인 판단인 Risk라고 볼 수 있다. 따라서 지각된 처벌의 확실성과 심각성에 영향을 미칠 수 있는 요인으로 위험감수성을 도출하였다.

3.1.4 상황불안

상황불안은 물리적 환경에 대한 적응 및 불안수준이라고 할 수 있다[29]. 김종회 등[25]이 운전행동이 인간이 자동차의 기계적 조작에 능숙해지는 것이 아니라 자동차를 이용해 교통 환경에 적응해가는 행동으로 보는 것처럼 정보보안행동은 정보보안 맥락에서 인간이 정보 시스템을 활용하는 것에 능숙해지는 것이 아니라 정보환경에 적응해가는 행동이라고 볼 수 있다. 교통 환경에서의 부적응은 교통사회에 무질서를 유발시키고 교통사고의 원인으로 작용한다[25]. 이와 마찬가지로 정보환경에서의 부적응은 정보보안에 무질서를 유발시키고 정보유출의 원인으로 작용될 수 있을 것이라 판단된다.

따라서, 정보유출의도에 영향을 미칠 수 있는 요인으로 상황불안을 도출하였다.

3.1.5 지각된 이익

RCT에서는 비용-편익 평가를 통해 편익이 비용보다 클 때 행동을 수행하는 합리적인 평가를 한다[19]. 또한 기대효용이론에서 의사결정자들은 완벽히 합리적이고 비용-편익 평가를 완벽히 수행할 수 있으며, 효용의 극대화를 위해 비용-편익 평가 결과와 완벽하게 일관성이 있는 선택을 한다고 가정한다[22]. 보안 분야에서 RCT는 억제 이론을 보조하는 측면에서 사용이 되기도 한다[19]. 또한 산업 보안 분야에서 발생하는 범죄들은 다른 분야에 비해 이성적이기 때문에 비용-편익 평가가 이루어지기 쉽다[24]. 지각된 이익은 유출 행위를 했을 시에 얻을 수 있다고 생각되는 이익의 정도를 말한다. GDT모델은 처벌의 심각성, 처벌의 확실성 등 위험 요인만 고려한다.

따라서 편익 요인을 고려하지 못하기 때문에 의사 결정자의 비용-편익 평가가 불가능하다. 이에 대해 비교할만한 편익 요인을 첨가하기 위해 지각된 이익을 고려하였다.

3.2 가설의 설정

3.2.1 위험감수성과 억제 요인의 관계

인간의 행동은 의도와 흥미, 지식, 경험과 같은 개인적 요인과 대인관계나 태도와 성격과 같은 사회적 요인의 영향을 받게 된다[25]. 그러나 이순철[36]에 따르면, 개인적 요인과 사회적 요인은 간접적인 것으로, 운전 행동 시에는 준법정신, 위험감수성, 상황적응성 등이 직접적인 행동결정요인이 될 수 있다고 하였다. 따라서 정보보안의 맥락에서도 정보관리 행동을 할 때, 위험감수성이 영향을 줄 수 있을 것이라 가정하였다. 위험감수성이란 위험을 예측하고 대처할 수 있는 능력으로, 위험감수성의 수준에 따라 안전 행동의 수준이 달라진다[25]. 지각된 처벌의 심각성과 지각된 처벌의 확실성은 위험요인이라고 볼 수 있다.

따라서, 위험감수성이 부족하다면 처벌의 강도에 대해 민감하지 않을 것이며, 처벌의 가능성을 낮게 평가하고, 처벌을 더욱 더 가볍게 평가할 것이라고 가정하였다.

가설 1. 위험감수성은 지각된 처벌의 심각성에 정(+)의 영향을 미칠 것이다

가설 2. 위험감수성은 지각된 처벌의 확실성에 정(+)의 영향을 미칠 것이다.

3.2.2 억제 요인과 정보유출의도의 관계

GDT는 바람직하지 못한 행위에 대한 지각된 처벌의 심각성과 지각된 처벌의 확실성이 클수록, 그 행위에 대해 억제한다고 가정한다[32].

따라서 지각된 처벌의 심각성이 클수록 정보유출의도가 낮아지고, 지각된 처벌의 확실성이 클수록 정보유출의도도 낮아질 것으로 가정하였다.

가설 3. 지각된 처벌의 심각성은 정보유출의도에 부(-)의 영향을 미칠 것이다.

가설 4. 지각된 처벌의 확실성은 정보유출의도에 부(-)의 영향을 미칠 것이다.

3.2.3 혜택 요인과 정보유출의도의 관계

RCT에서 의사결정자는 비용-편익 평가를 통해 목표행동의 편익이 비용보다 클 때, 목표행동을 감행한다[19,22].

따라서 편익 요인이라고 볼 수 있는 지각된 이익이 클수록 의사결정자의 정보유출 의도는 높아질 것이라고 가정하였다. 가설 5. 지각된 이익은 정보유출의도에 정(+)의 영향을 미칠 것이다.

3.2.4 상황불안과 정보유출의도의 관계

상황불안은 물리적 환경에 대한 적응 및 불안 수준으로 상황불안이 높다는 것은 환경에 적응하지 못하는 불안한 상태를 말한다[29]. 김종회 등[25]에 따르면 교통 환경에서의 부적응은 교통사회의 무질서를 유발하고 사고의 원인으로 작용할 수 있다. 교통사고의 발생은 도로조건, 안전시설, 차량조건 등의 물리적 교통 환경 속에서 운전자와 보행자 등 교통참가자가 어떤 행동을 취했느냐에 따라 달라진다[35]. 즉, 상황에 적절한 행동이 안전운전으로 이어지고 교통흐름을 원활하게 해 주는 역할을 하는 것이다[25]. 이를 정보시스템에 적용해 보면, 정보보안 맥락에서의 부적응은 정보관리소홀, 불법정보매매 등의 무질서를 유발하고 정보유출의 원인으로 작용할 수 있을 것이다.

따라서, 다음과 같은 가설을 도출하였다.

가설 6. 상황불안은 정보유출의도에 정(+)의 영향을 미칠 것이다.

3.3 조절효과

RCT와 기대효용이론에 따르면 의사결정자들은 완벽히 합리적이고 비용-편익 평가를 완벽히 수행할 수 있으며, 효용의 극대화를 위해 비용-편익 평가 결과와 완벽하게 일관성이 있는 선택을 한다고 가정한다[19,22]. GDT 모델의 지각된 처벌의 확실성과 지각된 처벌의 심각성은 위험 요인이라고 볼 수 있다. 지각된 이익은 편익 요인이라고 볼 수 있다.

따라서 지각된 이익은 지각된 처벌의 심각성과 지각된 처벌의 확실성에 조절효과를 가질 것이라고 가정하였다.

가설 7. 지각된 이익은 지각된 처벌의 심각성이 정보유출의도에 미치는 영향에 부(-)의 조절 효과를 줄 것이다.

가설 8. 지각된 이익은 지각된 처벌의 확실성이 정보유출의도에 미치는 영향에 부(-)의 조절 효과를 줄 것이다.

IV. 연구방법

본 연구의 목적은 위험감수성이 억제요인에 어떻게 영향을 미치는지 알아보고, 상황불안 및 억제 요인과 편익 요인이 정보유출의도에 어떻게 영향을 미치는지 알아보는 것이다. 따라서 질문지를 통해 행동 결정요인인 상황불안, 위험감수성을 먼저 측정하고 이후 시나리오를 제시하였다. 시나리오는 참가자가 고객DB에 접근권한이 있는 관리자의 입장이 되어서 개인정보를 판매해 이익을 얻을지 말지 고민하는 시나리오로, Hovav 등[18]의 연구를 참고해 본 연구에 맞도록 구성하였다. 시나리오를 제시한 뒤 질문을 통해 지각된 처벌의 심각성과 지각된 처벌의 확실성 등의 억제 요인과 지각된 이익과 같은 편익 요인을 측정하고, 정보유출의도 또한 측정하였다. 본 연구에서 사용된 측정도구 및 관련 문헌은 [표1]에 제시되어 있다.

Table 1. Measurement Items 

본 설문은 2016년 4월 28일부터 2016년 5월 7일까지 진행되었다. 설문의 대상은 충북대학교 사회과학대학 및 경영대학의 재학생 158명으로 남학생 103명, 여학생 55명이다. 사회과학대학 및 경영대학의 졸업자들은 금융, 마케팅, 영업 및 영업관리 등의 직무로의 진출 가능성이 높다. 해당 직무들이 고객정보를 취급하기 때문에 참가자들을 잠재적인 고객정보취급자라고 가정하였다.

V. 실증분석

본 연구에서는 Smart PLS 2.0 패키지의 PLS 알고리즘과 부트스트래핑을 이용해 위험감수성, 지각된 처벌의 심각성, 지각된 처벌의 확실성, 지각된 이익, 상황불안, 정보유출의도 등의 변수에 대한 신뢰도와 타당도 검증 및 가설에 대한 검증을 하였다.

5.1 신뢰도 검증

복합 신뢰도의 값이 0.7 이상이며, 평균분산추출의 값이 기준치인 0.5 이상일 경우 내적 일관성이 있다고 볼 수 있다[37]. 또한 크론바흐 알파 값의 기준치는 0.7 이상이다[37]. 본 연구에서는 [표2]와같이 모든 변수들의 평균분산추출값은 0.736 이상의 값을 보였고, 복합 신뢰도는 0.893 이상의 값을 보였으며, 크론바흐 알파 값은 0.844 이상의 값의 결과를 보여 모든 변수는 신뢰성이 확보된 것으로 나타났다. 따라서 본 측정 모형의 내적 일관성은 적합한 것으로 나타났다.

Table 2. Results of reliability analysis

*RS=Risk Sensitivity

*PS=Percieved Severity

*PC=Percieved Certainty

*PP=Percieved Profit

*SA=Situational Anxiety

*BI=information Breach Intention

5.2 타당도 검증

판별 타당성을 확보하기 위한 조건으로는 해당 변수의 평균분산추출 값의 제곱근이 다른 변수들 간의 상관계수보다 모두 커야 한다[37]. 분석 결과, 평균분산추출의 제곱근 값 중, 가장 작은 값(0.858)이 가장 큰 상관계수 값(0.568)보다 크기 때문에 판별 타당성은 적합한 것으로 나타났다.

타당성 검증 대상 변수에 대한 요인적재량 값이 0.7 이상이 되어야 하고 요인적재량은 그 외의 변수들에 대한 교차 요인적재량보다 커야 집중타당성이 확보된다고 본다[37]. 요인분석 결과, 모든 변수들에 대해서 잠재 변인 별 측정 항목의 요인적재량이 0.7 이상이며, 다른 측정항목과의 교차요인적재량 값보다 해당 측정 항목의 값이 큰 것으로 나타났기 때문에 집중타당성이 확보되는 것으로 나타났다.

5.3 가설 검증

PLS의 부트스트랩을 500샘플링 하여 경로계수의 유의성을 추정하여 평가하였고, 분석 결과는 [표3] 과 같다.

Table 3. Results of hypotheses test

*RS=Risk Sensitivity

*PS=Percieved Severity

*PC=Percieved Certainty

*PP=Percieved Profit

*SA=Situational Anxiety

*BI=information Breach Intention

위험감수성이 높을수록 지각된 처벌의 심각성이 높아진다는 가설 1은 두 변수 간 통계적 유의성이 없는 것으로 나타나 기각되었다. 위험감수성이 높을수록 지각된 처벌의 확실성이 높아진다는 가설2 또한 두 변수 간 통계적 유의성이 없는 것으로 나타나 기각되었다. 지각된 처벌의 심각성이 높을수록 정보 유출의도가 낮아진다는 가설3은 채택되었다. 지각된 처벌의 확실성이 높을수록 정보유출의도가 낮아진다는 가설4은 채택되었다. 지각된 이익이 높아질수록 정보유출의도가 증가한다는 가설5는 채택되었다. 상황불안이 높을수록 정보유출의도가 증가한다는 가설 6은 채택되었다. 지각된 이익이 지각된 처벌의 심각성이 정보유출의도에 미치는 영향에 부정적 조절효과를 준다는 가설7은 채택되었다. 지각된 이익이 지각된 처벌의 확실성이 정보유출의도에 미치는 영향에 부정적 조절효과를 준다는 가설 8은 기각되었다.

VI. 결론

본 연구는 일반 억제 이론과 합리적 선택 이론을 기반으로 위험감수성, 상황불안이 통합된 모델을 구성해 정보유출의도에 어떻게 영향을 미치는지 알아보고자 하였다.

첫째, 일반 억제 이론에서의 억제 요인으로 지각된 처벌의 심각성과 확실성을 고려하였고 이에 대해 위험감수성이 영향을 줄 것이라 가정하였다. 분석결과, 위험감수성은 억제 요인에 영향을 미치지 않는 것으로 나타났다. 인간이 위험에 대한 대비를 하기 위해서는 객관적 위험 상황에서 주관적으로 위험을 인지해야 하는데 가상의 시나리오라는 상황적 한계 때문에 객관적 위험 상황을 주관적으로 인지하지 못했을 가능성이 있다.

둘째, 상황불안은 정보유출의도에 정(+)의 영향을 주는 것으로 나타났다. 김종회 등[25]은 교통 환경에서의 부적응이 교통사회의 무질서를 유발하고 사고의 원인으로 작용할 수 있다고 하였다. 이는 상황 불안을 적응성이라는 연장선에서 생각할 수 있다는 말과 같다. 따라서 환경에서의 부적응은 정보유출의 도에 영향을 미치는 것이라고 볼 수 있다. 보안뉴스[9]에서 밝혔듯이 악성 내부자 사건 중 62%는 부수익을 올리기 위해 발생하고 29%는 퇴사 후를 대비하기 위한 목적으로, 9%는 피해를 주기 위해 발생한다는 조사결과는 이러한 행동들이 조직 내 부적응의 결과라는 것을 나타내기도 한다.

셋째, 기대효용이론과 합리적 선택 이론에 따르면, 인간은 비용-편익 평가를 통해 의사결정을 한다. 따라서 지각된 이익을 편익 요인으로 두고, 지각된 처벌의 심각성과 확실성 등 억제 요인을 비용(위험)요인으로 설정하였다. 분석 결과, 지각된 이익, 지각된 처벌의 심각성, 지각된 처벌의 확실성은 각각 정보유출의도에 영향을 미치는 것으로 나타났다. 정보 유출에 대한 영향의 크기는 지각된 처벌의 심각성(-0.276), 지각된 처벌의 확실성(-0.217), 지각된 이익(0.178)로 억제 요인이 더 큰 것으로 나타났다. 결과적으로, 편익 요인보다는 억제 요인의 영향이 더 크다. 또한 지각된 이익은 지각된 처벌의 심각성이 정보유출의도에 미치는 영향에 조절효과가 있었다. 그러나 지각된 이익은 지각된 처벌의 확실성이 정보 유출의도에 미치는 영향에 대한 조절효과는 통계적으로 유의미하지 않은 것으로 분석되었다.

본 연구의 한계점은 첫째, 참가자들이 조직 업무가 어떤 프로세스를 가지고 진행이 되는지 명확하게는 알 수 없고, 조직 환경 내에서의 다양한 요인들을 실제로 경험하지 않았기 때문에 실제 재직자들과는 다른 결과가 나타났을 수도 있다. 따라서 추후 연구에서는 동일하거나 유사한 프로세스를 가진 직무군을 대상으로 하거나 특정 기업으로 한정하는 등의 표준화 절차가 필요할 것이다. 둘째, 정보유출의도를 직접적으로 측정하기보다는 다양한 수준의 정책위반 시나리오를 제시해 준수의도를 측정하는 것이 보다 합리적이었을 것이다. 셋째, 위험감수성은 일반적인 위험 상황에 대한 심리적 결정요인으로, 범죄행위로 발생하는 위험에 대해서는 적절한 선행요인이 아니었을 수 있다. 따라서, 추후 연구에서는 범죄와 관련이 있는 선행요인을 규명해 내는 것이 필요하다.

본 연구의 의의로는 첫째로, 일반 억제 이론에 기반해 비용-편익 평가를 수행하는 합리적 선택 이론을 접목시키는 시도[19]는 정보보호 분야에서 연구된 적이 있었다. 그러나 본 연구는 주로 교통심리학 분야에서 연구되고 있는 상황불안, 위험감수성 등의 행동결정요인을 고려했다는 점에서 기존의 연구와는 차별화된다. 마지막으로, 정보보호 분야에서 대부분의 연구들은 관리적 측면에서 어떻게 하면 보안 정책을 잘 수립하고 이를 조직원들이 잘 준수할 수 있을지 고민한다. 본 연구는 기존의 관점에서 조금 벗어나 위험감수성과 상황불안과 같은 개인 내적 요소들이 주는 영향을 검증하고자 시도하였다. 정보보호 분야에서 내부자의 정보 유출 방지는 기술적 방법보다는 관리적인 방법으로 수행되어야 하지만 추가적으로 개인 내적 특성을 규명한다면 관리를 더욱 용이하게 할 수 있다. 즉, ‘누가 정보 보안 정책을 준수하지 않는가?’에 대한 해답은 내부자 정보 유출 문제 해결에 대해 도움을 줄 수 있을 것이라 기대된다.

* 본 연구는 과학기술정보통신부 및 한국인터넷진흥원의 “고용 계약형 정보보호 석사과정 지원사업”(과제번호 H2101-17- 1001) 및 충북대학교 보안경제연구소의 지원을 받아 수행된 연구임

References

  1. Boannews, "NSA contractor who caught in early October, stole 50 terabytes confidential," 22 Oct. 2016.
  2. Boannews, "In China, 10 of 1 illegal personal information seller was 'insider'," 28 Sep. 2016.
  3. Boannews, "The number of credit card companies' customer information leakage over 100 million," 8 Jan. 2014.
  4. W. Baker, M. Goudie, A. Hutton, C.D. Hylender, J. Niemantsverdriet, C. Novak, D. Ostertag, C. Porter, M. Rosen, B. Sartin, and P. Tippett, "2010 Data breach investigations report," Verizon Business, 2010.
  5. R. Richardson, "2010/2011 CSI Computer Crime and Security Survey," Computer Security Institute, 2011.
  6. R.E. Crossler, A.C. Johnston, P.J. Lowry, Q. Hu, M. Warkentin, and R. Baskerville, "Future directions for behavioral information security research," Computers & Security, vol. 32, no.1, pp. 90-101, Feb. 2013. https://doi.org/10.1016/j.cose.2012.09.010
  7. M. Warkentin and R. Willson, "Behavioral and policy issues in information systems security: the insider threat," European Journal of Information Systems, vol. 18 no. 2, pp. 101-105, Apr. 2009. https://doi.org/10.1057/ejis.2009.12
  8. Q. Hu, T. Dinev, P. Hart, and D. Cooke, "Managing employee compliance with information security policies: the critical role of top management and organizational culture," Decision Science, vol. 43 no. 4, pp. 615-660, May. 2012. https://doi.org/10.1111/j.1540-5915.2012.00361.x
  9. Boannews, "Insider threat, can't cope and worse than thought," 18 Aug. 2016.
  10. J.M. Stanton, K.R. Stam, P. Mastrangelo, and J. Jolton, "Analysis of end user security behaviors," Computers & Security, vol. 24 no. 2, pp. 124-133, Mar. 2005. https://doi.org/10.1016/j.cose.2004.07.001
  11. K.H. Guo, Y. Yuan, N.P. Archer, and C.E. Connelly, "Understanding nonmalicious security violations in the workplace: a composite behavior model," Journal of Management Information Systems, vol. 28 no. 2, pp. 203-236, Dec. 2011. https://doi.org/10.2753/MIS0742-1222280208
  12. R. Willson and M. Warkentin, "Beyond deterrence: an expanded view of employee computer abuse," MIS Quarterly, vol. 37 no. 1, pp. 1-20, Mar. 2013. https://doi.org/10.25300/MISQ/2013/37.1.01
  13. Boannews, "Office worker 2/3, 'outflow of work data' what's the matter??," 19 Mar. 2013.
  14. M. Theoharidou, S. Kokolakis, M. Karyda, and E. Kiountouzis, "The insider threat to information systems and the effectiveness of ISO17799," Computers & Security, vol. 24 no. 6, pp. 472-484, Sep. 2005. https://doi.org/10.1016/j.cose.2005.05.002
  15. H. Shin, E. Park, S. Ahn, J. Nam, and S. Lee, The Encyclopedia of Police Science, Seoul: Bobmunsa, Nov. 2012.
  16. D.W. Straub and R.J. Welke, "Coping with systems risk: security planning models for management decision making," MIS Quarterly, vol. 22 no. 4, pp. 441-469, Dec. 1998. https://doi.org/10.2307/249551
  17. D.W. Straub Jr and W.D. Nance, "Discovering and disciplining computer abuse in organizations: a field study," MIS Quarterly, vol. 14 no. 1, pp. 45-60, Mar. 1990. https://doi.org/10.2307/249307
  18. J. D'arcy, A. Hovav, and D. Galletta, "User awareness of security countermeasures and its impact on information systems misuse: a deterrence approach," Information Systems Research, vol. 20 no. 1, pp. 79-98, Mar. 2009. https://doi.org/10.1287/isre.1070.0160
  19. W. Kang and Y. Chun, "Determinants of industrial security officers' conformity of security rules: focusing deterrence theory and rational choice theory," Korean Police Studies Review, 13(3), pp. 279-298, Sep. 2014.
  20. J.S. Coleman and T.J. Fararo, Rational Choice Theory Advocacy and Critique, Newbury Park: Sage, 1992.
  21. L.E. Pezzin, "Earning prospects, matching effects, and the decision to terminate a criminal career," Journal of Quantitative Criminology, vol. 11 no. 1, pp. 29-50, Mar. 1995. https://doi.org/10.1007/BF02221299
  22. G.S. Becker, The Economic Approach to Human Behavior, University of Chicago press, 2013.
  23. S. Kim, S. Cho, and S. Kim, "Between risk and benefit," The Korea Public Administration Journal, 5(3), pp. 297-330, Sep. 2006.
  24. S.M. Walt, "Rigor or rigor mortis? rational choice and security studies," International Security, vol. 23 no. 4, pp. 5-48, Spring 1999. https://doi.org/10.1162/isec.23.4.5
  25. J. Kim, J. Oh, and S. Lee, "The influences of driving behavior determinants on traffic violations and accidents," Korean Journal of Industrial and Organizational Psychology, 19(3), pp. 349-369, Aug. 2006.
  26. S. Lee and J. Oh, "The effects of driving behavior determinants on dangerous driving, distraction and fatigue management," Korean Journal of Industrial and Organizational Psychology, 20(4), pp. 395-414, Nov. 2007. https://doi.org/10.24230/ksiop.20.4.200711.395
  27. S. Lee, "Psychological approaches and suggestions about the risks of korea: focusing on the Sewolho ferry disaster," Korean Journal of Psychology: General, 34(3), pp. 709-739, Sep. 2015. https://doi.org/10.22257/kjp.2015.09.34.3.709
  28. S. Lee, "Validity of the application and development of the risk sensitivity measure item on the driving circumstance: focus on anxiety emotion and risk perception," Journal of Transport Research, 22(1), pp. 61-74, Mar. 2015.
  29. J. Oh and S. Lee, "The structure of driving behavior determinants and its relationship between reckless driving behavior," Korean Journal of Psychological and Social Issues, 17(2), pp. 175-197, May 2011.
  30. S. Park and S. Lee, "The effects of hasteful behavior on performance speed and accuracy," Korean Journal of Industrial and Organizational Psychology, 22(3), pp. 469-485, Aug. 2009. https://doi.org/10.24230/ksiop.22.3.200908.469
  31. I. Ajzen, "The theory of planned behavior," Organizational Behavior and Human Decision Processes, vol. 50 no. 2, pp. 179-211, Dec. 1991. https://doi.org/10.1016/0749-5978(91)90020-T
  32. J.P. Gibbs, Crime, Punishment, and Deterrence, New York: Elsevier, 1975
  33. C.R. Tittle, Sanctions and Social Deviance: The Question of Deterrence, New York: Praegar, 1980.
  34. D.S. Nagin and G. Pogarsky, "Integrating celerity, impulsivity, and extralegal sanction threats into a model of general deterrence theory and evidence," Criminology, vol. 39 no. 4, pp. 865-892, Nov. 2001. https://doi.org/10.1111/j.1745-9125.2001.tb00943.x
  35. S. Lee, Traffic Psychology, Seoul: Hakjisa, Jan. 2000.
  36. S. Lee, "The research framework on the driving behavior of elderly drivers," Journal of Social Science, 22(1), pp. 125-143, June 2005.
  37. S. Kim and S. Park, "Factors affecting intent to comply with information security policy," The Journal of Society for e-Business, 16(4), pp. 33-51, Nov. 2011. https://doi.org/10.7838/jsebs.2011.16.4.033