Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on Selection Factors of Consulting Company for the Certification of Information Security Management System

정보보호 관리체계(ISMS) 인증을 위한 컨설팅 업체 선정 요인에 관한 연구

  • 박경태 (한국과학기술원 정보보호대학원) ;
  • 김세헌 (한국과학기술원 정보보호대학원)
  • Received : 2014.10.06
  • Accepted : 2014.12.08
  • Published : 2014.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

In the past few years, data leakage of information assets has become a prominent social issue. According to the National Industrial Security Center in South Korea, 71 percent who suffer from technology leakage are small and medium sized enterprises. Hence, establishment and operation of ISMS (Information Security Management System) for small and medium sized enterprises become an important issue. Since it is not easy to obtain ISMS certification for a small or medium sized enterprise by itself, consultation with an expert firm in information security is necessary before the security implementation. However, how to select a proper security consulting company for a small or medium sized firm has not been studied yet. In this study, we analyze empirically the selection factors of ISMS certification consulting company for a small or medium sized firm through exploratory factor analysis (EFA). Our study identified the following four important factors in selecting a security consulting company: expertise of the staffs and human resource management proficiency, market leading capability, competence to make progress during the consultation, and the performance and the size of the physical assets and human resources.

최근 들어 세계적으로 정보자산 유출에 대한 문제가 심각하게 대두되고 있다. 국가정보원 산업기밀보호센터에 따르면 첨단 기술 불법 유출 관련 사건 피해 기업 중 중소기업이 71%에 달하는 것으로 나타났다. 이는 대기업뿐만 아니라 중소기업 역시 정보보호 관리체계를 수립 운용하고 이를 인증 받아야 할 필요성이 있음을 뜻한다. 이러한 ISMS 인증을 받기 위해서는 외부 컨설팅 업체의 컨설팅이 필요하지만, 기업이 어떤 요인을 가지고 ISMS 인증을 위한 컨설팅 업체를 선정하는지에 대한 연구가 아직까지 미비한 수준이다. 본 연구에서는 중소기업이 어떠한 요인을 가지고 ISMS 인증을 위한 컨설팅 업체를 선정하는지 탐색적 요인분석 기법을 이용하여 실증적으로 분석하였다. 연구 결과 인적 능력 및 관리력, 시장 선도 능력, 컨설팅 진행 능력 및 실적, 물적 인적 자산규모 등 네 가지의 압축된 요인을 도출하였다.

Keywords

I. 서론

근래에 들어 세계적으로 소규모 기업부터 대기업, 정부 기관까지 사이버 테러와 정보 자산 유출 등의 문제가 연일 대두되고 있다. 20세기에 발생했던 사이버공간에서의 공격들은 주된 목적이 단순한 호기심이나 금품 갈취와 같은 것들이었으나, 21세기 들어서는 국가 간 사이버 전쟁, 정치적 목적을 가진 핵티비즘(hacktivism), 국내외 시장에서 기술적·경제적 가치가 높은 국가핵심기술 및 기업기밀 절취 등이 주목적이 되고 있다.

국가정보원 산업기밀보호센터에 따르면 2005년부터 2012년 까지 국내 첨단기술을 해외로 불법유출 또는 이를 시도한 사건이 약 300건 정도에 이르는 것으로 나타났다. 피해 기업 중에서 중소기업의 비율이 무려 71%에 달하는 것으로 집계되었다. 이와 같이 정보보호에 취약한 중소기업의 보안 역량을 향상시키기 위해 한국인터넷진흥원(KISA)에서 시행 중인 정보보호관리체계(ISMS) 인증 제도가 대안으로 주목받고 있다. 정보보호 관리체계 인증을 위해서 지식, 경험, 인력 상의 문제로 대부분의 기업들이 자체적으로 준비하기는 상당히 어려우며, 중소기업의 경우 사실상 불가능하다고 할 수 있다. 따라서 중소기업의 경우, 외부 컨설팅 업체의 컨설팅을 통해 ISMS 인증을 준비할 수 있다. 본 연구에서는 중소기업이 ISMS 인증을 위한 외부 컨설팅 업체 선정 시 어떤 요인들을 고려하는지 탐색적 요인분석(exploratory factor analysis) 방법을 통해 실증적으로 분석하고자 한다. 탐색적 요인 분석 기법은 많은 변수들을 상호관련의 원리를 이용하여 가까운 것 끼리 묶어 몇 개의 요인으로 압축하는 통계 기법이다. 많은 변수들 중에서 신뢰할 수 있고, 해석 가능한 잠재요인을 발견할 수 있고, 변수들을 공통된 특성으로 묶어 자료를 축약할 수 있는 장점이 있다[38]. 특히 이 기법은 이론적으로 정립되지 않은 분야에서 연구 방향을 파악하기 위해 적절한 분석 기법이며, 기존의 이론적인 구성 또는 사전적인 지식이 없는 상태에서 요인이나 개념을 추출할 수 있는 분석기법이다[1]. 따라서 아직까지 ISMS 인증을 위한 컨설팅 업체 선정 요인에 관한 연구가 부족하기 때문에 학술적 이론을 정립한다는 측면에서 매우 적절한 연구 기법이라고 할 수 있다. 다만 이 기법은 특정한 요인들 사이에만 상관성을 두거나 없앨 수 없으며, 특정 측정 변수를 특정 요인에 배정하거나 다른 요인에 배정할 수 없다는 한계가 있다[37]. IT 분야에서 솔루션 도입을 위한 선정요인을 연구한 사례나 정부기관에서 발행한 정보보호 컨설팅 전문 업체 가이드 등은 있었으나 기업 입장에서 실질적으로 ISMS 인증 시 컨설팅 업체를 선정하는 요인을 탐색한 연구는 부족했기 때문에 본 연구는 관련 연구의 기초를 닦는다는데 그 의의가 있다.

II. 관련 문헌 검토

2.1 정보보호 컨설팅 전문 업체 지정 기준

정부에서는 『정보보호 컨설팅 전문 업체 지정·재지정 가이드』를 발간한 바 있다. 동 문건에서는 정보보호 컨설팅 전문 업체로 등록하고자 하는 업체는 우선 법인으로 필요한 인력과 자본, 설비, 정보보호 요건을 갖추고, 업무 수행 능력 요건 심사에서 70점 이상을 획득해야 한다고 제시하고 있다. 동 문건에서 제시한 정보보호 컨설팅 지정 기준은 Table 1과 같다.

Table 1. Standards to Information Security Consulting Expert Company [34]

2.2 컨설턴트 선정 요인

ISMS 인증을 위한 컨설팅 업체 선정요인에 관련된 연구가 부족하기 때문에 본 연구에서는 타 분야에서 연구된 컨설턴트 선정요인 관련 문헌도 검토하였다.

De Caluwé(2004)는 고객사 대표, 컨설턴트, 기타 관련자들을 인터뷰하는 방법을 통해 목표 달성 정도, 솔루션 도출, 예산 관리, 고객사 시스템 이해 등의 컨설턴트 효과성 평가기준을 도출하였다[9]. Sporrong(2011)은 건축 공학 분야에서의 컨설턴트 선정 기준으로 가격, 교육 수준, 창의적 솔루션 등 9가지의 요인을 제시하였다[29]. Joshi & kuhn(2007)은 유능한 IT 컨설턴트가 갖추고 있는 22개의 속성을 제시하였으며, 행동, 성경, 특성 등등이 포함되어있다[35]. Markham(2005)는 고객관계, 커뮤니케이션, 프로젝트 수행역량, 문제 해결 능력, 전문지식 등의 5개 영역으로 IT 컨설턴트의 역량을 나누었다[36]. Chang(2012)은 ERP활용단계에서의 사용자학습이 개별성과에 미치는 영향을 연구하기 위해 IT 컨설턴트의 역량을 매개변수로 전문지식, 문제해결능력, 커뮤니케이션 등 9개를 이용하였다[37].

Table 2. Previous Studies Related to Consultant Selection Factors

III. 연구 설계

본 연구에서는 ISMS 인증 시 컨설팅 업체 선정 요인에 관한 연구를 위해 정성적 연구와 실증적 연구를 수행하였다. 먼저 정성적 연구에서는 정부기관에서 발행한 『정보보호 컨설팅 전문 업체 지정·재지정 가이드』와 타분야에서의 컨설턴트 선정요인 관련 자료를 검토하였다. 하지만 더 신뢰도 높은 연구 결과를 도출하기 위해 컨설턴트 관련 요인이 아니더라도 IT 분야에서 선정요인을 연구한 문헌들을 같이 검토하여 실증적 연구를 위한 설문지 제작에 이용하였다. 설문지 제작을 위해 추출한 요소들은 다음과 같다. 컨설팅 업체의 경제적인 상황이 ISMS 인증을 위한 컨설팅 업체 선정에 있어서 중요하다고 생각하는지(1번 문항), 컨설팅 업체가 용역을 제공하고 얻는 수익의 규모가 중요한지(2번 문항), 컨설팅 업체가 보유한 노동력의 자질이 중요한지(3번 문항), 컨설팅 업체가 보유한 노동력의 규모가 중요한지(4번 문항), 컨설팅 업체가 과거 수행한 용역의 경력이 중요한지(5번 문항), 컨설팅 업체가 현재 어떤 회사와 협력 관계를 맺고 있는가가 중요한지(6번 문항), 컨설팅 시 소요되는 비용의 규모가 중요한지(7번 문항), 컨설팅 업체의 영업 능력이나 수완이 중요한지(8번 문항), 컨설팅 업체의 직원이 고객을 대하는 수준이 중요한지(9번 문항), 컨설팅 업체가 서비스를 완료한 이후에도 지속적으로 사후 관리를 철저하게 하는 것이 중요한지(10번 문항), 컨설팅 업체가 해당 시장에서 점유하는 지위의 정도가 중요한지(11번 문항), 컨설팅 업체가 업계에서 가지고 있는 평판이 중요한지(12번 문항), 용역을 생산하거나 효용을 높이는데 드는 생산재 즉, 자본의 규모가 중요한지(13번 문항), 서비스를 완료하기까지 소요되는 시간이 중요한지(14번 문항)를 5점 척도를 이용하여 질문하도록 구성하였다. 설문지 구성 항목은 Table 3에 제시되어있다.

Table 3. Elements of Questionnaire Design

IV. 연구 결과

4.1 응답 표본 통계

본 연구의 실증 분석을 위한 설문 조사는 국내 기업 중 제조업과 서비스업을 주 업종으로 하는 기업들 중 회사 업무에 정보통신망 및 IT기기를 1개 이상 이용하는 기업을 대상으로 진행하였으며, 2014년 2월 3일부터 3월 3일까지 약 1개월 간 온라인과 오프라인을 통해 설문조사를 진행하였다. 정보통신망과 IT 관련 기기를 이용한다는 것은 정보보호의 위협에 노출되어 있는 것이기 때문에 이를 이용하는 모든 기업들은 잠재적으로 정보보호 관리체계 도입과 ISMS 인증을 위한 대상이라고 할 수 있다. 온라인과 오프라인을 통해 설문지를 배부하였으며 그 중 유효한 설문지 104부를 확보하여 실증 분석에 이용하였다. 관련 문헌에서 요인분석을 위한 설문지의 필요 회수 부수를 관측 변수의 5배 이상으로 제시하고 있다.1) 회수된 설문지의 인구 표본 통계는 다음과 같다.

Table 4. Respondent Statistics

4.2 요인분석 적합성 검정

본 연구의 적합성을 검정하기 위해 KMO-Bartlett 검정을 실시하였다. 본 연구의 KMO 측도는 0.869로 일반적으로 ‘강한 관계를 갖는 수준’으로 해석하는 수치인 0.8을 상회하였다. 유의확률 역시 0.05 이하로 나타나 요인으로 압축된 구성요소들 간에 상당한 관계가 있다고 할 수 있다.

Table 5. KMO and Bartlett Test

4.3 요인분석

요인의 압축을 위해 직교회전 방법 중 베리멕스 회전(varimax rotation)을 이용하여 탐색적 요인 분석을 실시하였다. 이를 통해 고유값이 1.0 이상인 압축된 요인 4개를 추출하였고, 크론바흐 알파(cronbach’s alpha) 계수를 사용하여 각 요인들의 신뢰도를 검정하였다. 각 요인들의 신뢰도는 모두 0.6을 상회하여 신뢰성이 있는 것으로 나타났다.

Table 6. Result of Factor Analysis

첫 번째 요인은 재무 상태, 인력의 자질, 영업 능력, 고객 응대 수준, 사후 관리 수준의 요소로 구성되었다. 인력의 자질, 영업 능력, 고객 응대 수준, 사후 관리 수준과 같은 요소는 인적 능력이라는 특징이 있는데, 이는 ‘컨설팅 업체에서 이러한 인적 능력을 얼마나 잘 관리하느냐’에 따라 좌우되며, 재무 상태 요소의 경우 기술·서비스 측면은 아니지만, 역시 관리적 능력의 한 부분으로 간주할 수 있기 때문에 본 연구에서는 제 1요인의 이름을 ‘인적 능력 및 관리력’이라는 이름으로 명명하였다.

두 번째 요인은 매출액 규모, 시장 점유율, 업계 평판 등의 요소로 구성되었다. 구성된 요소들은 기업이 ‘해당 시장에서 어느 정도의 시장 선도 능력이 있는가’를 가늠할 수 있는 특징이 있다. 따라서 본 연구에서는 제 2요인의 이름을 ‘시장 선도 능력’으로 명명하였다. 구성된 요소 중 ‘평판’의 경우 제 1요인과 이중적재를 보였으나, 요인 적재량이 제 2요인에서 더 높게 나타났고, 요인의 특성이 다른 제 2요인의 구성 요소와 비슷하다고 판단되어 제 2요인으로 구성하였다.

세 번째 요인은 과거 사업 경력, 컨설팅 비용, 컨설팅 수행 기간 등의 요소로 구성되었다. 이 요인에서는 요소 간에 매우 명확한 공통된 특징을 찾는 것이 다소 어려워 요인 적재량이 가장 높은 과거 사업 경력 요소에 가중치를 두어 ‘컨설팅 진행 능력 및 실적’으로 명명하였다.

네 번째 요인은 종업원 규모, 자본금 규모, 협력 업체 현황 등의 요소로 구성되었다. 이 요인에서는 요인 적재량이 상대적으로 높은 종업원 규모, 자본금 규모 요소에 초점을 맞추었는데, 해당 요소들은 컨설팅 업체의 인적·물적 자산이고, 협력업체 역시 기업의 자산이라 할 수 있기 때문에 본 연구에서는 제 4요인의 이름을 ‘물적·인적 자산 규모’로 명명하였다.

V. 기업 규모 별 분석

본 연구에서는 요인 분석을 통해 압축된 요인이 기업의 규모 별로 차이가 있는지 알아보기 위해 요인 점수(factor score)를 이용하여 기업의 매출액 별로 분류하여 분산분석(ANOVA)을 실시하였다. 요인 점수는 요인 분석에서 각각의 사례(기업)가 추출된 요인을 반영하고 있는 정도를 나타내는 점수이다.2) 분산분석은 두 개 이상 집단들의 평균 간의 차이에 대한 통계적 유의성을 검증하는 기법이다.3)

분산분석 결과, 모든 요인에서 유의확률이 0.05를 상회하여 기업의 매출액에 따른 ISMS 컨설팅 업체 선정 요인의 차이가 없는 것으로 나타났다. 다만 300억 이상의 매출액을 가진 기업은 표본의 수가 적었다는 한계가 있다. 분산 분석 결과는 Table 7과 같다.

Table 7. Result of ANOVA

VI. 타 건설턴트 선정 요인 관련 문헌과의 비교

본 연구에서 선행 연구로 참고한 컨설턴트 선정 요인·기준 관련 문헌에서는 주로 ‘컨설턴트’라는 사람을 기준으로 연구가 진행되었고 본 연구에서는 컨설턴트와 그가 소속된 기업의 개념을 포함하여 포괄적으로 ‘컨설팅 업체’로 칭하여 연구를 한 것이 다르다고 할 수 있다.

컨설턴트 선정 요인·기준 관련 문헌 검토에서 나타났듯이 타 분야에서 컨설턴트 선정 요인·기준 관련 문헌에서는 대체적으로 비용, 경험, 인력 자질, 업체 재정 상태 등의 대단위 선정 요인을 중심으로 언급하였다. 특히 정보보호 관리체계의 국제 인증 기준인 ISO 27001 인증을 위한 컨설턴트 선정 기준 관련 자료에서도 요인들이 경험과 기술, 평판, 커스터마이징된 서비스, 언어, 이해 상충의 5가지로 다소 포괄적으로 제시되어 있음을 알 수 있었다[2]. 이는 본 연구가 아직까지 세부적으로 연구가 되지 않은 KISA-ISMS 인증에 있어서의 컨설팅 업체 선정 요인을 시기적절하게 탐색적 요인 분석 기법을 이용하여 분석한 것이라고 할 수 있다.

VII. 결론 및 시사점

본 연구는 중소기업이 정보보호 관리체계 인증 시 필요한 외부 컨설팅 업체를 선정하는데 어떠한 요인이 존재하는지, 컨설팅 서비스 이용 주체인 기업의 관점에서 분석하였다. 정보보호 분야에서 관련 연구가 수행된 바가 없었기 때문에 다른 분야의 선행연구 및 문헌도 조사 및 분석하여 본 연구에 적절하게 적용하여 탐색적 요인분석을 실시하였다. 요인분석을 통해 4개의 압축된 요인을 최종적으로 도출하였다. 첫 번째 요인인 인적 능력 및 관리적 요인이 23.048%로 가장 큰 설명력을 보였으며, 기업이 컨설팅 업체의 교육, 서비스 태도, 관리력 등을 지각하고 있음을 알 수 있다. 다만 구성된 요소 중 영업능력의 경우 .5 미만의 요인 적재량을 기록하여 요인 구성에서 제외하였다. 두 번째로 시장 선도 능력이 15.927%의 설명력을 보였고, 이는 기업이 해당 컨설팅 업체가 정보보호 컨설팅 시장에서 어느 정도의 리딩 컴퍼니(leading company) 역할을 하고 있는지, 그 시장 선도 능력을 지각하고 있음을 알 수 있다. 세 번째로 컨설팅 진행 능력 및 실적이 추출되었는데, 이는 컨설팅 업체가 제공하는 용역인 컨설팅 자체와 매우 연관성이 있음을 알 수 있다. 마지막으로 14.066%의 설명력을 가진 물적·인적 자산규모 요인이 추출되었고, 이는 물적 자산인 자본금, 인적 자산인 종업원 규모, 영업 자산인 협력 업체 현황 등을 지각하고 있음을 알 수 있다.

본 연구를 진행하면서 기업이 ISMS 인증 제도에 대해 얼마나 인식을 하고 있는지, 기업이 ISMS 인증 의향이 얼마나 있는지에 대한 조사도 같이 병행하였으며, Table 8에 결과가 제시되어 있다. ‘ISMS 인증에 대해 전혀 몰랐다’고 응답한 비율이 30% 초반에 불과했고, ‘ISMS 인증 의향이 전혀 없다’고 응답한 비율 역시 12.5%에 불과했다. 이는 대기업, 중소기업, 정부기관을 막론하고 정보보호에 대해 관심이 없거나 무지했던 과거에 비교하면 기업들이 정보보호에 대해 의식적으로나마 상당한 발전이 있다고 볼 수 있으며, 차후에 대기업은 물론이고, 정보보호에 소외된 중소기업들도 ISMS 인증을 쉽게 받을 수 있도록 관련 연구가 이루어져야 할 것으로 생각한다.

Table 8. Inclination and Cognizance of ISMS

본 연구는 기업이 ISMS 인증을 위한 컨설팅업체 선정 시 고려하는 요인을 탐색적 요인 분석 기법을 이용하여 분석한 연구이다. 관련 연구가 미비하고 아직 이론적으로 정립되지 않았기 때문에 탐색적 요인 분석 기법을 이용하였으며, 정보보호 관련 인증분야에서의 컨설팅 업체 선정 요인을 연구하는데 초석을 다지는 연구라는 점에서 의의가 있다, 탐색적 요인 분석 기법의 특성상 어떤 요인이 어떤 정도의 영향력을 미치는지에 대해서는 분석을 하지 못한 한계점이 있으나, 차후 연구에서 군집 분석이나 회귀 분석 등을 이용하여 더 고차원적으로 분석을 할 수 있을 것으로 기대한다.

References

  1. Gye Soo Kim, AMOS 18.0 Structure Equation Model Analysis, Hannarae, 2010.
  2. 27001 Academy, http://www.iso27001standard.com/blog/2013/03/25/5-criteria-for-choosing-a-iso-22301-iso-27001-consultant.
  3. Bae, Y. S., "A study of Effect of Information Security Management System [ISMS] Certification on Organization Performance," Journal of academia-industrial technology, 13(9), pp. 4224-4233, Sep. 2012.
  4. Baki, B., K. Cakar, "Determining the ERP package-selecting criteria: The case of Turkish manufacturing companies," Business Process Management Journal, vol.11, no.1, pp.75-86, 2005. https://doi.org/10.1108/14637150510578746
  5. Cebi, F., D. Bayraktar, "An integrated approach for supplier selection," Logistics Information Management, vol. 16, no. 6, pp. 395-400, 2003. https://doi.org/10.1108/09576050310503376
  6. Chae, J. W., J. H. Jeong, "Study on decision making for the industrial security management factor's priority," Journal of Security Engineering, 10(2), pp. 123-140, Apr. 2013.
  7. Chang, B. Y., "The Analysis of the Factors Influencing Telecommunication Service Providers Selection on Purchase of Smart Phones," Journal of the Korea Society for Simulation, 22(2), pp.85-91, Jun. 2013 https://doi.org/10.9709/JKSS.2013.22.2.085
  8. Chang, H. B., "The Design of Information Security Management System for SMEs Industry Technique Leakage Prevention," Journal of Korea Multimedia Society, 13(1), pp. 111-121. Jan. 2010.
  9. De Caluwe, L., and A. Stoppelenburg, "Developing Criteria for Effectiveness of Consultant's Work," 2nd International Conference on Management Consulting of MC Division of the AoM at Lausanne(2004).
  10. Forbes, http://onforb.es/11SLpdu.
  11. Geringer, J. M., "Strategic Determinants of Partner Selection Criteria in International Joint Ventures," Journal of International Business Studies, vol.22, no. 1, pp. 41-62, 1st Qtr., 1991. https://doi.org/10.1057/palgrave.jibs.8490291
  12. Jang, S. S., B.N Noh, and S. J. Lee, "The Effects of the Operation of an Information Security Management System on the Performance of Information Security," Journal of the Korea Information Science Society, 40(1), pp. 58-69, Feb. 2013.
  13. Jang, S. S., H. B. Kim, and H. S. Lee, "Introduce and Directions for Certification of ISMS," Review of KIISC, 11(3), pp. 1-15, Jun. 2001.
  14. Jang, S. S., H. S. Lee, "A Study on Defect Analysis of Certification of ISMS," Review of KIISC, 20(1), pp. 31-38, Feb. 2010.
  15. Kang, Y. C., S. T. Rim, "The Necessity of Introducing ISMS(Focused on Patent Information Providers," Review of KIISC, 23(4), pp. 7-14, Aug. 2013.
  16. Kim, H. K., K. M. Ko, and J. I. Lee, "Comparison on the Policy on Company Information Security and Certification of ISMS from Regulation Revision of Information and Communications Network Law," Review of KIISC, 23(4), pp. 54-58, Aug. 2013.
  17. Kim, H.M., S. H. Han, "A Study on the Deduction of the Partner Selection Factors in International LNG Plant Joint Venture," Proceedings of Korea Institute of Construction Engineering and Management, pp. 227-228. Nov. 2011.
  18. Kim, I. K., J. M. Park, and J. Y. Jeon, "An Study on the Effects of ISMS Certification and the Performance of Small and Medium Enterprises," The Journal of digital policy & management, 11(1), pp. 47-60, Jan. 2013.
  19. Kim, J. H., "A Study of Developing Evaluation Items for Selecting Global IT Outsourcing Vendors Using AHP," M.S. Thesis, Ewha Womans University, 2008.
  20. Kwon, H. I., S. Yoon, and E.-H. Lee, "A Study on E-Marketplace Solution Selection Factors," Journal of Korea Multimedia Society, 5(6), pp. 712-729, Dec. 2012.
  21. Lee, J. W., "Understanding and Issues about ISMS," Journal of Payment & Settlement, Vol. 50, pp. 58-83. 2012.
  22. Missouri Department of Transportation, Consultant Selection and Contract Implementation Procedures for Professional Services Contracts, 2002.
  23. Moon, S. C., "A Descriptive Study of IT Outsourcing Risk Factors in the Korean Company," Journal of Korea Society of IT Services, 8(3), pp. 135-143, Sep. 2009.
  24. Moon, Y. E., "The Effect of Strategic Recognition and Risks of IT Outsourcing on the Degree of Outsourcing," Journal of the Korean OR an MS Society, 27(3), pp. 21-40, Sep. 2002.
  25. Na, K. S., "A Comparative Study of the International and Korean ISMS," Journal of Science & Culture, 8(1), pp. 23-36, Feb. 2011.
  26. Park, C. S., D. B. Lee, and J. Kwak, "A Study on Information Security Management System for Security Enhancement of Enterprise," Proceedings of Korea Information Processing Society, 18(1), pp. 800-803, May. 2011.
  27. Park, K. T., M. S. Shin, "An Empirical Study on the Obstacles to the Adoption of Cloud Computing Services of Companies in Korea," Proceedings of Korea Society of IT Services, pp. 323-334, 2012.
  28. Schneider, A., Cloud Hosting Awareness Survey, RackSpace Hosting, 2010
  29. Sporrong, J., "Criteria in Consultant Selection: Public Procurement of Architectural and Engineering Services," Australasian Journal of Construction Economics and Building, vol. 11, no. 4, pp. 59-76, 2011. https://doi.org/10.5130/ajceb.v11i4.2297
  30. Tam, M. C. Y., V.M. Rao Tummala, "An application of the AHP in vendor selection of a telecommunication system," Omega, vol.29, no. 2, pp. 171-182, Apr. 2001. https://doi.org/10.1016/S0305-0483(00)00039-6
  31. Ting, S. C., D. I. Cho, "An integrated approach for suppplier selection and purchasing decisions," Supply Chain Management: An International Journal, Vol. 13, No. 2, pp. 116-127, 2008. https://doi.org/10.1108/13598540810860958
  32. TwinStara Inc., A Snapshot into Cloud Storage Adoption, 2012.
  33. Wei, C. C., C. F. Chien, and M. J. J. Wang, "An AHP-based approach to ERP system selection," International Journal of Production Economics, vol. 96, no. 1, pp. 47-62, Apr. 2005. https://doi.org/10.1016/j.ijpe.2004.03.004
  34. Ministry of Information and Communication, "Information Security Expert Company Designation. Re-Designation Guide," 2004
  35. K.D. Joshi, Kristine M. Kuhn, "What it takes to succeed in information technology consulting: Exploring the gender typing of critical attributes," Information Technology & People, vol. 20, no.4, pp. 400-424, 2007. https://doi.org/10.1108/09593840710839815
  36. Markham. C., "Developing consulting skills," Consulting to Management, vol. 16, no. 4, pp. 33-37, 2005.
  37. Kang, H., "A Guide on the Use of Factor Analysis in the Assesment of Construct Validity," Journal of Korean Academy of Nursing, 43(5), pp. 587-594, Oct. 2013. https://doi.org/10.4040/jkan.2013.43.5.587
  38. Lee, M. and Kim, Y., Social Science Statistics using SPSS, CommunicationBooks, 2014.