I. 서론
현대 사회에서 IT가 기업 운영에 있어서 필수 요소로 자리를 잡으면서 폭발적인 보급과 함께 보안사고 역시 큰 폭으로 증가하고 있다. 이는 보안에 대한 중요성을 정부 기관 뿐 아니라, 일반 기업에서도 인식해야함을 뜻한다.
국가정보원에서 집계한 자료에 따르면 기업에서 발생하는 가장 대표적인 보안사고인 기술유출의 경우 2003년부터 2014년까지 총 375건의 해외 기술 유출을 적발했으며, 2013년에는 49건이 적발되어 사상 최대치를 기록하는 등 기술 유출 시도가 증가세를 보이고 있다[11].
기업의 정보보호 역량을 강화하고 이를 체계적으로 유지 및 관리하는 방법으로 정보보호 관리체계를 도입하고, 공인된 기관을 통해 인증을 받는 방법을 꼽을 수 있다. 우리나라의 경우 한국인터넷진흥원에서 정보보호 관리체계를 도입한 기관 중 신청한 기관을 대상으로 심사를 통해 ISMS(Information Security Management System) 인증을 부여하고 있다. 하지만 ISMS 인증제도가 시행된 2003년부터 2014년 12월까지 인증사례가 390건 수준이고, 이 수치도 과거 G-ISMS를 인증 받은 공공기관, 대기업, 보안업체가 주를 이루고 있기 때문에 아직 일반기업에까지 널리 ISMS 인증제도가 보편화되지 않았다고 할 수 있다. 따라서 본 연구에서는 정보보호 관리체계의 효과를 연구한 문헌들을 분석하고 ISMS 인증에 관심이 있는 기업을 대상을 실증조사 하여 기업들이 ISMS의 인증 효과로 어떤 요인에 기대를 하고 있는지, 어떤 요인이 인증 의도에 어느 정도의 영향을 미치고 있는지 분석하고자 한다. 본 연구를 통해 ISMS 인증을 중소기업까지 보편화하는데 기여할 수 있을 것으로 기대한다.
II. 선행연구에 대한 검토
현재까지는 주로 정보보호 관리체계 도입 기업이나 ISMS 인증 기업을 대상으로 효과성을 분석한 연구가 주를 이루어왔고, ISMS 인증을 받지 않았으나 관심이 있는 기업을 대상으로 기대 요인을 분석한 연구는 부족하다고 할 수 있다.
배영식(2012)은 ISMS 인증이 조직성과에 미치는 영향에 관한 연구를 통해 매출 증가도, 비용 절감도, 사업 기회도, 고객 협력도, 처리 효율성, 보호 역량도 등이 조직성과의 주요 항목인 정보보호의 경제성 확보에 기인 한다는 결과를 제시하였다[1].
김인관 외(2013)는 정보보호의 중소기업에 대한 ISMS 인증 효과와 영향요인에 관한 연구를 통해 정보보안투자, 경영진과 종업원의 보안의식수준이 ISMS 인증 효과에 유의한 영향을 미친다는 결과를 제시하였다[2].
구자면 외(2013)는 정보보안체계 수립이 Multi-business 기업 성과에 미치는 영향에 관한 연구를 통해 기업에서 수립하는 정보보안체계가 정보보호역량 및 정보보안 성과에 긍정적인 영향을 미치고, 궁극적으로 기업성과에 긍정적인 영향을 미친다는 결과를 제시하였다[3].
김인관 외(2011)는 산업기술 보안의식과 정보보안 투자가 ISMS 인증에 미치는 영향 분석을 연구하여 ISMS 도입이 중소기업의 보안 업무를 체계적으로 관리하는데 긍정적인 효과를 가지며, ISMS 인증이 전사적 보안 관리 및 보안 업무 체계에 대해 효과가 있다는 결과를 제시하였다[4].
권영옥과 김병도(2007)는 정보보안사고와 사고방지 관련 투자가 기업 가치에 미치는 영향을 연구하여 기업의 정보보안 사고는 평균 0.86%의 기업 가치 감소를 가져오며, 기업의 보안 관련 투자는 기업 가치에 아무 영향을 주지 않는다는 결과를 제시하였다[5].
III. 연구 설계
본 연구에서는 기업이 ISMS 인증을 통해 어떤 효과를 기대하는지, 어떤 요인을 통해 인증 의도가 강하게 나타나는지를 분석하기 위해 정성적 연구와 실증적 연구를 수행하였다. 먼저 정성적 연구에서는 정보보호 관리체계의 효과성, ISMS 인증의 효과성을 주제로 한 선행 연구들을 분석하고 한국인터넷진흥원에서 발간한 「정보보호 관리체계(ISMS) 인증의 경제적 효과 분석」을 추가로 검토하여 실증 분석에서 ISMS 인증에 관심 있는 기업들을 대상으로 배부할 설문지를 제작하였다[6].
설문문항은 위에서 언급한 [6]을 뼈대로하여 선행연구와 비교를 통해 제작하였는데, 그 이유는 [6]의 경우 응답 자료가 상대적으로 세세한 항목으로 나타나있고, 선행 연구들의 경우 다소 포괄적으로 제시되어 있기 때문이다. 설문지는 응답자들이 다음의 ISMS 인증 시 예상되는 효과 중 각 요소들에 대해 어느 정도로 기대를 하는지 묻는 형식으로 5점 척도를 이용하여 제작하였다. 설문지 제작에 사용한 요소는 정보보호 역량 강화, 임직원들의 보안 인식 제고, 보안사고 시 피해 비용 절감, 대 고객 신뢰도 향상, 경쟁력 강화, 글로벌 비즈니스 기회 확대, 고객 및 거래 정보의 안전한 관리 및 활용, 정형화된 업무처리를 통한 효율성 개선, 고객 및 협력사와의 협력 관계 강화, 보안사고 대응 처리 간소화, 성능, 디자인 안정성 등 지각된 품질 개선, 기업 가치 상승, 매출 증가 등 13개의 요소들이다. 이들 요소들을 SPSS 19.0 통계 패키지를 이용하여 탐색적 요인 분석 및 회귀분석을 수행하였다. 설문지 제작을 위한 항목은 Table 1과 같다.
Table 1. Elements of Questionnaire Design
IV. 연구 결과
본 연구의 실증 분석을 위해 국내 기업 중 정보통신망을 이용하는 기업을 대상으로 2014년 11월 17일부터 2014년 12월 15일까지 약 1개월간 설문조사를 진행하였다. 온라인과 오프라인을 통해 설문지를 배부하였고, 총 104부의 응답지를 분석에 이용하였다. 관련 문헌에서 요인 분석을 위한 설문지의 필요 부수를 관측 변수의 5배 이상으로 제시하고 있다.1) 따라서 본 연구를 위한 설분지 회수 부수는 적절하게 이루어졌다고 할 수 있다. 응답자에 대한 통계는 Table 2와 같다.
Table 2. Respondent Statistics
4.1 요인 분석 적합성 검정
본 연구의 적합성 검정을 위해 KMO-Bartlett 검정을 실시하였다. 본 연구의 KMO 측도는 ‘강한 관계를 갖는 수준’으로 해석되는 수치인 0.8 이상으로 측정되었으며, 유의확률은 0으로 측정되어 요인으로 구성된 요소들 간에는 상당한 관계가 있는 것으로 나타났다. KMO-Bartlett 검정 결과는 Table 3과 같다.
Table 3. KMO and Bartlett Test
4.2 요인 분석
본 연구에서는 직교회전 방법 중 베리멕스 회전(varimax rotation)을 이용하여 요인을 압축하였다. 이를 통해 고유값이 1.0 이상인 2개의 압축된 요인을 추출하였으며, 각 요인 별로 내적 일관성을 검정하기 위해 크론바흐 알파(cronbach’s alpha) 계수를 산출하였다.
첫 번째 요인은 기업 가치 상승, 매출 증가, 글로벌 비즈니스 기회 확대, 정형화된 업무 처리를 통한 효율성 개선, 성능·디자인·안정성 등 지각된 품질 개선, 고객 및 협력사와의 협력 관계 강화, 고객 및 거래 정보의 안전한 관리 및 활용 등 7가지 요소로 구성되었다. 또 모든 요소에서 요인 적재량이 .5 이상을 기록하여 언급한 모든 요소가 제1요인에 포함되었다. 제1요인으로 구성된 7가지 요소의 특징을 모두 포함한 요인의 이름을 명명하는 것이 어렵기 때문에 요인 적재량이 .7 이상을 기록한 상위 5개 요소의 특징에 집중하여 ‘실무 능력 강화 및 경제적 효과’로 명명하였다.
두 번째 요인은 정보보호 역량 강화, 정보보호 인식 제고, 대 고객 신뢰도 향상, 보안사고 시 피해 비용 절감, 보안사고 시 대응 처리 간소화, 경쟁력 강화 등 6가지 요소로 구성되었다. 또 모든 요소에서 요인 적재량이 .5이상을 기록하여 언급한 모든 요소가 제2요인에 포함되었다. 제2요인으로 구성된 6가지 요소의 특징을 모두 포함한 요인의 이름으로 명명하는 것이 어렵기 때문에 이 중 4가지 요소의 특징에 집중하여 ‘보안 수준 향상 및 보안사고 처리’로 명명하였다. 요인 분석 결과에 대한 내용은 Table 4와 같다.
Table 4. Result of Factor Analysis
4.3 회귀 분석
본 연구에서는 요인 분석을 통해 압축된 요인이 ISMS 인증을 받고자 하는 의도에 영향을 미치는지 분석하기 위해 회귀 분석(Regression Analysis)을 실시하였다. 회귀 분석을 위한 가설은 다음과 같다.
가설 1 : 실무 능력 강화 및 경제적 효과 요인은 ISMS 인증 의도에 정(+)의 영향을 미칠 것이다.
가설 2 : 보안 수준 향상 및 보안 사고 처리 요인은 ISMS 인증 의도에 정(+)의 영향을 미칠 것이다.
회귀 분석 결과, 상관관계를 의미하는 R값은 .537로 중간 정도의 양의 선형 관계를 갖는 수준을 나타냈다. 종속 변수와 독립 변수 간의 상관관계를 의미하는 R²(R Square)과 수정된 R²(Adjusted R Square)의 경우, 각각 .288과 .274를 나타냈다. 일부 문헌에서 R²과 수정된 R²의 값은 .4 이상이 되어야 수용이 가능하다고 기술하고 있으나, Cohen(1988)은 0.13만 되면 어느 정도의 효과가 있다고 할 수 있고, 0.26이상이면 큰 효과가 있다고 제시하고 있다[9]. 잔차의 독립성 문제를 판별하는 Durbin-Watson 값의 경우, 2.094로 잔차의 독립성에 문제가 없는 것으로 나타났다. 분산 분석의 경우 유의확률(p-value)이 0을 기록하여 회귀 모형은 적합한 것으로 나타났다. 계수(coefficient)의 경우, 제1요인인 실무 능력 강화 및 경제적 효과 요인의 유의확률은 .251을 기록하여 기준치인 .05를 상회하는 것으로 나타나 해당 요인은 ISMS 인증을 받고자 하는 의도에 영향을 미치지 않는 것으로 나타났다(가설 기각). 제2요인인 보안 수준 향상 및 보안사고 처리 요인의 유의확률은 0을 기록하여 기준치인 .05를 하회하는 것으로 나타나 해당요인은 ISMS 인증을 받고자 하는 의도에 영향을 미치는 것으로 나타났다(가설 지지). 다중 공선성을 진단하는 VIF 값의 경우 두 요인 모두 1.0을 기록하였다. ISMS 인증 의도에 어느 정도의 영향을 미치는지를 나타내는 β값의 경우, 가설이 기각된 실무 능력 강화 및 경제적 효과 요인은 .097을, 가설이 지지된 보안 수준 향상 및 보안사고 처리 요인의 경우 .528을 나타내 해당 요인이 상대적으로 많은 영향을 미치는 것으로 나타났다.
V. 결론
5.1 결론 및 결과 해석
요인 분석 결과, 제1요인인 실무 능력 강화 및 경제적 효과 요인에는 기업 가치 상승, 매출 증가, 글로벌 비즈니스 기회 확대, 업무 효율성 개선, 품질 개선, 협력 관계 강화, 고객 및 거래 정보 안전 등의 요소가 포함되었으며, 제2요인인 보안 수준 향상 및 보안사고 처리에는 정보보호 역량 강화, 정보보호 인식 제고, 고객 신뢰도 향상, 보안사고 피해 비용 절감, 보안사고 처리 간소화, 경쟁력 강화 등의 요소가 포함되었다.
요인 분석에서 추출한 요소가 ISMS 인증을 받고자 하는 의도에 얼마나 영향을 미치는지 분석한 회귀 분석에서는 실무 능력 강화 및 경제적 효과 요인의 유의확률이 .251을 나타내 기준치인 .05를 상회하여 가설 1은 기각되었다. 보안 수준 향상 및 보안사고 처리 요인의 경우 유의확률이 0을 나타내 기준치인 .05를 하회하여 가설 2는 지지되었다. 해당 요인이 ISMS 인증 의도에 어느 정도의 영향을 미치는지 나타낸 β값의 경우, 가설이 지지된 보안 수준 향상 및 보안사고 처리 요인이 .528을 나타내 가설이 기각된 실무 능력 강화 및 경제적 효과 요인의 .097보다 높게 나타났다. 모형 요약 결과에서 R²과 수정된 R²의 값이 일부 저서에서 ‘수용 가능한’ 수준으로 언급하는 .4를 다소 하회하는 수준을 기록하였으나 Cohen(1988)에 따르면 .13 이상일 경우 어느 정도의 효과가 있고 .26 이상이면 큰 효과가 있다고 할 수 있는 수준이다. 회귀 분석 결과는 Table 5와 같다.
Table 5. Result of Regression Analysis
R=.537 R²=.288 Adjusted R²=.274 Durbin-Watson=2.053 p-value=0
5.2 시사점
본 연구에서 수행한 요인 분석의 경우, 적합성과 신뢰도의 경우 매우 적절하게 분석되었음을 알 수 있었다. 하지만 회귀 분석 결과의 경우, 일부 저서에서 언급하는 기준보다 다소 낮게 나왔다고 해석할 수도 있으나, Cohen(1988)에 따르면 적절한 수치를 기록했다고 할 수 있다. 또 박경태와 김세헌(2014)과 박경태(2015)에 따르면 ISMS 인증에 있어 아직까지 이를 가로막는 장애 요인(Obstacle Factor)이 존재하는 것으로 알려져 있는데[7][10], 이와 같은 장애 요인을 완화시킬 수 있는 연구와 정책이 개발된다면 기업들의 ISMS 인증 의도에 더 큰 영향을 미칠 수 있을 것으로 생각하며, 다양한 기술 수용 모형과 같은 다양한 연구 모델을 이용하여 ISMS 인증 의도를 다각적으로 분석한 연구가 진행되기를 기대한다.
References
- Young-Sik Bae, "A study of Effect of Information Security Management System[ISMS] Certification on Organization Performance," Journal of the Korea Academia-Industrial cooperation Society, 13(9), pp. 4224-4233, Seb. 2012 https://doi.org/10.5762/KAIS.2012.13.9.4224
- In Kwan Kim, Jaemin Park and Joong Yang Jeon, "An Study on the Effects of ISMS Certification and the Performance of Small and Medium Enterprises," The Journal of digital policy & management, 11(1), pp. 47-60, Jan. 2013
- Ja Myon Koo, Joo Seok Park and Jae Hong Park, "Study about the Impact of Information Security Systems on Corporate Performance: Based on IT Relatedness Theory," Asia Pacific Journal of Information Systems, 23(4), pp. 129-149, Dec. 2013 https://doi.org/10.14329/apjis.2013.23.4.129
- In Kwan Kim, Seunghyeon Lee and Jaemin Park, "A study affecting the ISMS certification by security awareness of industrial technology and investment of information security," Proceedings of the Korea Technology Innovation Society Conference, 2011(6), pp. 101-115, Jun. 2011
- Young Ok Kwon and Byung-Do Kim, "The Effect of Information Security Breach and Security Investment Announcement on the Market Value of Korean Firms," Information Systems Review, 9(1), pp. 105-120, Apr. 2007
- Kyu Man Ko, "Analysis of Economic Effects Expected from ISMS Certification," Internet & Security Issues, 2010(2), pp. 23-47, Mar. 2010
- Park, Kyeong-tae and Sehun Kim, "An Empirical Study on the Obstacle Factors of ISMS Certification Using Exploratory Factor Analysis," Journal of The Korea Institute of Information Security & Cryptology, 24(5), pp. 951-959, Oct. 2014 https://doi.org/10.13089/JKIISC.2014.24.5.951
- Youngmin Lee, "Identifying Variables that Affect Learners' Preference Toward E-Learning Program," The Journal of Korean association of computer education, 9(3), pp. 67-74, May. 2005
- Jacob Cohen, Statistical Power Analysis for the Behavioral sciences (2nd Edition), Lawrence Erlbaum Associates, New Jersey, 590 pages, 1988
- Park, Kyeong-tae, "A Study on the Obstacle Factors during ISMS Certification: Focused on SMEs," KAIST, 2015
- NIS, http://service12.nis.go.kr/images/center/2014_infographic.pdf
Cited by
- The Effect of Information Security Certification Announcement on the Market Value of Firms vol.15, pp.3, 2016, https://doi.org/10.9716/KITS.2016.15.3.051
- Research Trends in Economic Effects of Information Security Certification: Focused on the ISMS (Information Security Management System) vol.26, pp.3, 2016, https://doi.org/10.13089/JKIISC.2016.26.3.821