DOI QR코드

DOI QR Code

보안정책에 대한 편향적 사고가 보안준수 행동에 미치는 영향

Effects of Biased Awareness of Security Policies on Security Compliance Behavior

  • 허준 (성균관대학교 교과교육학과 컴퓨터교육 전공) ;
  • 안성진 (성균관대학교 컴퓨터교육학과)
  • 투고 : 2019.11.17
  • 심사 : 2019.12.24
  • 발행 : 2020.01.31

초록

보안사고 예방을 위한 많은 노력에도 불구하고 조직구성원의 보안행동과 연관된 정보유출, 랜섬웨어 등 치명적 보안사고 피해는 해마다 늘어나고 있다. 이 연구에서는 보안사고의 주요한 원인인 조직원의 보안정책 준수의 관점에서, 보안정책 준수에 영향을 주는 요인으로 편향적 사고를 제시하고 다음을 검증하였다. 첫째, 보안정책에 대한 편향적사고가 보안정책준수 태도에 주는 영향을 검증한다. 둘째, 경영진의 참여, 지각된 위험성, 교육 및 처벌이 편향적 사고를 증가 또는 감소시키는 조절 효과를 검증한다. 마지막으로, 보안정책준수 태도가 준수행동에 유의미한 영향을 주는 지 검증하였다. 이를 위해 157명을 대상으로 설문조사를 실시하고 연구모형 및 구조방정식 통계적 분석, 적합성 분석을 실시하였다. 연구결과 편향적 사고는 정보보안 정책준수 태도에 부정적 영향을 주는 것으로 나타났다. 또한 정보보안 정책준수 태도는 정책준수 행동을 증가시키는 것으로 분석되었다. 한편, 조직원 개인이 정보보안에 대한 위험성을 높게 지각할수록 편향적 사고를 감소시키는 조절효과가 있었으나, 경영진의 참여, 교육 및 처벌은 조절효과가 없는 것으로 나타났다. 향후, 연구결과는 내부조직원에 의한 보안사고 대처방안에 시사점을 줄 것으로 기대된다.

From the perspective of compliance with security policies by members of the organization, which is a major cause of security incidents, this study presented biased thinking as factors that affect compliance with security policies and verified the following: First, the impact of biased thinking on security policies on compliance with security policies is verified. Second, the participation of management, perceived risk, education and punishment of management will verify the adjustment effect of increasing or decreasing biased thinking. Finally, we have verified that compliance attitudes have a significant impact on compliance behavior. To this end, 157 people were surveyed, statistical analysis of research models and structural equations, and conformity analysis were conducted. Studies have shown that biased thinking has a negative effect on the attitude of compliance with information security. In addition, it was analyzed that the attitude of compliance with information security policy increases policy compliance behavior. On the other hand, the higher the perceived risk of information security, the lower the bias was the adjustment effect, but management's participation, education and punishment were found to have no adjustment effect.

키워드

참고문헌

  1. Kaspersky Lab(2017), Foolproof Employee Security Checklist
  2. Verizon(2019), Data Breach Investigations Report
  3. D'Arcy, J., Herath, T., & Shoss, M. K. (2014), "Understanding Employee Responses to Stressful Information Security Requirements: A Coping Perspective", Journal of Management Information Systems, 31(2), 285-318. https://doi.org/10.2753/MIS0742-1222310210
  4. 황인호.김승욱(2017), 조직원의 정보보안 관련 업무 스트레스에 대한 억제 및 업무 대처에 관한 연구-금융비즈니스를 중심으로
  5. Tversky, A., & Kahneman, D.(1986). Rational choice and the framing of decisions. Journl of Business, S251-s258.
  6. 이남석.이정모(2013), 누구나 빠지는 생각의 함정 인지편향사전
  7. 이정모(2012), 인지과학
  8. Ifinedo, P., (2012). Understanding information sustems security policy compliance:An integration of the theory of planned theory and protection motivation theory. Computers and Security. 31, 83-95. https://doi.org/10.1016/j.cose.2011.10.007
  9. 신혁(2018), 계획행동 요인을 매개로 경영진 역할과 보호동기가 정보보안정책 준수에 미치는 영향.
  10. Ajzen, I. & Fishbein, M. (1997). Attitude-Behavior Relation: A Theoretical Analysis and Review of Empirical Research. Psychological Bulletin, 84(5), 888-918. https://doi.org/10.1037/0033-2909.84.5.888
  11. Ajzen, I., and Fishbein, M. (1977). Attitude-Behavior Relations: A theoritical analysis and review of empirical research. Psychological Bulletin, 84(5), 888-918. https://doi.org/10.1037/0033-2909.84.5.888
  12. 강다연.장명희. (2012). 해운항만조직 구성원들의 정보보안정책 준수에 영향을 미치는 요인. 한국항만경제학회지 28(1), 2012, 1-23.
  13. Puhakainen, P., and Siponen, M. (2010). Improving employees' colpliance through information systems security training: An action research study. MIS Quarterly, 34(1), 757-778. https://doi.org/10.2307/25750704
  14. Liang, H., Saraf, H., Hu, Q., and Xue, Y. (2007). Assimilation of enterprise systems: The effect of institutional pressures and the mediating role of top management. MIS Quarterly, 31(1), 59-87. https://doi.org/10.2307/25148781
  15. Rogers, R. W. (1975). A protection Motivation Theory of fear appeals and attitude change 1. The Journal of Psychology, 91(1), 93-114. https://doi.org/10.1080/00223980.1975.9915803
  16. Siponen, P. (2000), A concepyual foundation for organizational information security awareness, Information Management & Computer Security, 8(1), 31-41. https://doi.org/10.1108/09685220010371394
  17. Straub, D. W. (1990). Effective IS security: An empirical study. Information Systems Research, 1(3). 255-276. https://doi.org/10.1287/isre.1.3.255
  18. Siponen, M., Pahnila, S., and Mahmood, A. (2007). Employees' adherence to information security policies: An empirical study. IFIP International Federation for Information Processing. 232, 133-144. https://doi.org/10.1007/978-0-387-72367-9_12
  19. Ajzen, I. (2002). Constructing a TpB questionnaire: Conceptual and Methodological considerations, au.edu.tw, 17, 1-14.
  20. Ajzen, I. (1991). The theory of planned behavior, Organizational Behavior and Human Decision Processes, 50, pp.179-211. https://doi.org/10.1016/0749-5978(91)90020-T
  21. West, R. (2008). The Psychology of Security. Communications of the ACM, 51(4), 34-40. https://doi.org/10.1145/1330311.1330320

피인용 문헌

  1. The Effect of Security Awareness Training on the Use of Biometric Authentication: Focusing on the Protection Motivational Behaviors vol.27, pp.2, 2020, https://doi.org/10.21219/jitam.2020.27.2.001