I. 서론
자원에 대한 관리를 보다 체계적으로 하기 위해 투자를 지속해서 높이고 있다. 실제로, 전 세계 정보보안 시장은 연평균 10%씩 성장하고 있다[1]. 특히, 2021년 기준 미국 내 사이버 보안 관련 일자리는 50만 개가 부족하고, 보안 분석가, 보안 엔지니어, 위험관리자, 취약점 위험 분석가, 사고 대응 관리자 등 새로운 정보보안 관련 직업이 대두되고 있다. 즉, 정보보안은 사전 예방을 위한 정보보호 기술 도입과 사건 발생 후 효율적인 대처까지, 세부적 정보보안 관련 전문 인력이 필요할 정도로 성장하고 있다[2].
하지만, 조직의 정보보안 사고는 다양한 방식으로 지속해서 발생하고 있다. Verizon[2021]에 따르면, 전 세계 정보보안 사고는 기술에 대한 막대한 투자에도 불구하고 감소하지 않았는데, 대외적으로 드러난 정보보안 사고는 전체 정보보안 사고의 일부분일 뿐이라고 경고하고 있다[3]. 특히, 그들은 조직의 다양한 정보보안 사고 유형에 관심을 가질 필요성이 있음을 지적하고 있다. 실제, 해킹, 피싱, 멀웨어 등 조직 외부의 기술 침범에 의한 정보 노출 사고가 전체 사고의 약 2/3를 차지하고 있으며, 다양한 직무와 직위를 가진 조직 내부자의 정보 노출 사고가 전체 사고의 약 1/3을 차지하고 있는 것으로 나타났다 [3]. 즉, 조직은 외부 및 내부의 정보 노출에 대한 대처 전략이 필요한 상황이다.
조직 내부와 관련된 정보보안 선행연구는 조직 내 부자의 정보 노출 위협에 대한 이해와 선제적 예방의 중요성을 제시해왔다. 특히, 그들은 외부의 기술적 침입은 정보보안 솔루션 강화 전략을 통해 예방할 수 있으나, 내부자에 의한 정보 노출은 조직의 정보시스템에 대한 접근 가능성에 의해 발생할 수 있는 문제이므로, 사전 예방이 무척 어려움을 지적하였다[4]. 이에, 그들은 내부자 정보 노출 위협 방지 대책은 조직 구성원 개개인의 심리적 변화를 통한 자발적인 정보보안 준수 행동 강화에 있음을 제시하였다. 대표적으로, 일반 제재이론, 계획된 행동이론, 보호동기이 론, 중화이론 등과 같은 이론을 정보보안 분야에 적용하여 개인의 긍정적 행동 동기(원인)를 제시하고, 내부자의 정보보안 사고를 예방하는 방안을 제시해왔다[5-9].
최근에는 엄격한 정보보안 요구사항이 조직원의 기존 업무 체계를 변화시키고 추가적인 정보 확보 활동 등을 확대하여, 역설적으로 부정적 행동을 일으킬 수 있음을 지적하는 연구도 제시되고 있다. 대표적으로 새로운 정보보안 기술 도입, 변화된 업무 체계 등이 조직원의 스트레스를 발생시키고, 부정적 의도를 일으킬 수 있음을 지적하고 있다[10-12]. 선행연구는 조직원의 스트레스를 일으킬 수 있는 정보보안 관련 환경적 조건을 확인한 측면에서 시사점을 가진다. 하지만, 선행연구들은 탐색적 관점에서 정보보안 분야에 스트레스가 발생할 수 있음을 확인한 것에 그쳐, 정보보안에 의한 스트레스 감소를 위한 조직 전략 방향 또는 개인의 스트레스 완화 조건 등의 스트레스 개선과 관련된 선행 조건을 다각적으로 제시하지 못하였다.
본 연구는 조직원의 정보보안 스트레스 완화 조건에 있어, 긍정심리자본(positive psychological capital)과 조직 공정성(organization justice)이 중요한 역할을 할 것으로 판단한다. 긍정심리 자본은 개인의 심리적 특성을 자본화하여 조직 성과에 기여할 수 있다고 본 이론으로서, 조직이 개인의 긍정성심리를 통제 및 관리할 수 있다고 보았다[13]. 특히 긍정심리 자본은 조직에 대한 공정한 분위기, 문화 등의 형성을 통해 강화할 수 있다고 보고 있다[14]. 또한, 긍정심리 자본이 형성된 조직원은 조직 내 부정적 심리적 상황을 극복할 수 있다고 보고 있다[15]. 이에, 본 연구는 정보보안 분야에 긍정심리 자본과 조직 공정성을 반영하여, 조직원의 정보보안 업무 스트레스 완화 및 정보보안 준수 의도 향상 방안을 제시하고자 한다.
본 연구는 엄격한 정보보안으로 인하여 발현되는 개인의 스트레스가 정보보안 준수 의도를 감소하는 것을 확인하고, 업무 스트레스를 완화하기 위한 선행조건을 조직 공정성과 긍정심리자본 관점에서 제시함으로써, 실무적으로 조직이 추진해야 할 방향을 제언하고, 학술적으로 정보보안 스트레스 완화 조건을 확인하는 측면에서 시사점을 가진다.
II. 이론적 배경
2.1 정보보안 내부의 정보보안 위협
공유 기반의 정보기술은 개인의 업무 효율성을 증가시키고 조직 성과를 높이는 핵심 조건이다. 하지만, 정보보안 관점에서 해당 기술은 조직 구성원에 의한 정보 노출 가능성을 높일 수 있다[12]
조직원들은 시간, 장소와 관련 없이 마음만 먹으면, 소셜미디어, 조직 내부 공유 기술 등을 활용하여 조직의 정보자원을 어렵지 않게 타인에게 전달할 수 있다. 실제로 조직 내부자에 의한 정보보안 사고는 정보보안 관련 업무를 보는 IT 기술자 이외 최고 경영층, 사무직, 영업직, 그리고 엔지니어까지 IT 관련 업무와 관계없이 발생하였다. 또한, USB 등을 이용한 정보 노출, 사회관계망을 활용한 정보 노출 등 다양한 경로들이 활용되었다[3]. 이와 같은 정보 노출 사고는 단순히 해당 조직만의 정보 손실 피해를 주는 것이 아니라, 해당 정보와 관련된 이해관계자(소비자, 기업 등)에게 추가적인 피해를 주므로 내부자들의 적정한 정보보안 준수 행동이 필수적이다[9]
정보보안 준수 의도(information security compliance intention)는 기업의 주요 정보를 조직 내외부의 침입 등으로부터 보호하고자 하는 의지의 수준을 의미한다[5]. 정보보안 준수 의도가 형성된 조직원은 능동적인 보안 준수 행동으로 이어질 수 있으므로, 구성원의 보안 관련 준수 의도 확보 및 유지를 위한 조직 차원의 관심과 지원이 필요하다 [10,16]. 본 연구는 정보보안 준수 의도 감소 조건(업무 스트레스)과 증가 조건(조직 공정성, 긍정심리 자본)을 제시하고, 업무 스트레스 완화 조건을 확인함으로써, 조직 내부의 정보보안 수준 향상 방안을 제시한다.
2.2 정보보안 긍정심리자본
경영학, 심리학 등에서는 집단 내 개인의 행동 원인을 통제함으로써, 집단의 성과 창출에 영향을 줄 수 있는 조건을 지속해서 제시해왔다. 긍정심리자본 (positive psychological capital)은 조직에서 개인의 심리적 조건과 조직의 통제, 그리고 성과 간의 매커니즘을 설명한 대표적인 이론이다[13]. 긍정심 리자본은 개인이 집단에 대하여 형성한 긍정적 심리 감정은 집단의 목표, 가치 달성 등을 위한 행동의 원인임을 제시하고 있으며, 특히, 해당 집단이 전략적으로 당사자들의 긍정적 심리 조건을 통제하고 관리하는 등 자본적 관점에서 운영할 수 있음을 가정하고 있다[17].
개인의 긍정적 심리가 조직의 자본으로 활용되기 위해서는 조직이 조직원의 긍정적 심리를 전략적 측면에서 관리함으로써, 지속적인 유지가 가능해야 한다. 긍정심리자본 선행연구들은 조직 차원에서 개인의 긍정적 심리의 조절은 충분히 가능할 뿐 아니라, 개인에게 부여된 역할을 달성시킬 수 있다고 보았다. 특히, 선행연구는 희망, 낙관주의, 복원력, 그리고 자기효능감을 긍정심리자본의 세부 구성요소로 보고있으며, 4가지 요소가 행동에 개별 작용하는 것이 아니라 복합적으로 연계되어 개인의 긍정적 심리를 형성시키고 행동으로 이어짐을 확인해왔다[14,18]
첫째, 희망(hope)은 집단 내 주체가 목표 중심의 에너지를 지니고, 긍정적 감정을 부여한 상태를 의미한다[13]. 즉, 희망은 조직의 특정 역할을 부여받은 조직원이 추진해야 할 역할의 방향을 이해하고, 목표를 달성하고자 하는 효과를 확보하는 것을 의미한다[19]. 따라서, 희망을 보유한 조직원은 조직에서의 행동 방향을 명확하게 인식하고자 하므로, 목표 행동 중심으로 행동하도록 돕기 때문에, 조직은 조직원이 조직에서의 역할, 가치 등을 확보할 수 있도록 희망적 분위기를 형성하는 것이 필요하다[14]. 정보보안과 관련하여, 정보보안 준수가 조직 내 개인의 특정 역할에 의미를 줄 수 있음을 인식할 때, 희망을 보유하고 정보보안 준수 행동으로 이어질 수 있다[19].
둘째, 낙관주의(optimism)는 일반적으로 집단 내에서 개인에게 좋은 일이 나쁜 일보다 잘 일어날 것이라고 믿는 상태를 의미한다[13]. 낙관주의는 긍정적 감정 확보 관점에서 희망과 유사한 측면을 가지지만, 현실적으로 발생할 수 있는 이슈에 대한 평가를 포함한 개념에서 희망과 차별성을 지닌다. 따라서, 낙관주의는 특정 상황에 대한 객관적 평가를 통해 확보된 긍정적 감정이다. 정보보안과 관련하여, 낙관주의가 형성된 조직원은 객관적으로 정보보안 준수 상황 또는 문제를 해결할 수 있다는 믿음을 가진 상태를 의미한다. 따라서, 조직은 정보보안과 관련된 특정 상황별 정보 등을 지속해서 조직원들에게 제공함으로써, 문제 해결 역량을 가질 수 있도록 하는 것이 요구된다[19].
셋째, 복원력(resilience)은 조직에서 개인이 특정 위험에 처했을 때, 긍정적으로 해결할 수 있는 심리적 역량을 의미한다[13]. 즉, 복원력은 특정한 불확실한 상황과 부정적 현실에 직면했을 때, 부정적 감정으로부터 회복하는 긍정적인 능력이다. 복원력을 보유한 사람은 자신에게 일어난 상황에 대한 긍정적으로 대처할 수 있다는 믿음을 가지며, 나아가 해당사건을 통해 더욱 성장할 수 있다는 믿음을 가진다. 따라서, 복원력은 개인을 한계적 상황을 극복하기 위하여 강한 노력을 수행하도록 돕는다. 정보보안과 관련하여, 복원력을 확보한 사람은 정보보안 관련 문제 또는 위협 상황에 대하여 긍정적으로 대처할 수 있다는 믿음을 보유하고 있으므로, 안정적으로 정보보안 준수 행동을 지속할 수 있다[19].
넷째, 자기효능감(self-efficacy)은 개인에 대한 집단의 요구사항보다 더욱 넓은 범위에서 행동 등의 역할을 이행할 수 있다고 믿는 상태를 의미한다 [13]. 즉, 자기효능감은 개인이 조직에서 더욱 큰 범위의 행동을 수행할 수 있다고 믿는 수준이다. 자기효능감은 역할에 대한 자기 확신 개념이므로, 자기 효능감이 높은 사람은 능동적이고 이타적으로 조직 내에서 행동을 보이려는 경향을 보인다[14]. 정보보안과 관련하여, 자기효능감을 보유한 사람은 조직이 구성원들에게 요구하는 보안 활동 이상의 역할을 할 수 있다고 믿기 때문에, 본인의 업무에 정보보안을 적용하는 것 이외에, 동료들을 돕는 등의 이타적 보안 행동을 할 가능성이 높다[13].
즉, 조직원의 긍정심리자본은 조직에서 개인이 보유한 희망, 객관적 정보를 기반으로 인식한 낙관성, 특정 문제 발생 시 부정적 상황을 이겨낼 수 있다고 믿는 복원력, 그리고 더 넓은 범위의 일을 할 수 있다고 믿는 자기효능감으로 구성되어 있다. 이와 같은, 긍정심리 자본이 형성된 개인은 조직의 특정 성과를 달성하도록 노력하는 모습을 보인다[14]. 따라 서, 조직은 개개인의 긍정적 심리 요인을 유지하도록 환경적 측면에서 지원하는 것이 요구된다
2.3 정보보안 조직 공정성
조직 공정성(organization justice)은 사회가 구성원에게 제공해야 할 공정의 수준에 대한 관점을 조직과 조직원의 측면에서 설명한 이론으로서, 조직 공정성은 조직 내 구성원이 느끼는 공평함에 대한 인식의 수준을 의미한다[20]. 조직 공정성에 따르면, 조직원의 관점에서 조직이 본인에게 공정한 대우를 한다고 느끼는 감정은 상대적 측면에서 고려된다 [18]. 즉, 개인이 조직으로부터 부여받은 특정 역할에 대한 결과평가가 조직 내 유사한 사례와 비교하여 상대적으로 만족스러울 때 개인은 공정하게 대우받았다고 판단한다.
초기의 공정성은 공평함(fairness)에 주목하였다 [20]. 조직 내 개인이 수행한 행동의 결과가 적정한 수준에서 공평한 대우를 받았다고 판단하는 것, 즉, 결과의 분배와 관련된 공평함이 조직원이 판단하는 중요한 공정성 기준이라고 보았다. 이후, 조직 공정성 연구들은 행동 결과가 다른 사례와 유사하게 도출되기 위해서는 행동이 수행되는 과정에서 공정한 대우가 필요하다고 보았다[20]. 즉, 조직의 요구사항에 대한 활동 수행 시, 사전 활동에 필요한 사항(정보 등)이 공정하게 제공되었는지(정보 공정성), 활동 과정에서 개인이 차별적 대우를 받지 않았는지 등(절차 공정성), 과정별 차별 없는 대우가 중요한 조건임을 제시하고 있다[21]. 나아가, 조직으로부터의 공정한 대우의 수준은 어느 한 부분의 공정함에 있는 것이 아니라 전체적인 상황을 종합하여 공정성을 인식한다고 보는 연구도 제시되고 있다[22]. 본 연구는 정보보안과 관련하여 전체적인 조직 공정성 수준을 적용하고자 한다.
정보보안 관점에서 조직 공정성은 다양한 측면에서 조직원에게 영향을 줄 수 있다. 조직이 도입한 정보보안 정책은 기존 조직원에게 부여된 업무 활동에 정보보안 관련 행동을 추가하는 역할을 하며, 정보보안 준수 행동에 대한 보상보다는 정보보안 미준수 행동에 대한 처벌적 관점에서 운영되고 있다[6]. 즉, 조직원은 기존 업무에 정보보안 활동을 추가해야 하므로, 업무 프로세스를 변화시켜야 한다. 따라서, 정보보안을 잘 준수하기 위해서는 사전 정보보안 관련 행동 정보가 조직원들에게 공정하게 제공되어야 하며, 조직원들이 정보보안 준수 과정에서 필요한 절차가 차별적이지 않아야 한다. 또한, 구성원들의 정보보안 처벌과 같은 결과가 공정하게 적용되는 것이 필요하다[7]. 즉, 본인의 업무에 추가로 반영해야 하는 정보보안 규정 및 활동에 대한 정보, 절차, 그리고 결과가 공평할 때, 당사자는 정보보안에 대한 공정함을 인식할 수 있다.
2.4 정보보안 관련 업무 스트레스
개인-환경 적합성(person-environment fit)에 따르면, 환경에 소속된 개인의 스트레스 원인은 외적 요구와 내적 대처의 불균형에 있다고 본다[23]. 조직 내 소속된 사람들은 본인의 역량과 조직의 요구사항 간에 평형 관계를 유지하고자 노력한다. 만일, 조직의 환경이 변화하거나 요구사항이 증가하여, 본인의 역량으로 대처하기 힘들다는 상황이 지속할 때, 당사자는 스트레스(stress)로 인식한다[10]. 스트레스는 불균형 상태가 지속하는 상황을 의미한다[24]. 나아가, 개인이 환경에 대처하기 어려운 상황인 스트레스가 계속될 때, 당사자는 부정적 감정인 스트레인을 일으키고, 조직의 요구사항을 회피하는 등의 부정적 행동을 일으킬 가능성이 존재한다[23]
스트레스 조건 중 업무 스트레스(role stress)는 조직이 조직원에게 부여한 업무가 조직 내외의 환경 변화 또는 추가적인 요구사항의 증가가 지속할 때 발현된다[10]. 선행연구는 조직원의 업무 스트레스 건을 업무 갈등과 업무 모호성에 있다고 보았다.
첫째, 업무 갈등(role conflict)은 개인에게 부여된 업무 수행 및 성과 달성에 필요한 조건이 변화 또는 문제가 발생하여 해당 업무 진행에 어려움이 발생하는 상황을 의미한다[24]. 즉, 조직으로부터 받은 특정 업무 수행에 있어 정보 부족 또는 기존과 다른 상황이 발생함으로써, 조직의 요구사항을 충족하기 어려운 상황이 지속하는 것을 의미한다. 정보보안 관점에서 정보보안 정책을 적용하기 전, 후의 프로세스의 변화 또는 관련 정보가 부족할 때, 조직의 정보보안 준수 요구사항을 이행하기 어려운 상황이 지속할 때 업무 갈등을 발현시킬 수 있다[10].
둘째, 업무 모호성(role ambiguity)은 개인에게 부여된 업무 실행에 요구되는 정보 부족으로 인하여 행동 절차 및 결과의 불확실한 상황이 지속하는 것을 의미한다[24]. 즉, 업무 모호성은 특정 활동에 대한 조직의 정책, 관리 체계 등이 부족하여 업무 수행의 결과를 예측하기 어려운 상황을 지칭한다. 정보보안 업무 모호성은 정보보안 정책과 규정 등이 개인의 업무에 적용하기 어려운 상황이 지속하거나, 정보보안 관련 행동 정보가 부족하다고 느낄 때 발생할 수 있다[10].
정보보안은 개인의 성과 달성을 위한 기존 업무 프로세스를 변화시키는 조건이며, 추가적인 조직의 규정화된 요구사항에 해당한다[11]. 즉, 정보보안 준수 활동을 위해 조직원은 추가로 정보보안 관련 정보, 지식 등을 확보하여야 하므로, 업무적 불균형 상태를 발현시킬 가능성이 쉽게 존재한다[12]. 따라서, 조직은 조직원의 업무에 정보보안 관련 업무적 스트레스가 발생할 가능성이 존재함을 인식하고 대처할 필요성이 있다.
III. 가설 수립 및 데이터 확보
3.1 연구모델
본 연구는 조직원의 관점에서 정보보안 정책의 업무 적용 시 발현될 수 있는 업무 스트레스와 스트레스를 완화하는 방안(조직 공정성, 긍정심리자본)을 제시하는 것이다. 관련 요인은 정보기술 및 조직 관련 선행연구를 기반으로 도출하였으며, Fig. 1로 구성된 연구 모델을 제시한다.
Fig. 1. Research Model
3.2 연구가설
3.2.1 정보보안 조직 공정성 관련 가설
조직 공정성은 조직이 조직원 본인을 불공정하게 대우하거나 피해를 주지 않을 것이라는 믿음을 증가시킨다. 이와 같은 조직 공정성의 향상은 개인이 부여받은 업무에 대한 긍정적 행동 동기를 형성하고, 부정적 상황에 대한 인식을 최소화하는 등의 역할을 한다. 더욱이, 조직 공정성은 조직원의 조직 내 업무적 만족도를 높이고 성과 달성에 기여한다.
첫째, 조직 공정성은 조직원에게 부여된 역할을 긍정적으로 수행하도록 돕는다. Alshare et al.[2018]은 고등학교 구성원의 정보보안 준수 행동에 조직 공정성이 자발적 행동을 형성하는 선제 조건임을 확인하였으며[7], Kim et al.[2016]은 조직 내 상사의 비인격적 감독과 조직 공정성이 정보보안 준수의식에 미치는 영향을 확인하였으며, 조직 공정성이 비인격적 감독의 부정적 영향을 완화하는 것을 확인하였다 [25]. Tziner and Sharoni[2014]는공정성이 구성원의 역할 내 행동을 넘어 이타적 행동을 보이는 조직시민행동을 강화하는 것을 확인하였다[22]. 즉, 정보보안 조직 공정성 확립은 조직 내 구성원들의 정보보안 준수 의도를 형성시키며, 다음의 연구가설을 제시한다.
H1: 정보보안과 관련된 조직 공정성은 구성원의 정보보안 준수 의도에 정(+)의 영향을 준 다.
둘째, 조직 공정성은 조직원의 조직에 대한 긍정적 믿음을 형성시키는 것이므로, 조직에서 불합리한 대우 등을 받지 않는다고 믿어 업무 상황에서 스트레스 형성을 감소시키는 조건이다. Tziner and Sharoni[2014]는 공정성이 업무 스트레스를 감소하여, 일-가족 갈등까지 줄이는 선행 요인임을 확인 하였으며[22], Judge and Colquitt[2004] 또한 조직 공정성이 일-가족 갈등을 감소시켜 업무만족도를 높이는 조직 환경 요인임을 확인하였다[20]. 또한, Howard and Cordes[2010]은 분배 공정성과 절차 공정성이 스트레스의 부정적 감정인 감정 고갈을 축소하는 것을 확인하였다[26]. 선행연구와 같이 정보보안과 관련된 조직 공정성이 정보보안 업무 스트레스를 줄일 것으로 판단한다.
H2: 정보보안과 관련된 조직 공정성은 구성원의 업무 스트레스(업무 갈등, 업무 모호성)에 부(-)의 영향을 준다.
셋째, 조직의 공정한 환경은 조직원의 긍정심리자 본에 긍정적 영향을 준다. Agarwal and Farndale[2017]은 조직의 업무성과 달성을 위한 시스템적 지원이 개인의 긍정심리자본을 형성시키는 것을 확인하였으며[18], Luthans et al.[2008]은 조직원에 대한 조직 차원의 지원 분위기 형성이 당사자의 긍정심리자본을 형성시키는 것을 확인하였다 [14]. 또한, Dora and Azim[2019]은 조직 공정성이 긍정심리자본을 높여 조직 내 부정적 행동을 감소시키는 것을 확인하였다[27]. 즉, 개인의 긍정적 믿음을 형성시키는 조직 환경 조건인 조직 공정성은 개인의 긍정심리자본을 높이는 조건이다. 이에, 본 연구는 다음의 가설을 제시한다.
H3: 정보보안과 관련된 조직 공정성은 구성원의 긍정 심리자본에 정(+)의 영향을 준다.
3.2.2 정보보안 업무 스트레스 관련 가설설정
조직에서 조직원에게 형성된 업무 스트레스는 부정적 감정을 높여 조직이 요구하는 특정 활동을 회피하도록 하거나, 긍정적 행동의도를 감소시키는 역할을 한다. Hwang and Cha[2018]는 기술 스트레스 이론을 정보보안 분야에 접목하여 정보보안 기술 스트레스가 업무 스트레스를 통해 몰입과 정보보안 준수 의도를 감소시키는 선행 요인임을 확인하였으며[10], D’Arcy and The[2019]는 정보보안에 의한 스트레스는 조직원의 정신적 피로감 등을 형성하여 정보보안 미준수 의도에 영향을 주는 요인임을 확인하였다[11]. 또한, Trang and Nastjuk[2021]는 정보보안에 의한 업무 수행 시간의 증가는 스트레스를 일으키고 정보보안 미준수 의도를 높이는 것을 확인하였다[12]. 정보보안 업무 스트레스는 조직이 요구하는 정보보안 준수 활동을 감소시키는 조건이며, 다음의 연구가설을 제시한다.
H4: 정보보안과 관련된 업무 스트레스(업무 갈등, 업무 모호성)는 구성원의 정보보안 준수 의도에 부(-)의 영향을 준다.
3.2.3 정보보안 긍정심리자본 관련 가설설정
개인에게 형성된 긍정심리자본은 개인의 목표 지향성 행동을 높이고, 조직의 성과 달성과 같은 긍정적 행동을 하도록 할 뿐 아니라, 조직 내 형성될 수 있는 스트레스를 완화하는 조건이다.
첫째, 조직원에게 형성된 긍정심리자본은 본인의 조직 내 만족도 향상 및 조직의 요구 행동을 준수하고자 하는 선행요인이다. Mensah and Amponsah-Tawiah[2016]은 긍정심리 자본이 조직에서 개인의 심리적 웰빙을 형성하도록 돕는다고하였다 [28]. Agarwal and Farndale[2017]은긍정심리자본이 조직원의 혁신 이행 활동을 높이는 긍정적 동기 요인임을 확인하였으며[18], Zhang et al.[2017]은 긍정심리 자본이 지식공유 행동을 향상키는 조건임을 확인하였다[29]. Luthans et al.[2008]은 기업의 지원 분위기가 긍정심리 자본과 만나 조직원의 성과 창출에 기여한다고 하였다[14]. 즉, 정보보안과 관련하여, 긍정심리 자본이 형성된 조직원은 긍정적 보안 행동을 보일 것으로 판단한다.
H5: 정보보안과 관련된 긍정심리자본은 구성원의 정보보안 준수 의도에 정(+)의 영향을 준다.
또한, 긍정심리자본은 개인의 스트레스를 완화하여, 조직이 요구하는 행동 감소를 최소화하도록 돕는 요인이다. Raja et al.[2020]은 테러 위협에 대한 인지가 업무 스트레스를 감소시키는데, 긍정심리자본 이 조절하는 것을 확인하였으며[17], Khliefat et al.[2021]은 조직원의 목표달성 등에 방해를 일으키는 스트레스가 시민 행동에 미치는 부정적 영향을 긍정심리자본이 조절하는 것을 확인하였다[30]. 또한, Pu et al.[2017]은 업무-가족 간의 갈등이 직무소진에 미치는 영향을 긍정심리 자본이 조절하는 것을 확인하였다[15]. 즉, 정보보안 업무 스트레스가 정보보안 준수 의도를 감소시키는 상황을 긍정심리자본 이 조절하여, 부정적 결과를 감소시키는 역할을 할 것으로 판단하며, 다음의 가설을 제시한다.
H6: 정보보안과 관련된 긍정심리자본은 정보보안 업무 스트레스와 정보보안 준수 의도 사이의 관계를 조절한다.
3.3 데이터 측정 및 수집
연구가설 검증은 선정된 연구 대상에 대하여 설문지 기법으로 확보된 표본을 활용한다. 이에 본 연구는 선행연구로부터 다 항목 기반의 측정도구를 확보하였으며, 정보보안 특성에 맞게 재수정하였다. 또한, 측정 도구들은 7점 리커트 척도를 반영하였다(7 점: 매우 그렇다 - 1점: 매우 그렇지 않다).
조직 공정성은 Tziner and Sharoni[2014] 연구의 측정도구를 활용하였으며[22], “조직은 정보보안과 관련하여 전체적으로 공정한 대우를 함”, “나는 조직이 정보보안에 대하여 공정하게 대우한다고 믿음”, “조직은 일반적으로 정보보안 관련 활동을 공정하게 함”, “조직은 조직원에게 공평하게 정보보안 관련한 활동을 수행함”과 같은 4개의 문항으로 적용하였다. 긍정심리자본은 2차 요인으로 Luthans et al.[2007]이 제시한 희망, 낙관주의, 복원력, 그리고 자기효능감의 측정도구를 활용하였다[13]. 첫째, 희망은 “나는 보안업무 목표를 위해 열정을 다해 노력함”, “회사의 정보보안 이슈 해결에는 여러 가지 방법이 있다고 생각함”, “정보보안 목표를 업무에 적용하는 방법에는 여러 가지가 있다고 판단함”과 같이 3개의 문항으로 적용하였다. 둘째, 낙관주의는 “나는 긍정적인 측면에서 나의 정보보안 업무를 주시함”, “불확실한 정보보안 업무 상황이 존재할 때, 나는 보통 가장 좋은 상황을 기대함”, “나는 정보보안 관련된 일에 대하여, 긍정적으로 생각함”과 같이 3개의문항으로 적용하였다. 셋째, 복원력은 “나는 업무에 정보보안을 반영하는 것을 잘 관리하고 있음”, “나는 정보보안 활동 스트레스를 받아들이려고 하고 있음”, “나는 과거에 보안에 대한 어려움을 경험하였기 때문에, 정보보안에 대한 어려운 시간을 이겨낼 수 있음”과 같이 3개의 문항으로 적용하였다. 마지막으로, 자기효능감은 “나는 정보보안 이슈를 해결할 자신이 있음”, “나는 조직의 정보보안 전략에 기여할 자신이 있음”, “나는 업무 분야 내 보안 목표수립에 도움이 된다고 확신함”, “나는 정보보안 정보를 동료들에게 제공할 자신이 있음”과 같이 4개의 문항으로 적용하였다.
업무 갈등은 Tarafdar et al.[2007] 연구의 항목을 활용하였으며[24], “나는 조직의 보안 정책으로 인해, 종종 업무적 판단에 반대되는 상황이 발생함”, “나는 조직의 보안 준수 요구사항으로 인해, 종종 관련 정보가 부족한 상황에서 행동함”, “나는 가끔 업무 목표를 달성하기 위해, 조직의 보안 정책 요구를 외면함”과 같이 3개 문항으로 구성하였다. 업무 모호성은 Ayyagari et al.[2011] 연구의 항목을 활용하였으며[23], “나는 종종 조직의 보안 정책 준수와 업무성과를 위한 행동 중 어떤 것을 처리해야 하는지 불확실한 상황에 직면함”, “나는 종종 조직의 보안정책 준수와 업무성과를 위한 행동 중 어떤 것을 우선해야 할지 불확실한 상황에 직면함”, “나는 정보보안 규정 이행을 위한 시간 때문에, 나의 업무에 시간 할당이 어려울 때가 있음”, “정보보안 이슈 해결을 위해, 나는 업무 수행에 추가적인 시간을 소비할 때가 있음”과 같이 4개 문항으로 구성하였다.
정보보안 준수 의도는 Chen et al.[2012]의 항목을 적용하였으며[5], “나는 조직의 정보보안 정책 및 규정을 지속해서 따를 것”, “나는 조직의 정보자원 보호를 위해 조직의 보안 정책을 이행할 것”, “조직의 정보시스템 접속 및 활용 과정에서 나는 보안정책을 지속해서 준수할 것”과 같이 3개 문항으로 구성하였다.
본 연구의 대상은 정보보안 정책, 규정을 확립하고, 구성원들에게 해당 정책 및 규정 활동을 업무에 적용하고 있는 기업의 근로자이다. 특히, 본 연구는 정보보안 관련 부서, 일반 업무 적용 부서와 관계없이 해당 정책을 보유한 조직에 근무하는 사람이면 설문대상으로 선정하였는데, 조직의 정보보안에 대한인식 수준은 결국 개인의 정보보안에 대한 관심 수준에 따라 다를 것으로 판단하였기 때문이다. 관련하여, 본 연구는 특정 정보보안 정책을 보유한 조직만을 선정하지 않고 정보보안 규칙과 정책을 업무에 적용하는 개인의 관점에서 조직의 정보보안 관련 공정성과 업무적 스트레스 상황 등을 평가하도록 하였다. 즉, 본 연구는 표준화 관점에서 정보보안 정책을 업무에 적용받는 조직원에게 조직 차원의 정보보안 공정함과 업무적 적용 상황 등에 대한 인식을 확인함으로써 보안 준수 의도 향상 방안을 제시한다.
이에, 본 연구는 M리서치가 보유한 직장인 회원을 활용하되, 연구 대상에 적절한 표본 확보를 위한 설계를 하였다. 연구는 온라인 설문을 설계하였으며, 회원들이 설문에 참여하기 전, 사전 연구 목적 등 정보를 제공하지 않은 상태에서, 직업 유형과 정보보안 정책의 업무에 반영 여부를 확인하였다. 즉, 직업 유형 중 직장인이라 응답한 사람 중 정보보안 정책, 규정을 업무에 반영하도록 요구하고 있는 직장에 다니는 사람만 설문과정에 참여하도록 하였다. 이후, 설문의 목적과 결과의 통계적 활용방법에 대하여 설명하였으며, 설문을 수행하겠다고 응답한 사람만 설문을 진행하였다. 설문은 2021년 5월에 수행하였다. 총 329개의 유효표본을 확보하였으며, 표본의 인구 통계학적 특징은 Table 1.과 같다. 성별의 경우 남성이 76.6%로 여성보다 많았으나, 나이의 경우 30-50세가 76.3%로 가장 많았으며, 업종의 경우 서비스업이 84.5%로 우리나라의 서비스업 비중과 비슷한 상황인 것으로 나타났다. 또한, 직위는 고르게 나타났다. 즉, 표본은 직장인 설문으로 적정한 상황인 것으로 판단된다.
Table 1. Demographic Characteristics
IV. 가설 검증
4.1 신뢰성 및 타당성 검증
본 연구는 설문지 기법을 적용하되, 요인별 다 항목 기반의 측정도구를 활용하였으므로, 요인의 신뢰성과 타당성 검증을 한다. 다만, 긍정심리자본은 2차요인이고, 그 외 변수들은 1차 요인이므로, 2차 요인분석을 수행하였다.
첫째, 신뢰성은 SPSS 21.0의 크론바흐 알파를 활용하여 확인한다. 선행연구는 요인별 크론바흐 알 파 0.7 이상의 값을 요구한다[31]. 본 연구에 적용된 측정 항목은 총 27개이지만, 신뢰성에 문제를 보인 2개 항목[Ho1, RA2]을 제거하였으며, 총 25개의 항목을 분석에 적용하였다. 분석 결과는 Table 2.와 같으며, 연구 모델에 적용된 1차, 2차 요인 모두 요구사항을 충족한 것으로 나타났다.
Table 2. Result for Reliability and Validity
Ho(Hope), Op(Optimism), Re(Resilience), SE(Self-efficacy), OJ(Organization Justice), RC(Role Conflict), RA(Role Ambiguity), CI(Compliance Intention), PC(Psychological Capital)
a = second order construct (Ho, Op, Re, SE)
둘째, 타당성은 AMOS 22.0의 2차 확인적 요인 분석을 적용하였다. 본 연구는 2차 확인적 요인분석 에서 집중 타당성(개념 신뢰도(construct reliability), 평균분산추출(average variance extracted)을 통해 요인의 일관성을 확인하고 판별 타당성을 통해 요인 간의 차별성을 확인하였다. 2차 확인적 요인분석 모델의 적합도는 χ2/df = 1.377, GFI = 0.921, AGFI = 0.901, CFI = 0.986, NFI = 0.952, TLI = 0.984, 그리고, RMSEA = 0.034와 같이 나타나 모든 수치에서 적합도 요구 사항을 충족한 것으로 나타났다. 집중 타당성 분석 시, 선행연구는 0.7 이상의 개념 신뢰도 값을 요구하며, 0.5 이상의 평균분산추출 값을 요구한다[32]. 분석 결과 2차 요인까지 개념 신뢰도와 평균분산 추출의 요구사항을 충족한 것으로 나타났다.
판별 타당성은 적용된 요인들의 평균분산추출 제곱근과 상관계수를 비교하여 확인한다. 선행연구는 상관계수가 평균분산추출의 제곱근 값보다 모두 낮은 것을 요구한다. 결과는 Table 3.으로 나타났으며 판별 타당성이 존재하는 것으로 확인되었다.
Table 3. Result for Discriminant Validity
OJ(Organization Justice), RC(Role Conflict), RA(Role Ambiguity), PC(Psychological Capital), CI(Compliance Intention)
**: p < 0.01, a = the square root of the AVE, b = second order construct
본 연구는 설문지 기법에서 잘 나타나는 통계적 문제인 공통방법편의 문제를 확인하였다. 공통방법편 의는 설문 응답 시 요인이 상호 연계성으로 인해 이상치가 발생할 가능성을 의미한다. Podsakoff et al.[2003]은 공통방법편의 문제 해결을 위한 다양한 기법을 제시했으며, 본 연구는 일반적으로 활용되는 단일공통요인 기법을 적용하였다. 적용한 기법은 확 인적 요인분석 모형에 공통요인을 추가한 모형을 만들고, 기존 모형과 공통요인 추가 모형의 추정치의 변화량을 통해 확인한다[33]. 공통요인 적용 전 모형의 적합도(χ2/df = 1.377, GFI = 0.921, AGFI = 0.901, CFI = 0.986, NFI = 0.952, TLI = 0.984, RMSEA = 0.034)와 적용 후 모형의 적합도 (χ2/df = 1.248, GFI = 0.934, AGFI = 0.910, CFI = 0.992, NFI = 0.961 TLI = 0.990, RMSEA = 0.028)가 모두 요구사항을 충족하였으며, 측정 항목의 추정치의 변화량이 0.3 미만으로 나타나 공통방법편의 문제는 높지 않았다.
4.2 구조모형 주효과 분석
연구가설 검증은 조절 효과를 제외한 모형에 대하여 구조방정식 모델링을 적용한 주효과 분석과Hayes[2017]의 Process 3.1을 활용한 조절 효과분석으로 구성된다.
주 효과 분석은 구조방정식 모형을 적용하므로, 모델의 적합도 확인, 경로계수 분석(β), 그리고 결과변수의 영향력 분석(R 2)을 함께 수행하였다. 주 효과 검증을 위한 모델의 적합도를 확인하였다. 결과는χ 2/df = 2.966, GFI = 0.895, AGFI = 0.856, CFI = 0.952, NFI = 0.930, TLI = 0.941, 그리고 RMSEA = 0.077와 같이 나타났다. 비록, GFI, AGFI, RMSEA가 요구사항보다 다소 낮았으나, GFI와 AGFI는 0.8까지 허용하고, RMSEA 는 0.1까지 허용하며, 그 외 지수의 수치가 적정한 것으로 나타나 경로계수를 확인하였다.
이후, 본 연구는 가설로 제시한 요인 간의 경로검증을 수행하였다(Fig. 2, Table 4). 연구가설 1은 정보보안 조직 공정성이 정보보안 준수 의도에 정(+)의 영향을 준다는 것으로, 요인 간의 경로가 긍정적 관계에 있는 것으로 나타나 가설이 채택되었다(H1: β = 0.282, p < 0.01).
Fig. 2. Results of the Structural Model
Table 4. Summary of Main Effect Tests
OJ(Organization Justice), RC(Role Conflict), RA(Role Ambiguity), PC(Psychological Capital), CI(Compliance Intention)
**: p < 0.01
연구 가설 2는 정보보안 조직 공정성이 정보보안 업무 스트레스에 부(-)의 영향을 준다는 것으로, 요인 간의 경로가 부정적 관계에 있는 것으로 나타나 가설이 채택되었다(H2a: β = -0.539, p < 0.01; H2b: β = -0.550, p < 0.01). 연구가설 3은 정보보안 조직 공정성이 정보보안 긍정심리자본에 정(+)의 영향을 준다는 것으로, 요인 간의 경로가 긍정적 관계에 있는 것으로 나타나 가설이 채택되었다(H3: β = 0.704, p < 0.01). 연구가설 4는 정보보안 업무 스트레스가 정보보안 준수 의도에 부(-)의 영향을 준다는 것으로, 업무 갈등만 정보보안 준수 의도에 부정적 관계에 있는 것으로 나타나 부분적으로 가설이 채택되었다(H4a: β = -0.158, p < 0.01; H4b: β = -0.083, n.s). 연구가설 5는 정보보안 긍정심리 자본이 정보보안 준수 의도에 정(+)의 영향을 준다는 것으로, 요인 간의 경로가 긍정적 관계에 있는 것으로 나타나 가설이 채택되었다(H5: β = 0.313, p < 0.01).
마지막으로, 연구는 요인의 결정계수(R2)를 확인하였다. 결정계수는 변수의 영향력 수준을 확인하는 것으로, 조직 공정성, 업무 갈등, 업무 모호성, 그리고 긍정심리자본은 정보보안 준수 의도에 47.4%의영향을 주었으며, 조직 공정성은 업무 갈등에29.0%, 업무 모호성에 30.2%, 그리고 긍정심리자본에 49.6%의 영향을 준 것으로 나타났다.
4.3 조절 효과 분석
가설 6은 정보보안 긍정심리 자본이 정보보안 업무스트레스(갈등 및 모호성)와 정보보안 준수 의도 간의 관계를 조절한다는 것으로, 본 연구는 Hayes[2017]의 Process 3.1을 통해 조절 효과를 확인하였다[34]. 모든 요인이 리커트 척도로 구성되어 있으므로, Process 3.1의 모델 1을 적용하되, 부트스트래핑 5,000, 신뢰도 95%를 반영하였다. 조절 효과 결과는 Table 5.와 같다.
조절 효과 검증 결과는 긍정심리자본인 업무 갈등과 준수 의도와의 관계, 업무 모호성과 준수 의도와의 관계에 각각 조절 효과를 가지는 것으로 나타났다. 긍정심리자본의 조절 효과를 보다 명확하게 판단하기 위하여, Process 3.1의 단순 그래프를 확인하였다. 업무 갈등과 업무 모호성은 정보보안 준수 의도를 감소시키는 요인이나, 긍정심리 자본이 높아질수록 업무 갈등과 업무 모호성이 준수 의도에 미치는영향을 감소시키는 것을 확인하였다.
Table 5. Summary of Moderating Effect Tests
RC(Role Conflict), RA(Role Ambiguity), PC(Psychological Capital), CI(Compliance Intention)
**: p < 0.01
Fig. 3. Moderation Effect of PC (H6a)
Fig. 4. Moderation Effect of PC (H6b)
V. 결론
5.1 연구의 요약
정보보호가 조직의 중요한 가치로 인식되면서, 조직들은 정보보안 정책 및 기술 등 도입 및 활용에 지 속해서 투자를 높였으며, 외부의 침입에 대한 대처 체계를 마련해왔다. 하지만, 조직 내부의 정보 노출 사고에 대한 우려가 커지고 있어, 내부자에 대한 정보 노출 대처를 위한 조직의 노력이 요구되고 있다.
본 연구는 도입한 정보보안 정책, 규정이 조직원에게 업무적 스트레스를 일으킬 수 있음을 주목하고, 정보보안 업무 스트레스를 축소하기 위한 조건을 조직 환경 측면, 조직원 개인 심리적 측면에서 제시하고자 하였다. 세부적으로 정보보안 조직 공정성 확립이 업무 스트레스를 완화하고, 개인의 긍정심리 자본이 정보보안 업무 스트레스에 의한 부정적 행동의 영향을 감소시킬 수 있음을 확인하고자 하였다.
본 연구는 정보보안 정책, 규정 등을 도입 및 활용하고 있는 기업의 근로자들을 대상으로 설문을 수행하였으며, 329개의 표본을 활용하여 가설 검증을 하였다. 가설 검증 결과, 정보보안 조직 공정성이 정보보안 업무 갈등과 업무 모호성을 완화하였으며, 업무 갈등이 정보보안 준수 의도를 감소시키는 것을 확인하였다. 그리고, 정보보안 조직 공정성이 개인의 긍정심리 자본을 통해 정보보안 준수 의도를 증가시키는 조건임을 확인하였다. 또한, 긍정심리 자본이 업무갈등과 업무 모호성이 보안 관련 행동 의도에 미치는 부정적 영향을 조절하여 긍정심리 자본이 형성될 수록준수 의도 감소가 완만해지는 것을 확인하였다.
5.2 연구의 시사점 및 한계점
본 연구는 조직원의 보안 준수 관련 연구 측면에서 다음과 같은 학술적 시사점을 제시한다. 첫째, 본연구는 조직원 관점에서 정보보안 정책의 활용 시 발생 가능한 업무적 스트레스 상황을 제시하고 준수 의도에 미치는 영향을 확인하였다. 정보보안 준수 행동 관련 선행연구는 최근 들어서야 엄격한 정보보안 정책으로 인한 부정적 영향을 연구해왔다. 본 연구는 정보보안과 본인의 조직 내 업무 간에 목표 문제가 있을 것으로 판단하였으며, 조직원의 관점에서 정보보안 업무 스트레스 발생 원인을 업무 갈등과 업무 모호성 관점에서 확인하였다. 특히, 본 연구는 정보보안에 대한 업무 갈등이 정보보안 준수 의도를 감소시키는 것을 확인하였다(H4a). 즉, 학술적 관점에서 정보보안 준수 의도를 감소시키는 정보보안 업무 상황을 제시한 측면에서 시사점을 지닌다.
둘째, 본 연구는 업무 스트레스 완화를 위한 조직환경 조건으로 조직 공정성을 제시하고 영향 관계를 확인하였다. 조직 공정성 관련 선행연구는 조직 내 일반적 개인의 역할 또는 관계적 스트레스를 완화하는 조건임을 제시해왔다. 본 연구는 정보보안 분야에 조직 공정성을 적용하였으며, 조직원의 보안 활동에 필요한 정보 및 결과 등과 같은 조직 차원의 공정한 대우가 정보보안 준수 의도를 높일 뿐 아니라(H1), 업무 스트레스 조건(업무 갈등, 업무 모호성)을 감소시키는 조건임을 확인하였다(H2). 즉, 학술적 관점에서 정보보안 업무 스트레스 완화 조건을 제시한 측면에서 선행연구로서의 시사점을 지닌다.
셋째, 본 연구는 조직 내 구성원의 성과 달성에 영향을 주는 긍정적 심리를 자본화할 수 있음을 제시한 긍정심리자본 이론을 정보보안 분야에 적용하였으며, 정보보안 준수 의도 향상 및 정보보안 업무 스트레스의 부정적 영향을 조절하는 것을 확인하였다. 긍정심리자본 관련 선행연구는 조직 환경 및 지원을 통해 형성된 개인의 긍정적 심리 감정이 개인 차원의 만족도에서부터 조직 차원의 성과 달성에 기여하는 것을 중점적으로 연구해왔다.
본 연구는 정보보안이라는 세부 영역에도 긍정심리 자본이 반영되어 정보보 안 준수 의도를 향상하는 것을 확인하고(H5), 특히 정보보안으로 인해 업무 스트레스 상황이 지속할 때 발현되는 부정적 상황을 완화할 수 있음을 제시하였다(H6). 따라서, 학술적 관점에서 정보보안 분야에 긍정심리자본의 역할을 제시한 관점에서 선행연구로 서의 시사점을 가진다. 본 연구는 다음 측면의 실무적 시사점을 제시한다. 첫째, 본 연구는 조직이 추진하는 정보보안 정책 이 조직원의 관점에서 스트레스로 발현될 수 있음을 제시하고, 오히려 내부 정보보안 목표 달성에 부정적 영향을 줄 수 있음을 확인하였다. 특히, 정보보안 정 책과 본인의 업무 달성 과정 사이의 갈등 관계가 유지될수록 정보보안 준수 의도를 감소시키는 것을 확인하였다(H4a). 따라서, 조직은 정보보안 정책, 규정 등의 적용 시, 조직원의 기존 업무 체계를 고려하고, 정보보안 수행 정보를 명확하게 제공함으로써, 체계적인 정보보안 준수 활동을 할 수 있도록 지원하는 것이 필요하다. 또한, 실제 업무적으로 정보보안 행동을 수행하는 조직원의 관점을 이해할 수 있도록, 조직은 정보보안 정책 및 규정 개정 과정 등에 조직 원들의 참여와 의견을 수렴하는 것이 요구된다. 이를 통해, 실무적으로, 조직원이 정보보안에 의한 업무 갈등을 느끼지 않도록 하는 것이 요구된다.
둘째, 본 연구는 업무 스트레스 완화 조건으로 조직 공정성을 제시하였으며, 완화 관계에 있음을 확인하였다. 정보보안 조직 공정성은 정보보안에 필요한 사전 정보, 정보보안 수행 과정, 그리고 정보보안 행동에 대한 상대적인 공평한 수준을 의미한다. 특히, 미준수 행동에 대한 처벌이 정보보안 정책의 대부분을 차지하고 있어, 결과에 대한 공정한 상황이 형성 될 때, 조직원은 조직에 대한 당연한 믿음을 발현시 켜 업무 스트레스를 감소시킬 수 있음을 확인하였다 (H2). 즉, 조직은 정보보안 정책운영에 있어 특정조직원이 차별을 받는다는 것을 느끼지 않도록 하는 것이 필요하다. 따라서, 조직은 규정에 기반한 조직원 개개인의 업무적 지원, 보안 행동 지원을 공평하게 처리하는 것이 필요하며, 이러한 활동을 조직 내부에 지속적으로 알리는 홍보 활동을 지속하는 것이 요구된다. 이를 통해, 조직원이 정보보안 정책을 명확하게 지킬 때, 조직으로부터 인정을 받을 수 있음을 알리는 것이 필요하다.
셋째, 본 연구는 개인에게 형성된 긍정적 심리가 정보보안 준수 의도를 높일 뿐 아니라(H5), 업무 스트레스에 의한 정보보안 준수 의도 감소 효과를 조절하는 것을 확인하였다(H6). 긍정심리자본은 조직이 개인의 긍정적 심리 감정을 통제할 수 있다는 관점으로서, 특히, 본 연구는 조직 공정성에 의해 긍정심리자본을 형성하고, 정보보안 관련 활동에 기여할 수있음을 확인하였다. 세부적으로, 희망은 정보보안 목표에 대한 긍정적 감정 상황이기 때문에, 조직 차원에서 구성원들이 정보보안 목표를 설정할 수 있도록 명확한 방향성을 제시하는 노력이 요구된다. 낙관주의는 객관적 측면에서 긍정적 상황이 유지될 것이라는 믿음이기 때문에, 조직은 구성원들에게 정보보안 활동의 내용과 긍정적 결과를 제공하는 노력이 요구된다. 복원력은 정보보안 문제가 발생하더라도 해결할 수 있다는 믿음이므로, 조직은 정보보안 이슈에 대한 대처 가이드라인을 명확하게 제공하는 등 문제를 해결할 수 있는 믿음을 부여하는 것이 요구된다. 마지막으로, 자기효능감은 더 넓은 범위에서 이타적행동을 할 수 있다는 믿음이므로, 조직원들에게 정보보안 행동 정보와 이타적 행동의 결과 등을 제공하는것이 요구된다. 즉, 실무적으로 정보보안에 대한 개인의 긍정적 심리 감정 형성이 본인의 정보보안에 대한 행동을 강화할 수 있는 조건임을 확인하였으며, 공정한 조직의 보안 환경이 더욱 요구됨을 제시하였다. 따라서, 조직은 개인의 긍정적 심리를 관리하기 위한 조직원 관리 정책을 운영하는 것이 필요하다.
본 연구는 조직원의 보안 준수에 대한 긍정적, 부정적 조건을 제시하고, 부정적 조건을 감소시키는 방향을 제언한 측면에서 의미를 제시하지만, 다음과 같은 연구적 한계를 지니며 향후 연구에서 강화될 필요성이 있다. 첫째, 본 연구는 개인 관점에서 정보보안 준수 의도 강화를 위한 요인을 제시하기 위해 정보보안 정책을 도입한 기업의 근로자로 연구 대상을 선정하고 표본을 확보하였다. 특히, 연구는 업종을 표준화와 관련하여 제조업과 서비스업으로만 구분하여 설문을 진행하였다. 결과적으로, 연구결과는 일반화와 관련된 시사점을 제시하나, 정보의 가치가 조직적 특성, 업종 특성 등에 따라 달라질 수 있음을 고려한다면, 정보보안을 위한 다양한 외적 환경을 고려한 대응책 마련이 요구된다. 예를 들어, 금융업과 물류, 제조업의 정보보안에 대한 관심사는 차이가 발생할 것이며, 대기업 또는 중소기업 등의 차이에 따라 정보보안 정책에 대한 다른 수준의 요구사항이 존재할 수 있을 것이다. 따라서, 향후 연구에서는 업종 및 조직의 정보보안 수준별 특성을 고려하여 연구를 진행한다면, 심도 있는 현실적 가치를 제언할 수 있을 것이다. 둘째, 본 연구는 개인의 특성을 상세히 분류 하지 않고, 준수 의도에 미치는 영향 조건을 확인하 였다. 하지만, 개인의 특성의 차이는 행동의 변화를 일으킬 수 있다. 일례로, 스트레스-대처 이론에 따르 면 스트레스에 대한 개인의 대처는 대처 조건(문제 중심, 감정 중심)에 따라 구분되며 각기 다른 방식의 행동 발현이 진행된다고 보고 있다. 더불어, 조직원의 관점에서 조직 근무 연수 등 조직에 대한 몰입 수준이 높을 수 있는 조건 등은 충분히 개인의 보안 인식 차이를 확인할 수 있을 것이다. 즉, 향후 연구에서는 개인 특성(스트레스 대처 방식 또는 조직 내 개인의 위치 등)에 따른 정보보안 행동 차이를 제시함 으로써, 세밀한 연구적 시사점을 제시하는 것이 요구 된다. 마지막으로, 본 연구는 정보보안 관련 조직의 공정성, 개인의 업무적 스트레스 및 자본으로서의 인식, 그리고 준수 의도간의 매커니즘을 제시하였다. 해당 프로세스는 조직 내부의 정보보안 목표를 달성 하는데 기여할 수 있으나, 기본적으로 내부적으로 정 보보안 체계가 갖추어진 조직에서 의미가 있을 수 있다. 따라서, 향후 연구에서는 조직의 정보보안 구축 수준에 따른 조직원의 인식 차이를 제시한다면, 현실 조직에서 실행할 수 있는 전략적 방향을 제시할 수 있을 것으로 판단한다.
References
- Statista, Information security technology market size 2016-2023, 2020.
- PwC, Global digital trust insights survey 2021, 2021.
- Verizon, 2021 data breach investigations report, 2021.
- R. West, "The psychology of security," Communications of the ACM, 51(4), pp. 34-40, Apr. 2008. https://doi.org/10.1145/1330311.1330320
- Y. Chen, K. Ramamurthy, and K. W. Wen, "Organizations' information security policy compliance: Stick or carrot approach?," Journal of Management Information Systems, 29(3), pp. 157-188, Dec. 2012. https://doi.org/10.2753/MIS0742-1222290305
- Y. Xue, H. Liang, and L. Wu, "Punishment, justice, and compliance in mandatory IT settings," Information Systems Research, 22(2), pp. 400-414. Feb. 2011. https://doi.org/10.1287/isre.1090.0266
- K. A. Alshare, P. L. Lane, and M. R. Lane, "Information security policy compliance: A higher education case study," Information & Computer Security, 26(1), pp. 91-108, Mar. 2018. https://doi.org/10.1108/ics-09-2016-0073
- A. C. Johnston, M. Warkentin, A. R. Dennis, M. Siponen, "Speak their language: Designing effective messages to improve employees' information security decision making," Decision Sciences, 50(2), pp. 245-284, Jul. 2019. https://doi.org/10.1111/deci.12328
- X. Ma, "IS professionals' information security behaviors in Chinese IT organizations for information security protection," Information Processing & Management, 59(1), pp. 102744, Jan. 2022. https://doi.org/10.1016/j.ipm.2021.102744
- I. Hwang and O. Cha, "Examining technostress creators and role stress as potential threats to employees' information security compliance," Computers in Human Behavior, 81, pp. 282-293, Apr. 2018. https://doi.org/10.1016/j.chb.2017.12.022
- J. D'Arcy and P. L. Teh, "Predicting employee information security policy compliance on a daily basis: The interplay of security-related stress, emotions, and neutralization," Information & Management, 56(7), pp. 103151, Nov. 2019. https://doi.org/10.1016/j.im.2019.02.006
- S. Trang and I. Nastjuk, "Examining the role of stress and information security policy design in information security compliance behaviour: An experimental study of in-task behaviour," Computers & Security, 104, pp. 102222, May. 2021. https://doi.org/10.1016/j.cose.2021.102222
- F. Luthans, B. J. Avolio, J. B. Avey, and S. M. Norman, "Positive psychological capital: Measurement and relationship with performance and satisfaction," Personnel Psychology, 60(3), pp. 541-572, Sep. 2007. https://doi.org/10.1111/j.1744-6570.2007.00083.x
- F. Luthans, S. M. Norman, B. J. Avolio, and J. B. Avey, "The mediating role of psychological capital in the supportive organizational climate-employee performance relationship," Journal of Organizational Behavior, 29(2), pp. 219-238, Jan. 2008. https://doi.org/10.1002/job.507
- J. Pu, H. Hou, R. Ma, and J. Sang, "The effect of psychological capital between work-family conflict and job burnout in Chinese university teachers: Testing for mediation and moderation," Journal of Health Psychology, 22(14), pp. 1799-1807, Mar. 2017. https://doi.org/10.1177/1359105316636950
- Jung-duk Kim and Se-hun Lim, "Preliminary research on the impact of perception of Personal Information leakage incidents on the behavior of individual information management in the mobile banking Contexts," Journal of The Korea Institute of Information Security & Cryptology, 26(3), pp. 735-744, Jun. 2016. https://doi.org/10.13089/JKIISC.2016.26.3.735
- U. Raja, M. U. Azeem, I. U. Haq, and S. Naseer, "Perceived threat of terrorism and employee outcomes: The moderating role of negative affectivity and psychological capital," Journal of Business Research, 110, pp. 316-326, Mar. 2020. https://doi.org/10.1016/j.jbusres.2020.01.026
- P. Agarwal and E. Farndale, "High-performance work systems and creativity implementation: The role of psychological capital and psychological safety," Human Resource Management Journal, 27(3), pp. 440-458, Mar. 2017. https://doi.org/10.1111/1748-8583.12148
- A. J. Burns, C. Posey, T. L. Roberts, and P. B. Lowry, "Examining the relationship of organizational insiders' psychological capital with information security threat and coping appraisals," Computers in Human Behavior, 68, pp. 190-209, Mar. 2017. https://doi.org/10.1016/j.chb.2016.11.018
- T. A. Judge and J. A. Colquitt, "Organizational justice and stress: the mediating role of work-family conflict," Journal of Applied Psychology, 89(3), pp. 395-404, Sep. 2004. https://doi.org/10.1037/0021-9010.89.3.395
- Y. Zhang, J. A. LePine, B. R. Buckman, and F. Wei, "It's not fair...or is it? The role of justice and leadership in explaining work stressor-job performance relationships," Academy of Management Journal, 57(3), pp. 675-697, May. 2014. https://doi.org/10.5465/amj.2011.1110
- A. Tziner and G. Sharoni, "Organizational citizenship behavior, organizational justice, job stress, and work family conflict: Examination of their interrelationships with respondents from a non-Western culture," Revista de Psicologia del Trabajo y de las Organizaciones, 30(1), pp. 35-42, April. 2014. https://doi.org/10.5093/tr2014a5
- R. Ayyagari, V. Grover, and R. Purvis, "Technostress: Technological antecedents and implications," MIS Quarterly, 35(4), pp. 831-858, Dec. 2011. https://doi.org/10.2307/41409963
- M. Tarafdar, Q. Tu, B. S. Ragu-Nathan, and T. S. Ragu-Nathan, "The impact of technostress on role stress and productivity," Journal of Management Information Systems, 24(1), pp. 301-328, Dec. 2007. https://doi.org/10.2753/MIS0742-1222240109
- Young-soo Kim, Young-keun Choi, and Tae-jong Yoo, Jin-ho Yoo, "The influence of abusive supervision on willingness to comply with the security policy: The moderation of organizational justice," Journal of The Korea Institute of Information Security & Cryptology, 26(5), pp. 1243-1250, Oct, 2016. https://doi.org/10.13089/JKIISC.2016.26.5.1243
- L. W. Howard and C. L. Cordes, "Flight from unfairness: Effects of perceived injustice on emotional exhaustion and employee withdrawal," Journal of Business and Psychology, 25(3), pp. 409-428, Sep. 2010. https://doi.org/10.1007/s10869-010-9158-5
- M. T. H. Dora and A. M. M. Azim, "Organizational justice and workplace deviance behavior: Psychological Capital as Mediator," American International Journal of Humanities and Social Science, 5(2), pp. 35-45, Apr. 2019.
- J. Mensah and K. Amponsah-Tawiah, "Mitigating occupational stress: The role of psychological capital," Journal of Workplace Behavioral Health, 31(4), pp. 189-203, Aug. 2016. https://doi.org/10.1080/15555240.2016.1198701
- D. Zhang, F. Zhang, M. Lin, and H. S. Du, "Knowledge sharing among innovative customers in a virtual innovation community: The roles of psychological capital, material reward and reciprocal relationship," Online Information Review, 41(5), pp. 691-709, Sep. 2017. https://doi.org/10.1108/OIR-08-2016-0226
- A. Khliefat, H. Chen, B. Ayoun, and K. Eyoun, "The impact of the challenge and hindrance stress on hotel employees interpersonal citizenship behaviors: Psychological capital as a moderator," International Journal of Hospitality Management, 94, pp. 102886, Apr. 2021. https://doi.org/10.1016/j.ijhm.2021.102886
- J. C. Nunnally, Psychometric theory (2nd ed.). New York: McGraw-Hill, 1978.
- C. Fornell and D. F. Larcker, "Evaluating structural equation models with unobservable variables and measurement error," Journal of Marketing Research, 18(1), pp. 39-50. Feb. 1981. https://doi.org/10.2307/3151312
- P. M. Podsakoff, S. B. MacKenzie, J. Y. Lee, and N. P. Podsakoff, "Common method biases in behavioral research: A critical review of the literature and recommended remedies," Journal of Applied Psychology, 88(5), pp. 879-903, Oct. 2003. https://doi.org/10.1037/0021-9010.88.5.879
- A. F. Hayes, Introduction to mediation, moderation, and conditional process analysis: A regression-based approach, Guilford Publications, 2017.