보안 사고의 유형을 분류하는 방법은 다양하다. 그러나 그중 가장 단순한 분류 중 하나가 ① 외부자의 공격으로 인한 사고 ② 내부자의 고의 또는 실수로 인한 사고일 것이다. 보통 70~80%가 ①에 속하고, 20~30%가 ②에 속한다. 무시하기에는 내부에서 발생하는 비율도 만만치 않은 것이다. 그렇기에 각 조직의 보안 담당자는 외부와 내부의 사고 가능성을 모두 고려해야만 한다. 그리고 여기서는 내부자로 인한 사고에 대해 집중한다. 조직원이 사고를 칠, 그러니까 부정적 행동을 하도록 만드는 동기는 무엇일까? 조직원이 불확실성을 느끼기 때문이다. 그리고 보안 컴플라이언스를 지키지 않는 조직원은 조직 중심이 아닌, 개인 중심의 행동을 할 가능성이 커지게 된다. 그렇기에 이 논문에서는 개인적인 행동을 하게 만드는 요소를 파악하고, 그것을 통해 궁극적으로 조직원의 보안적 행동 강화 전략을 제안하고자 하는 것이다.
우리 모두 회사에서 갖고 있는 직급이 있다. 사원, 주임, 대리, 과장 등.. 하지만 이것은 회사에서 나라는 사람의 정체성을 설명하는 데 있어 보조적일 뿐이다. 우리는 조직 안에서 상호 작용을 통해 나의 위치를 알게 되고, 조직원으로서의 정체성을 깨닫게 된다. 역할 정체성(Role Identity)은 조직 안에서 우리 각자가 수행하는 역할을 파악하고, 그것을 통해 스스로에게 의미를 부여하는 것이다. 이러한 역할 정체성이 확립된 조직원은 본인은 물론이지만, 거기에 더해 집단의 이익을 위한 행동도 보이게 되는 것이다. 그리고 그중에서도 '정보보안 역할 정체성'은 조직원의 조직 내 보안 준수 의도에 긍정적인 영향을 미친다. 앞서 '불확실성'에 대해 언급했다. 이것은 역할 정체성이 없는 상태로, 불확실한 정보를 갖고 있기에 과도한 걱정, 불안 등의 부정적 인식이 생기게 된다. 그리고 이것은 정신적, 또는 육체적인 것으로 발현된다. 스트레스를 받는다던지, 두통 같은 육체적 문제를 일으킨다던지 하는 것이다. 그리고 한 번 불확실성이 발생한 이상, 이것은 지속적으로 발현될 여지가 크다. 정보보안 관련 환경은 때로는 작게, 때로는 크게 계속해서 변화를 맞이하게 된다. A 상황에서 불확실성을 가졌던 사람이 B, C , D에서는 확실성을 얻을 가능성이 당연히 적을 것이다.
이런 불확실성이 생겨난 이유를 조직 내의 구조적 측면으로 바라본다면 소통의 부재, 정책과 기술의 실무 반영 미비, 체계의 지나치게 빠른 변화 등이 있는데, 이는 쉽게 해결하기 어려운 문제이기 때문이다. 이에 불확실성을 분류할 수 있을 것이다. 첫째, 정보보안 정책 불확실성이다. 업무 환경은 계속해서 변하는데, 정책이 이를 따라가지 못한다면 조직원은 보안 정책에 대한 의구심을 가질 수 있으며, 이는 정책 불확실성이 되는 것이다. 둘째, 정보보안 기술 불확실성이 있다. 정보보안을 위해 도입한 기술이 실무 적용에 있어 충분치 않다고 판단되면 기술에 대해 의문을 갖게 되고, 기술 불확실성이 생기는 것이다. 이는 기술 자체가 정말 불충분한 것일 수도 있고, 해당 조직원이 그 기술에 대한 이해가 부족해서일 수도 있을 것이다. 마지막으로 셋째, 정보보안 커뮤니케이션 불확실성이 있다. 정보보안에 관한 제공 방식과 정보의 수준이 불충분할 때, 조직원은 소통의 부족으로 인해 특정 상황에 제대로 대처하지 못하는 경우가 발생하는 것이다. 이때 커뮤니케이션 불확실성이 발현되는 것이다.
셋 중 무엇이 되었건, 특정 환경에 대한 불확실성의 증가는 조직원의 부정적 수준을 높이게 된다. 불확실성의 조건이 곧 대상에 대한 부정적 인식 발현의 조건인 셈이다. 그렇기에 정보보안 정책 불확실성, 기술 불확실성, 커뮤니케이션 불확실성은 정보보안 역할 정체성에 부정적인 영향을 미친다. 그리고 이런 불확실성을 지니게 되면 자연스레 보안 준수 활동에 부정적 영향을 미칠 수 있을 것이다. 불확실성이 포함된 스트레스 가득한 환경이 개인의 생산성에 부정적 영향을 준다는 것은 모두가 공감할 것이다. 정말 단순하게, 지금같은 더운 날씨에 에어컨의 가동 없이 일하는 환경에서는 개인의 생산성이 저하되는 것처럼 말이다. 업무 자체에 부정적 영향이 생길 수밖에 없고, 그러니 당연히 정보보안 관련 행동에 부정적인 영향을 미치게 되는 것이다. 그러면 우리는 다음과 같이 생각할 수 있다. 정보보안 정책 불확실성, 기술 불확실성, 커뮤니케이션 불확실성은 보안 준수 의도에 부정적 영향을 미친다고 말이다.
이것을 실제 설문을 통해 확인하기 위한 절차를 진행했다.
성별, 연령, 직위, 회사 규모를 보건대 표본 집단이 고르게 퍼져있는 것을 확인할 수 있다. 정보보안 정책을 보유한 조직의 조직원을 대상으로만 설문을 진행하였으며, 확보된 표본 407건에 대한 결과는 아래와 같다.
이는 설문자들이 진정으로 타당한 설문 내용을 명확하게 이해하고 답하였는지를 확인하기 위한 것으로, Cronbach's Alpha가 모두 0.7을 넘어 1에 수렴하는 것을 볼 때 신뢰성이 높다고 할 수 있다. 모델의 적합도 측면에서도 RMR, RMSEA 등이 0.05 이하는 물론, 0에 수렴하고 있으며, GFI, AGFI, NFI, CFI 모두 0.9를 넉넉하게 넘기고 있으므로 타당성도 충족했다고 볼 수 있다.
위에서 볼드 표시로 한 내용 3개가 확인되는 순간이다.
H1: '정보보안 역할 정체성'은 조직원의 조직 내 보안 준수 의도에 긍정적인 영향을 미친다.
H2: 정보보안 정책 불확실성(a), 기술 불확실성(b), 커뮤니케이션 불확실성(c)은 정보보안 역할 정체성에 부정적인 영향을 미친다.
H3: 정보보안 정책 불확실성(a), 기술 불확실성(b), 커뮤니케이션 불확실성(c)은 보안 준수 의도에 부정적 영향을 미친다.
H1의 Coefficient는 0.202로 채택되고, H2와 H3도 -0.283~-0.137로 넉넉하게 채택이 가능하다. 실제 설문을 통해 앞서 정리한 내용이 설득력을 얻게 된 것이다.
결과적으로, 각 조직의 보안담당자는 내부적 사고의 가능성을 줄이기 위해 정보보안 정책, 기술 관련 정보가 충분하게 소통될 수 있도록 시스템을 만들어야 한다. 그리고 지속적인 확인을 통해 각 조직원이 해당 정보들을 온전히 이해하고 실무에 적용할 수 있는 수준에 도달했는지 확인해야 할 것이다. 나는 이것들이 보안담당자가 실시하는 교육의 내용에 반드시 들어가야 한다고 느낀다. 교육을 위한 교육이 되어서는 안된다. 본문 최상단에서 언급한 20~30%의 숫자는 결코 작은 것이 아니다. 교육의 중요성을 알고 있고, 교육의 내용에 매번 무엇이 다뤄져야 하는지 알 수 있다면, 교육을 준비하는 것은 결코 어렵지 않을 것이다. 나도 이것을 계기로 향후 보안담당자가 되었을 때 교육의 수립에 대해 더욱 확신을 갖고 행동할 수 있으리라 생각한다.
'보안 > 논문' 카테고리의 다른 글
| MZ세대 특성을 고려한 보안 교육용 컨텐츠 제작 방안 (0) | 2024.06.24 |
|---|---|
| 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도의 효과적인 운영방안 (0) | 2024.06.20 |