조직 내부 위협 방지를 위한 억제·예방 모델

초록

본 연구는 내부 위협을 감소시키기 위해 억제와 예방 두 축을 결합한 개념적 프레임워크를 제시한다. 제재의 확실성과 중대성이 직원의 태도에 긍정적 영향을 미쳐 위법 행위를 억제하고, 노력·위험 증가와 보상 감소가 예방 요인으로 작용한다는 것을 실증적으로 확인하였다. 그러나 변명 제거와 자극 감소는 태도에 유의미한 영향을 주지 않았다. 또한 주관적 규범, 인지된 행동 통제, 그리고 태도가 행동 의도와 실제 행동에 영향을 미침을 밝혀 조직 차원의 보안 정책 설계에 실질적 시사점을 제공한다.

상세 분석

이 논문은 정보보안 내부 위협을 다루는 연구에서 흔히 간과되는 인간·조직적 요인을 체계적으로 통합하려는 시도로 평가된다. 이론적 토대는 ‘억제 이론(Deterrence Theory)’과 ‘상황범죄예방(Situational Crime Prevention, SCP)’ 그리고 ‘계획 행동 이론(Theory of Planned Behavior, TPB)’을 결합한 복합 모델이다. 억제 차원에서는 ‘제재 확실성(certainty)’과 ‘제재 중대성(severity)’을 핵심 변수로 설정했으며, 이는 기존 범죄학 연구에서 범죄 억제 효과를 입증한 바 있다. SCP 차원에서는 ‘노력 증가(effort)’, ‘위험 증가(risk)’, ‘보상 감소(reward)’, ‘변명 제거(excuse)’, ‘자극 감소(provocation)’ 다섯 가지 요인을 도입해 직원이 보안 위반을 저지르기 어려운 환경을 조성하고자 한다.

연구 설계는 설문 기반의 횡단적 연구이며, 표본은 다양한 산업군에 종사하는 직원 350명을 대상으로 했다. 측정 도구는 선행 연구에서 검증된 다중 차원 Likert 척도를 활용했으며, 구조방정식 모델링(SEM)을 통해 가설 검증을 수행했다. 결과는 제재 확실성(β=0.31, p<0.001)과 중대성(β=0.27, p<0.001)이 직원의 ‘보안 위반에 대한 부정적 태도’를 유의미하게 강화함을 보여, 억제 요인의 실효성을 확인한다. SCP 요인 중에서는 노력 증가(β=0.22, p<0.01), 위험 증가(β=0.19, p<0.05), 보상 감소(β=0.24, p<0.01)가 태도에 긍정적 영향을 미쳤지만, 변명 제거와 자극 감소는 통계적으로 유의미하지 않았다. 이는 조직 내에서 변명을 해소하거나 스트레스를 감소시키는 것이 단순히 인식 수준만으로는 행동 변화를 이끌기 어렵다는 점을 시사한다.

TPB 연계 분석에서는 주관적 규범(β=0.28, p<0.001), 인지된 행동 통제(β=0.21, p<0.01), 그리고 태도(β=0.34, p<0.001)가 행동 의도에 직접적인 영향을 미쳤으며, 의도는 실제 보안 위반 행동(β=0.31, p<0.001)과도 연결되었다. 따라서 억제·예방 요인이 태도 형성에 기여하고, 이 태도가 다시 TPB 경로를 통해 의도와 행동에 영향을 미치는 구조적 메커니즘을 확인할 수 있다.

이 연구의 주요 공헌은 세 가지이다. 첫째, 억제와 예방을 동시에 고려한 통합 모델을 제시함으로써 기존 연구가 각각 별도 차원에서 다루던 한계를 극복했다. 둘째, 실증 결과를 통해 조직이 ‘제재 확실성·중대성’과 ‘노력·위험·보상’ 조절에 집중하면 내부 위협을 효과적으로 감소시킬 수 있음을 정책적 근거로 제공한다. 셋째, 변명 제거와 자극 감소가 효과가 없다는 발견은 자원 배분에 있어 비효율적 개입을 피하도록 안내한다.

한계점으로는 표본이 자가보고식 설문에 의존해 사회적 바람직성 편향이 존재할 수 있고, 횡단적 설계라 인과관계 확정이 제한적이라는 점을 들 수 있다. 향후 연구는 실제 로그 데이터와 결합한 종단적 설계, 그리고 문화적 차이를 고려한 다국적 비교를 통해 모델의 일반화 가능성을 검증할 필요가 있다.