ERP 시스템에서의 개인정보 보호: 개발자와 컨설턴트 행동 모델 분석

초록

본 연구는 네덜란드 다국적 컨설팅 기업의 ERP 개발자와 컨설턴트를 대상으로 GDPR 준수와 개인정보 최소화·프라이버시‑바이‑디자인(PbD) 인식에 대한 행동 요인을 탐색한다. 반구조화 인터뷰(16건)를 주제 분석 후 Fogg 행동 모델(FBM)의 동기·능력·트리거 요소에 매핑해 두 집단의 행동 모델을 도출하고, 조직 차원의 프라이버시 개선 방안을 제시한다.

상세 분석

이 논문은 ERP 시스템이라는 고복합도 기업용 애플리케이션에 GDPR의 핵심 원칙인 데이터 최소화와 프라이버시‑바이‑디자인(PbD)을 적용하는 과정에서 개발자와 컨설턴트가 겪는 인지·행동적 장애요인을 체계적으로 규명한다. 연구 설계는 Braun‑Clarke 방식의 5단계 주제 분석을 통해 인터뷰 원문을 코딩하고, 코딩 결과를 Fogg의 행동 모델(FBM)과 연계한다는 독창적인 방법론을 채택했다.

첫 번째 핵심 인사이트는 ‘동기’ 차원에서 두 집단 모두 GDPR에 대한 외재적 압력(법적 제재, 고객 요구)과 내재적 동기(전문가 정체성, 데이터 보호에 대한 윤리적 책임감)가 혼재한다는 점이다. 개발자는 “GDPR를 위반하면 직업적 위험이 크다”는 외재적 동기를 강조하지만, 동시에 “프라이버시가 기본 제공된다”고 착각해 실제 동기 부여가 약화되는 현상을 보인다. 컨설턴트는 고객과 계약 관계에서 프라이버시 요구가 ‘가치 제안’으로 작용하지만, 프로젝트 일정과 비용 압박 때문에 우선순위가 낮아지는 구조적 모순을 드러낸다.

두 번째는 ‘능력’ 차원이다. 인터뷰에서 개발자는 ERP 플랫폼(예: SAP, Oracle)의 기본 보안 기능이 ‘프라이버시‑바이‑디자인’이라고 오인하고, 실제 데이터 최소화 설계(예: 필드 수준 마스킹, 최소 데이터 수집)에 대한 구체적 기술 역량이 부족함을 인정한다. 컨설턴트는 고객사의 데이터 거버넌스 체계가 미비해 접근 권한 관리와 데이터 분류 작업이 ‘수작업’에 의존한다는 점을 지적한다. 이는 조직 차원의 교육·툴 지원이 미비하고, 기존 ERP 모듈이 ‘블랙박스’ 형태라 변경 비용이 높아 능력 발휘가 제한되는 구조적 요인으로 해석된다.

세 번째는 ‘트리거(촉발 요인)’이다. 연구는 세 가지 유형의 트리거를 식별한다. (1) 규제·감사 알림: GDPR 감사 시점이나 법적 경고가 즉각적인 행동 변화를 유도하지만 일시적 효과에 그친다. (2) 고객 요구: 고객이 명시적으로 데이터 최소화 요구를 제시하거나 개인정보 유출 사고 사례를 공유할 때 실질적인 개선 행동이 촉발된다. (3) 내부 프로세스 변화: 새로운 ERP 모듈 도입이나 자동화 툴(예: 데이터 라벨링 AI) 도입이 ‘시스템적 트리거’로 작용해 지속 가능한 행동 변화를 가능하게 한다.

또한, 연구는 두 집단 간 차이점도 부각한다. 개발자는 기술적 구현에 초점을 맞추는 반면, 컨설턴트는 조직·프로세스 차원에서 프라이버시 책임을 분산시키는 경향이 있다. 이러한 차이는 FBM의 ‘동기‑능력‑트리거’ 상호작용에서 서로 다른 경로를 형성한다는 점에서, 맞춤형 개입 전략이 필요함을 시사한다. 예를 들어, 개발자에게는 구체적인 데이터 최소화 설계 패턴과 자동화 도구 제공을, 컨설턴트에게는 고객 교육·계약 조항 강화와 프로젝트 관리 단계에 프라이버시 체크리스트를 삽입하는 것이 효과적일 수 있다.

마지막으로, 논문은 연구의 제한점(단일 기업·국가 표본, 자기보고식 데이터)과 향후 연구 방향(다국적·다산업 비교, 양적 설문 기반 모델 검증)을 명시하며, FBM 기반 행동 모델이 ERP 환경에서 프라이버시 개선을 위한 실용적 로드맵을 제공한다는 결론을 내린다.