기업의 정보보호 활동에 관한 연구 : 정보보호 체계 구축 수준에 따른 차이를 중심으로-

Abstract

오늘날 정보통신기술의 발달과 인터넷의 광범위한 보급으로 말미암아 전 영역의 산업 분야에서 급속한 정보화가 진행되고 있다. 이로써 기업 차원에서는 업무 프로세스의 효율화 및 비용 절감 등이 가능해졌으나, 동시에 보다 지능화·대규모화된 사이버 공격에 노출되고 있다. 실제로 2014년에는 KB국민카드, NH농협은행, 롯데카드 등 3개 카드사에서 대량의 고객 개인정보가 유출되는 사건이 일어나기도 하였다. 이러한 위험에 대응하기 위하여 2011년 개인정보보호법이 제정되는 등 정부 차원에서 기업의 정보보호에 대한 법·제도적인 보완책을 마련하고자 노력해왔다. 그러나 여전히 기업의 규모·업종 등 기업의 개별적인 특성과 상황을 고려한 세부적인 법적 기준이 미흡한 것이 실정이다. 또한 정보보호를 위한 인적자원 관리 활동으로서의 정보보호 교육, 그리고 정보 침해 사고의 예방 및 사후 조치를 위한 수단으로서의 정보보호 점검 활동이 갖는 중요성이 거듭 강조되어왔으나, 이에 대한 선행연구가 부족한 것이 현실이다. 이에 따라 이 논문은 기업의 정보보호 수준과 직결되는 정보보호 교육 및 정보보호 점검 활동을 아울러 정보보호 활동으로 명명하고, 이에 영향을 미치는 요인을 규명함으로써 기업 정보보호 정책의 방향성을 제시하고자 하였다. 이때 정보보호 활동에 영향을 미치는 독립변수로서 기업의 투입 요소(input)인 정보보호 체계를 선정하였다. 즉, 이 논문은 기업의 정보보호 체계의 구축 수준이 기업의 정보보호 활동 수준에 미치는 영향력을 통계적으로 검증하고자 하였으며, 이때 정보보호 체계는 정보보호 정책, 개인정보보호 정책, 정보보호 조직, 정보보호 관리자 인력, 정보보호 담당 인력 및 정보보호 예산 등 복수의 하위 변수로 구성된다. 분석 대상 자료로는 정부 주관 하에 한국인터넷진흥원이 총 9,586개의 민간 기업을 대상으로 수행한 2016년 정보보호 실태조사(기업)의 원 데이터(raw data)를 활용하였다. 다중회귀분석을 통한 가설 검증 결과, 첫 번째로 기업의 정보보호 체계 가운데 정보보호 정책을 제외한 모든 변수가 기업의 정보보호 교육에 정(+)의 영향을 미친다는 사실을 확인하였다. 즉, 기업 내 개인정보보호 정책이 수립되어 있을 때, 정보보호 조직이 구축되어 있을 때, 정보보호 관리자 인력이 많이 임명되어 있을수록, IT 인력 가운데 정보보호 담당 인력의 비중이 높을수록, IT 예산 가운데 정보보호 예산의 비중이 높을수록 기업의 연간(2015년) 정보보호 교육 시간의 총계가 증가하였다. 두 번째로 정보보호 점검 활동에 대하여는 정보보호 정책, 개인정보보호 정책, 정보보호 조직, 정보보호 관리자 인력, 정보보호 담당 인력, 정보보호 예산이 모두 정(+)의 영향을 미친다는 사실을 도출하였다. 다시 말해 정보보호 정책이 수립되어 있을 때, 개인정보보호 정책이 수립되어 있을 때, 정보보호 조직이 구축되어 있을 때, 정보보호 관리자 인력이 다수 임명되어 있을수록, IT 인력 가운데 정보보호 담당 인력의 비중이 높을수록, IT 예산 가운데 정보보호 예산의 비중이 높을수록 기업의 정보보호 점검 빈도가 높게 나타난 것이다. 이를 통해 정부가 기업의 정보보호 활동 관련 정책을 입안함에 있어 기업의 정보보호 체계 구축에 대한 법·제도적 규정을 강화하는 것이 정보보호 수준을 제고하는 데 효과가 있을 것이라는 점을 추론할 수 있다. 마지막으로, 이 논문은 기업의 규모·업종을 통제변수로 투입하여 살펴보았다. 그 결과, 기업의 규모가 클수록, 업종의 경우 금융 및 보험업에서 상대적으로 정보보호 활동 수준이 높게 나타남을 알 수 있었다. 따라서 정부는 규모·업종에 따라 발생하는 정보보호 수준의 편차를 개선하기 위한 노력 또한 기울여야 할 것이다.