Exploring the Drivers of Information Security Policy Compliance Among Contingent Employees: A Social, Deterrent, and Involvement-Based Approach

본 연구는 가나 대학의 임시 직원을 대상으로 주체적 규범, 억지력, 그리고 지식 공유와 같은 협력적 참여 메커니즘이 정보보안 정책 준수 의도에 미치는 영향을 분석하여, 지식 공유가 가장 강력한 영향을 미치며 포용적이고 지원적인 환경과 집행이 병행되어야 함을 시사합니다.

핵심

이 연구 논문을 마치 한 대학 캠퍼스의 '디지털 보안 규칙'을 지키는 비결을 찾는 탐정 이야기처럼 쉽게 풀어보겠습니다.

🕵️‍♂️ 이야기의 배경: "잠깐 일하는 사람들도 보안의 핵심입니다"

상상해 보세요. 가나 (Ghana) 의 대학들이 이제 모든 일을 컴퓨터 시스템으로 처리합니다. 학생 등록, 시험 관리, 졸업장 발급까지 모두 디지털로 이루어지죠. 하지만 문제는 해커입니다. 해커들은 방화벽 같은 기술적인 장벽을 뚫기보다, 사람의 실수를 노립니다.

이때 대학은 "보안 규칙 (ISSP)"을 만듭니다. 하지만 규칙을 지키는 건 '정규직' 직원들만 하는 게 아닙니다. 파트타임 강사, 계약직 연구원, 임시 행정 직원 같은 '잠깐 일하는 사람들 (Contingent Employees)'도 시스템에 똑같은 권한으로 접속합니다. 그런데 기존 연구들은 대부분 정규직이나 선진국 사람들에만 집중했죠.

이 논문은 **"잠깐 일하는 사람들이 왜 보안 규칙을 지키거나, 왜 안 지키는 걸까?"**를 가나 대학의 임시 직원들을 대상으로 조사했습니다.

---

🧩 5 가지 '비밀 열쇠' (연구의 핵심 요인)

연구팀은 사람들이 보안 규칙을 지키게 만드는 5 가지 요인을 찾아냈습니다. 이를 다섯 가지 열쇠라고 생각해 보세요.

1. 🗣️ "주변 사람들이 다 하니까" (주관적 규범 - Subjective Norm)

• 비유: 친구들이 다 헬스장에 가는데, 나만 집에서 누워있으면 어색하죠?
• 설명: 상사나 동료들이 "보안 규칙을 지켜야 해"라고 말하거나, 실제로 지키는 모습을 보면, 임시 직원들도 자연스럽게 따라 하게 됩니다. "우리 모두는 이렇게 하는 게 맞지"라는 분위기가 중요하다는 뜻입니다.

2. 🕵️‍♀️ "걸릴 거야, 안 걸릴 거야?" (적발 확률 - Certainty of Detection)

• 비유: 횡단보도 신호를 어기면 경찰이 바로 잡을 것 같으면, 우리는 신호를 잘 지키죠.
• 설명: "내가 규칙을 어기면 반드시 걸릴 것"이라고 믿는 마음이 중요합니다. 해킹이나 실수가 감시 시스템에 바로 잡힐 거라는 확신이 있어야 규칙을 지킵니다.

3. ⚖️ "징벌이 무서워" (처벌의 엄격함 - Severity of Punishment)

• 비유: 과속을 하면 벌금이 아주 크다면, 사람들은 속도를 줄이려 합니다.
• 설명: 규칙을 어겼을 때 징벌이 얼마나 무서운지 아는 것도 중요합니다. 하지만 이 연구에서는 벌금이나 처벌 자체보다는 '걸릴 것'이라는 확신이 더 중요하게 작용했습니다.

4. 🤝 "서로 정보를 나누자" (지식 공유 - Knowledge Sharing) (가장 강력한 열쇠!)

• 비유: 요리 레시피를 서로 공유하면 모두 맛있는 요리를 하죠. 보안 정보도 마찬가지입니다.
• 설명: 이게 이 연구에서 가장 중요한 발견입니다! 임시 직원들이 서로 "이런 보안 사고가 있었어", "이렇게 하면 안전해"라고 정보를 주고받을 때, 규칙을 지키려는 마음이 가장 강해졌습니다. 서로 가르치고 배우는 문화가 가장 효과적이었습니다.

5. 🤝 "함께 일하자" (협업 - Collaboration)

• 비유: 축구팀이 서로 패스를 주고받아야 골을 넣을 수 있죠.
• 설명: IT 팀과 교수진, 행정진이 서로 협력해서 보안 정책을 만들고 실행할 때, 임시 직원들도 "이건 내 일이다"라는 주인 의식을 갖게 됩니다.

---

🎯 결론: "마음가짐이 모든 것을 바꾼다"

이 연구는 위 5 가지 열쇠가 모두 **사람들의 '마음가짐 (태도)'**을 바꾼다는 것을 발견했습니다.

• 핵심 메시지: "보안 규칙을 지키는 건, 무서워서(징벌) 하는 게 아니라, 주변 분위기와 서로 나누는 지식, 그리고 함께 일하는 문화가 만들어낸 긍정적인 마음가짐에서 시작됩니다."

특히 **지식 공유 (Knowledge Sharing)**가 가장 큰 영향을 미쳤습니다. 즉, "너무나 무서운 규칙"을 외치기보다, **"우리가 서로 도와서 안전하게 지내자"**는 분위기와 정보를 나누는 것이 임시 직원들을 지키는 가장 좋은 방법이라는 것입니다.

💡 우리가 배울 점 (실생활 적용)

1. 강압보다는 소통: "안 지키면 해고다!"라고 위협하기보다, "이런 보안 팁이 있더라"라고 서로 알려주는 문화가 더 효과적입니다.
2. 함께 참여시키기: 임시 직원들도 보안 정책 만들기에 참여하게 하면, 규칙을 더 잘 지키게 됩니다.
3. 주변의 영향력: 팀장이나 동료들이 먼저 규칙을 지키는 모습을 보여주는 것이 가장 강력한 교육입니다.

한 줄 요약:

"보안 규칙은 무서운 경찰관 (징벌) 보다, 서로 정보를 나누고 도와주는 **친구들 (지식 공유와 협업)**이 더 잘 지키게 만든다!"

기술 요약

논문 요약: 임시 직원을 위한 정보 보안 정책 준수 동인 연구

1. 연구 배경 및 문제 제기 (Problem)

• 배경: 기관들이 정보 시스템 (IS) 에 대한 의존도가 높아짐에 따라, 정보 시스템 보안 정책 (ISSP) 준수는 조직의 안정성과 연속성을 위해 필수적입니다.
• 문제점:
  • 기술적 방어 수단 (방화벽, 백신 등) 만으로는 인간적 취약점 (부적절한 사용자 행동) 을 막기 어렵습니다.
  • 기존 연구들은 주로 선임 직원 (Permanent Employees) 과 선진국 을 대상으로 이루어졌습니다.
  • 임시 직원 (Contingent Employees, 예: 시간강사, 계약직, 연구보조원) 은 조직에 대한 심리적 계약이 약하고, 정보 시스템 접근 권한은 유사함에도 불구하고 보안 위협에 노출될 위험이 큽니다. (미국 데이터 유출 사례의 약 50% 가 임시 직원과 관련됨)
  • 아프리카 (특히 가나) 와 같은 개발도상국의 문화적 맥락 (높은 권력 거리 등) 과 임시 직원의 특성을 반영한 실증 연구가 부족합니다.
• 연구 목적: 가나 대학의 임시 직원을 대상으로 사회적 요인, 억제 요인, 참여 요인이 ISSP 준수 의도에 미치는 영향을 규명하는 것입니다.

2. 연구 방법론 (Methodology)

• 이론적 기반:
  • 계획된 행동 이론 (TPB): 태도, 주관적 규범, 행동 통제를 기반으로 행동 의도를 설명.
  • 억제 이론 (Deterrence Theory): 감지 확률과 처벌의 엄격성이 준수를 유도함.
  • 참여 이론 (Involvement Theory): 지식 공유와 협력이 태도에 영향을 줌.
• 연구 설계:
  • 방법: 양적 연구 (설문 조사).
  • 표본: 가나 내 여러 대학에 소속된 688 명의 임시 직원 (시간강사, 조교, 계약직 행정직원 등).
  • 측정 도구: 5 점 리커트 척도를 사용한 온라인 설문지.
  • 분석 기법: PLS-SEM (Partial Least Squares Structural Equation Modeling). 비정규분포에 강건하고 예측 중심 모델링에 적합함.
• 주요 변수:
  • 독립변수: 주관적 규범 (Subjective Norm), 감지 확률 (Certainty of Detection), 처벌 엄격도 (Severity of Punishment), 지식 공유 (Knowledge Sharing), 협업 (Collaboration).
  • 매개변수: ISSP 에 대한 태도 (Attitude Towards ISSPs).
  • 종속변수: ISSP 준수 의도 (Compliance Intentions).

3. 주요 결과 (Key Results)

PLS-SEM 분석을 통해 제안된 6 가지 가설 (H1~H6) 이 모두 통계적으로 유의미하게 지지되었습니다.

가설	경로	경로 계수 ($\beta$)	p-value	효과 크기 ($f^2$)	결과 해석
H1	주관적 규범 $\rightarrow$ 태도	0.352	< 0.001	0.078 (약~중)	동료나 상사의 기대가 태도에 긍정적 영향
H2	감지 확률 $\rightarrow$ 태도	0.287	0.002	0.045 (약)	적발될 것이라는 믿음이 태도 개선에 기여
H3	처벌 엄격도 $\rightarrow$ 태도	0.313	0.001	0.052 (약)	처벌에 대한 인식이 태도에 긍정적 영향
H4	지식 공유 $\rightarrow$ 태도	0.411	< 0.001	0.123 (중)	가장 강력한 영향력. 정보 공유가 태도 형성에 핵심
H5	협업 $\rightarrow$ 태도	0.269	0.004	0.039 (약)	동료 간 협력이 태도에 긍정적 영향
H6	태도 $\rightarrow$ 준수 의도	0.586	< 0.001	0.376 (강)	ISSP 에 대한 긍정적 태도가 준수 의도를 강력히 예측

• 측정 모델 신뢰도: 모든 구성개념의 Cronbach's Alpha, Composite Reliability (CR), 평균 분산 추출 (AVE) 이 권장 기준 (0.70, 0.70, 0.50) 을 충족하여 신뢰성과 타당성이 입증됨.

4. 주요 기여 및 의의 (Contributions & Significance)

가. 이론적 기여 (Theoretical Implications)

1. 새로운 대상군 확장: 기존 연구가 간과했던 '임시 직원'과 '아프리카 (가나) 맥락'에서 ISSP 준수 행동을 규명하여 연구 공백을 메웠습니다.
2. 이론의 통합 및 확장: TPB 와 억제 이론에 더해, 지식 공유와 협업과 같은 사회적 교환 및 조직 지원 요인이 임시 직원의 태도 형성에 핵심적임을 입증했습니다.
3. 문화적 맥락 반영: 높은 권력 거리 (Power Distance) 문화권에서 동료 및 상사의 기대 (주관적 규범) 가 준수 태도에 미치는 영향을 재확인했습니다.

나. 실무적 시사점 (Practical Implications)

1. 강제적 조치의 한계 인식: 처벌과 감지 (억제 요인) 는 유의미하지만 효과가 상대적으로 약하므로, 단순한 처벌 중심의 정책은 한계가 있음을 시사합니다.
2. 지식 공유 및 협업 문화 조성: 임시 직원을 위한 보안 교육은 일방적 훈련이 아닌, 지식 공유 워크숍, 뉴스레터, 토론 포럼 등을 통해 동료 간 학습을 촉진해야 합니다.
3. 포용적 환경 조성: 임시 직원을 정책 수립이나 시스템 테스트 과정에 참여시켜 소속감과 책임감을 고취시켜야 합니다.
4. 태도 관리: 준수 의도는 '태도'에 의해 강력히 결정되므로, 조직은 보안 정책의 긍정적 측면 (개인 및 조직 데이터 보호) 을 강조하여 태도를 개선해야 합니다.

5. 결론

본 연구는 가나 대학의 임시 직원들이 정보 보안 정책을 준수하려는 의도는 지식 공유를 포함한 사회적 참여 요인과 주관적 규범에 의해 크게 형성되며, 이는 궁극적으로 태도를 통해 준수 행동으로 이어진다는 것을 입증했습니다. 따라서 기관들은 단순한 기술적 통제나 처벌을 넘어, 임시 직원을 포함한 모든 구성원이 참여하고 소통하는 포용적이고 지지적인 보안 문화를 조성해야 함을 강조합니다.