earticle

한국어

최근 국민, 농협, 현대캐피탈, 삼성카드, 하나SK 카드 등 금융회사의 개인정보유출과 관련된 사고가 끊이지 않고 있다. 본 논문은 이러한 금융회사 내부 의 구성원에 대한 개인수준을 측정하는 심리 학적 행동연구로서 연구문제는 내부직원에 의한 고의적인 고객금융정보의 유출을 어떻게 효과적으로 방지할 것인지를 연구해 보는 것이다. 그렇다면 기업은 내부직원을 어떻게 통제해야 효과적일까 정보유출은 정보 습득이 가능하다는 전제에서 가능 하다. 정보 에 접근을 못하거나 하지 않으면 유출할 정보도 없는 것이다. 하지만 연구대상인 금융회사의 경우 고객 정보 없이 업무가 가능하겠는가? 내부직원을 정보로부터 완벽하게 통제하는 것은 불가능하다. 하지만, 업무 이외의 불필요한 정보의 접근을 통제 한다면 정보유출의 전제가능성을 최소화할 수가 있다. 이러한 관점에서 연구목표는 내부직원의 업무 이 외의 불필요한 정보 접근을 통제하는데 어떠한 효과적인 기업정보보호 활동들이 있는지를 파악하는 것이다. 본 연구의 연구모형은 크게 2가지 선행연구를 바탕으로 구성하였다. 우선 인간의 합리적 선택에 의한 행동을 설명한 연구 모형으로 Ajzen & Fishbein (1980)과 Fishbein & Ajzen (1975)의 합리적 행동이론 (Theory of Reasoned Action; TRA)이 있다. 하지만, TRA는 의지적(Volitional)이며 자발적(Voluntary) 행동 을 예측하는데 한정된다. (Ajzen & Fishbein 1980, p5) 그래서 개인의 의지에 의해 완전한 통제가 어려운 행동을 예측하기 위해서는 TRA이 아닌 계획된 행동 통제(Theory of Planned Behavior; TPB)에 의해 예측 하여야 설명력이 증가한다. 이와 함께 Straub &Welke (1998)가 주장한 억제이론을 결합 하였다. 구체적 으로 억제이론을 기초로 억제(Deterrence), 예방 (Prevention), 탐지(Detection), 교정 (Remedy)의 4단계 로 제시하고 각 단계마다 정보의 남용이 이루어질 수 있음 것을 증명한 보안활동주기(Security Action Cycle; SAC)의 과정을 연구모형에 포함 제시하였다. 조사대상기업은 다른 산업에 비해 상대적으로 많은 개인정보를 보유하고 개인정보 중에서도 금융 정보를 다루기 때문에 보안에 민감하고 그 정보의 가치가 상대적으로 대단히 중요한 카드사로, 표본은 다량의 개인정보의 접근이 용이하고 그 만큼 잠재 적인 개인정보유출이 가능한 대상자로서 고객접점의 콜센터 상담원들을 대상으로 하였다. 연구결과는 기업정보보호활동 중에서 내부직원 으로 하여금 업무 이외의 불필요한 정보조회를 가장 효과적으로 억제시키는 요인은 보안활동주기 중에 교정에 해당하는‘처벌’이 가장 효과적인 요인으로 나타났으며 부분적으로 정보접근 가능한 권한자의 정보접근을 복잡하고 불편하게 할수록 경우에도 다소 효과가 있는 것으로 나타났다. 이러한 결과들은 정보유출 시 개인의 재산과 프라이버시에 심각한 손해를 입힐 수도 있는 금융 기관에 조직 내 정보보호활동의 효과를 높이는데 실용적으로 도움이 될 수 있을 것으로 기대하며 전사적인 정보보호 관리체계 중 인원보안 관리 수준에 향상과 내부 보안 위협 등을 대응하는데 효과적으로 활용될 것으로 또한 기대한다.