earticle

영어

This study analyzed external factors influencing the cybersecurity management of small and medium-sized enterprises(SMEs). Previous research has primarily focused on internal factors, resulting in a lack of empirical discussion on the impact of external environments. This study conducted semi-structured interviews with SME employees and analyzed the data using thematic analysis. The analysis identified three key themes. First, policy fragmentation was observed, characterized by a lack of cooperation among public institutions and dual approaches to cybersecurity. Second, an interdependent institutional ecosystem emerged, in which both public institutions and SMEs showed a high level of reliance on IT vendors. While this reliance improved efficiency, it also introduced potential security vulnerabilities. Third, structural influences of the market and institutional environment were identified, where intense market competition, ineffective penalty systems, and client-driven contractual structures affected SMEs’ security investment decisions. This study demonstrates that SMEs’ cybersecurity is not merely the result of independent control but rather a product of risk management governance shaped by external environmental conditions. It can be understood as a complex structure in which competition and dependence intersect among multiple actors —public agencies, private IT companies, and subcontracting networks. The findings highlight the importance of external institutional factors and network relationships in designing SME cybersecurity policies and provide practical implications for developing systematic support policies and establishing public–private cooperation models.

한국어

본 연구는 중소기업의 사이버보안 관리에 영향을 미치는 외부 요인을 분석하였다. 기존 연구들은 주로 내부 요인에 집중하여 외부 환경의 영향에 대한 실증적 논의가 부족하였다. 본 연구는 중소기업 종사자 등을 대상으로 반구조화 인터뷰를 실시하고, 주제분석 절차를 통해 데이터를 분석하였다. 분석 결과, 중소기업의 사이버보안 관리에 영향을 미치는 세 가지 핵심 주제가 도출되었다. 첫째, 정책적 분절성으로서, 공공기관 간 협력 부족과 이중적 접근이 확인되었다. 둘째, 기관 간 상호의존 적 생태계로서, 공공기관과 중소기업 모두 민간 IT 벤더에 높은 수준의 의존성을 보이며, 이는 효율성 을 제공하는 동시에 잠재적 보안 위험을 내포하였다. 셋째, 시장 및 제도 환경의 구조적 영향으로서, 치열한 경쟁 환경, 비효과적인 제재 제도, 고객사 주도형 계약 구조가 중소기업의 보안투자 결정에 영향을 미쳤다. 본 연구는 중소기업의 사이버보안이 독립적 통제의 결과가 아니라 외부 환경 속에서 형성되는 위험관리 거버넌스(Risk management governance)의 산물임을 보여준다. 이는 공공기 관, 민간 IT 기업, 하도급 네트워크 등 다층적 행위자 간의 경쟁과 의존이 교차하는 복합적 구조로 이해될 수 있다. 연구 결과는 중소기업 보안정책 설계 시 외부적 제도 요인과 네트워크 관계의 중요성을 강조하며, 향후 중소기업 대상 보안지원정책의 체계화와 공공–민간 협력모델 정립에 실질적 함의를 제공한다.