JDCS 디지털콘텐츠학회논문지 Journal of Digital Contents Society Vol. 19, No. 1, pp , Jan 경험및습관이신규서비스의정보보호행동에미치는요인에대한연구 - 보호 동기이론과 UTAUT2 을중심으로 이홍제 1

JDCS 디지털콘텐츠학회논문지 Journal of Digital Contents Society Vol. 19, No. 1, pp. 93-102, Jan. 2018 경험및습관이신규서비스의정보보호행동에미치는요인에대한연구 - 보호 동기이론과 UTAUT2 을중심으로 이홍제 1 고형석 1 노은희 2 한경석 3* 1 숭실대학교 IT 정책경영박사과정 2 한성대학교 IT 교육과정조교수 3* 숭실대학교경영학부교수 A Study on the Factors of Experience and Habit on Information Security Behavior of New Services - based on PMT and UTAUT2 Hong-Je Lee 1 Hyeong-Seog Kho 1 Eun-Hee Roh 2 Kyeong-Seok Han 3* 1 Department of IT Policy Management, Soongsil University, Seoul 06978, Korea 2 Department of College of Liberal Arts & Sciences, Hansung University, Seoul 02876, Korea 3* Department of Business Administration, Soongsil University, Seoul 06978, Korea [ 요약 ] 본연구는지능화된보안위협에인터넷이용자의정보보호행동요인을분석하여정책적시사점을제안하고자한다. 연구모델은보호동기이론과 UTAUT2 를기반으로, 인지된위협, 심각성, 사회적영향, 자기효능감, 정보보안제품이용경험및습관, PC/ 개인정보보호행동, 신규서비스의정보보호행동으로구성하였고, 인구통계학적특성과인터넷사용장소, 유료보안제품이용, 침해사고경험등을조절변수로하여인터넷이용자의보안행동에미치는영향을분석하였다. 연구결과는인지된심각성, 자기효능감이보안제품이용경험및습관에높은영향을미쳤으며, 경험및습관, 자기효능감은 PC/ 개인정보보호행동에높은영향을미치고, PC/ 개인정보보호행동은신규서비스의보안행동에높은영향을미치는것으로나타났다. 연령, 소득, 유료보안제품이용, 침해사고경험은인터넷이용자의정보보안행동에조절효과가있었다. 본연구의결과가인터넷이용자의정보보호수준향상을위한정책의사결정에도움을줄것으로기대한다. [Abstract] This study aims to present policy implications by analyzing information security behavior factors of internet users. The research model, based on PMT and UTAUT2, consists of perceived threat, severity, social influence, self-efficacy, experience and habits, PC and privacy behaviors, security behaviors on new services and set demographic characteristics, use places of internet, use of paid products, and experiences of accident as moderate variables to analyze the effect on security behavior. The results showed that perceived severity, self-efficacy significantly influenced on experience and habits, and experience and habits and self-efficacy had a high influence on PC and privacy behavior. Also, PC and privacy behaviors have a high impact on security behavior of new services. Age, income, use of paid products, and experience of accidents have a moderating effects on security behaviors. The results of this study are expected to help policy decision making to improve the level of information security of internet users. 색인어 : 정보보호, UTAUT2, 보호동기이론, 경험및습관, 정보보호실태조사 Key word : Information Security, UTAUT2, Protection Motivation, Experience and Habit, Survey on Information Security http://dx.doi.org/10.9728/dcs.2018.19.1.93 This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-CommercialLicense(http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited. Received 20 November 2017 ; Revised 23 January 2018 Accepted 29 January 2018 *Corresponding Author; Kyeong-Seok Han Tel: +82-02-820-0585 E-mail: kshan@ssu.ac.kr Copyright c 2018 The Digital Contents Society 93 http://www.dcs.or.kr pissn: 1598-2009 eissn: 2287-738X

디지털콘텐츠학회논문지 (J. DCS) Vol. 19, No. 1, pp. 93-102, Jan. 2018 Ⅰ. 서론 향상을위한방안을모색하고자한다. 급속하게변화하는인터넷환경과 4차산업혁명의새로운기술 (IoT, 클라우드, 빅데이타, 모바일 ) 의등장으로사이버위협이현실세계로확대되고, 위협또한지능화되고있다. 올해가장많이발견되고있는랜섬웨어의경우 [38] 다양한신종, 변종랜섬웨어가등장하고있다. 최근랜섬웨어는플랫폼 (PC, 모바일기기등 ), 운영체제구분없이, PC 뿐만아니라모바일기기로공격대상을확대하고있어인터넷이용자의일상이사이버보안위협에노출되고있다고할수있다. 2017년전세계 150여개국, 30 만대이상을감염시킨 WanaCry 랜섬웨어를포함하여, 랜섬웨어공격과피해는계속해서증가할것으로예상된다. 국내외에발생한랜섬웨어들은다양한형태 ( 메일, 웹사이트, 첨부파일등 ) 로배포되고있으며, 해커들은비트코인을획득하기위한금전적목적이외에도정치적, 사이버전등공격목적도다양하며, 조직과자금, 지능화된공격도구로더욱발전하고있다. 하지만, 고도화, 지능화되고있는사이버위협에대해인터넷이용자의대응은부족한현실이다. KISA가실시한 2016년정보보호실태조사에따르면 [37], 인터넷이용자의대부분이스마트기기, 무선랜, SNS, 클라우드서비스를이용하고, 다양한목적으로개인정보를인터넷에제공하고있다. 그러나인터넷이용자의 14.2% 는무료정보보호제품조차도이용하지않고있으며, 정보보호제품이용자의대부분은무료소프트웨어를이용하고있다. 매일또는일주일에 1~2회정도악성코드를검사하는이용자도 10.9% 에불과하고, 중요데이터를백업하는인터넷이용자는 35.0% 로낮은수준이다. 인터넷이용자의 17.4% 가전해년도에침해사고를경험하였고, 악성코드, 개인정보유출및사생활침해를경험한것으로조사되었다. 개인정보를제공한인터넷이용자의 7.6% 가개인정보침해사고를경험한것으로나타났다. 이처럼, 인터넷이용자는다양한형태의지능화된공격에노출되어있고, IoT 등 4차산업혁명의서비스가확산됨에따라프라이버시침해및재산적손실뿐만아니라안전 (safety) 까지위협하는위험에대응해야하는문제를갖고있다 [34]. 인터넷이용자는기업종업원들과다르게, 재정적, 기술적지원을기대할수없기때문에스스로보안제품을설치, 운영 ( 주기적인악성코드검사, 백업등 ) 해야하며, 피해예방조치, 개인정보유출방지행동을해야한다. 또한정보보호에대한정보를스스로검색하거나정보보호관련된학습을해야한다. 그러나인터넷이용자의 34.4% 는정보보호관련학습활동을하지않고있으며, 학습자의경우에도용어가어렵고, 복잡하며, 원하는자료가없는어려움이있는것으로나타났다 [37]. 증가하는신규보안위협과인터넷이용자의취약한보안대응환경을고려해보면, 인터넷이용자의정보보호수준향상을위해인과관계를파악하는것이매우중요하다고할수있다. 본연구는인터넷이용자의정보보호행위에영향을미치는다양한요인들을찾고, 이를바탕으로이용자들의정보보호수준 Ⅱ. 관련연구 2.1 보호동기이론 (Protection Motivation Theory) 공포소구 (Fear Appeal) 는사용자에게불안이나공포를통해, 권고를따르지않을경우발생되는좋지않은결과를제시 ( 예 : 금연, 마약예방광고 ) 함으로써사용자의공포반응을유발하여, 태도나행동을변화시키려고한다 [20,29]. Rogers(1975) 는공포소구에대한개인의태도와행동의변화과정을설명하기위해, 기대가치 (expectancy value) 와위협평가 (threat appraisal), 대처평가 (coping appraisal) 의인지처리 (cognitive processing) 과정에기반을둔보호동기이론을제시하였다 [10, 20]. 개인은위협메시지에노출되었을때, 이를피하기위한행동의변화를하는데, 위협을느낀메시지에의해행동의변화가일어나는것이아니라, 공포에대한인지적처리과정이보호동기에영향을주어행동을변화하게한다 [20]. 위협평가는위협적인사건에대한개인의평가로, 지각된취약성 (perceived vulnerability) 과지각된심각성 (perceived severity) 으로구성된다 [10,20]. 인지된취약성 - 위협의발생가능성에대한자신의평가 지각된심각성 - 위협이성공할경우미치는피해의정도대처평가는손실을방지하고대처하는능력에대한개인의평가로자기효능감 (self efficacy), 지각된대응효능감 (perceived response effectiveness), 지각된장애 (perceived barriers) 로구성된다 [16,19,21, 30]. 자기효능감 - 위협대응행동에대한개인의능력과자신감 지각된대응효능감 - 권고된행동이위협으로부터보호하는데효과적일것이라고믿는정도 지각된장애 - 대응행동을수행할때지출되는금전적비용, 시간, 어려움, 부작용등행동을방해하는요인보호동기이론은위협메시지가성공했을경우를가정하여서, 메시지가실패하는이유를설명하지는못하는한계점을갖고있었다. Witte(1992) 는 병행과정확장모델 (EPPM; Extended Parallel Process Model) 을제시하였는데 [28], 개인은위협에대한평가와권고된대응효능감에대한평가를토대로 무반응, 위험통제반응, 공포통제반응 의행동을한다. 무반응은개인이공포소구메시지에위협을느끼지못한경우에발생하고, 위협이높고효능감이높을때개인은위협을회피하기위한권고된행동을이행 ( 위험통제반응 ) 하게한다. 반면에위협은높지만효능감이낮은환경에서개인은방어적회피거부, 반발등과같은부적응 ( 공포통제반응 ) 의변화를가져온다. 즉, 개인이권장되는행동을하도록하기위해서는인지된위협과자기효능감, 대응효능감을높이는것이다 [6, 28, 29]. http://dx.doi.org/10.9728/dcs.2018.19.1.93 94

경험및습관이신규서비스의정보보호행동에미치는요인에대한연구 - 보호동기이론과 UTAUT2 을중심으로 보호동기는위협을회피하거나완화행동을채택해하는데 (Rogers, 1975), 외부보안위협에대한정보보안대응책 ( 보안 제품이용, 보호행동, 정책준수등 ) 을채택하는행동의도와관 계된다. 그래서정보보호분야에이러한보호동기이론을활용 하여, 개인의정보보안행동및조직의보안정책준수행동을설 명하는연구를수행하였다. 표 1. 보호동기를활용한정보보호관련연구 Table 1. Research on Information Security using Protection Motivation Research (year) Youn (2005) LaRose (2005) Siponen (2007) Gurung (2009) Johnston (2010) Ifinedo (2012) Hanus, Wu (2016) Jee, B.S (2011) Park, H.S (2013) Park, C.U (2014) Kim, S.H (2015) Result A higher level of risk perception led to less willingness to provide information [31] Perceived efficiency affects the practice safe online behavior such as updating virus protection [13] Perceived severity, self-efficacy and response efficacy and sanctions have a significant impact on compliance with information security policies [22] The perceived severity, self-efficacy, and response efficacy are significantly related to use anti-spyware tools [7] Fear appeals do impact end user behavioral intentions to comply with recommended individual acts of security. Perception of self-efficacy, response efficacy, threat severity, social influence affect security behavior intent [12]. Subjective norms, attitude toward compliance, self-efficacy, and response efficacy and perceived vulnerability positively influence on compliance behavior of information system security policy [10]. Security awareness significantly affects perceived severity, response efficacy, self-efficacy and response cost. Constructs in coping appraisal process (except response cost) significantly impact recommended security behavior [8]. Users' protection behavior is predicted by perceived threat and perceived responsiveness. Perceived threat is determined by perceived susceptibility and perceived severity. Perceived responsiveness is determined by response efficacy and self-efficacy, but response cost is not significant [11]. Self-efficacy, response efficacy, and perceived severity are significantly related to privacy awareness, and privacy protection awareness have a positive effect on protection behavior on SNS [35]. Perceived vulnerability, severity, self-efficacy, and Privacy rights awareness have a positive impact on privacy behavior. Perceived barriers has a negative impact on privacy behavior[33] The higher subjective norm, perceived usefulness, technology awareness, self-efficacy, the more intent to use security technology[32] 2.2 통합기술수용이론 (UTAUT/UTAUT2) Venkatesh, Morris, Davis, and Davis(2003) 은조직의생산성향상등을위한 IT 시스템사용자 ( 종업원 ) 의이용의도와행동을위한이론으로 TRA, TAM(Technology Acceptance Model), MM(motivation model), TPB, MPCU(model of PC utilization), IDT(innovation diffusion theory), SCT(social cognitive theory) 등을통합한 UTAUT (Unified Theory of Acceptance and Use of Technology) 제시하였다 [23]. UTAUT 는행동의도 (behavioral intention) 에영향을주는예측변수로성과기대 (Performance expectancy), 노력기대 (Effort expectancy), 사회적영향 (Social influence), 촉진조건 (Facilitating conditions) 제시하였다. 성과기대 - 새로운 IT시스템사용이업무성과를높이는데도움을될것이라고믿는정도 노력기대 - 새로운 IT시스템사용이쉽거나어려운정도 사회적영향 - 다른중요한사람들이새로운시스템을사용하는것이중요하다고믿는정도 촉진조건 - 새로운정보기술을사용하기위한조직적자원과기술적기반이갖춰져있다고믿는정도 행동의도 - 어떤기술을사용할의도가있는지의정도 Venkatesh, Thong, and Xu(2012) 는일반소비자 (consumer) 의기술사용에관심을갖고, 쾌락동기 (hedonic motivation), 가격가치 (price value), 경험과습관 (experience and habit) 을추가하여 UTAUT2 로확장하였다 [24]. 쾌락동기 - 기술을사용함으로써발생되는즐거움 (fun) 가격가치 - 기술사용에따른비용과이익사이의소비자가갖는인지적교환조건 (trade-off) 경험과습관 - 학습으로인해행동을자동적으로수행하려는경향의정도기업내의종업원과다르게, 일반사용자에게가격은중요한요소인데, 소비자는직접제품이나서비스를구매 ( 비용지불 ) 해야하기때문이다. 기술사용의이익이금전적비용보다더크다고지각될때에, 소비자의기술사용의도에긍정적영향을준다. 또한이전기술의사용 ( 경험 ) 은미래의기술사용에강력한예측변수이다. 습관은기술사용에직접적영향을주고, 이전경험으로부터피드백 (feedback) 은다양한신념에영향을주게되어, 결과적으로행동에영향을준다 [24]. UTAUT 나 UTAUT2 는정보보호기술사용의도를분석하기위한요소들을포함하고있지만, UTAUT 에기반을둔 IT 보안기술의수용에대한연구는부족한편이다. UTAUT 는위험을완화하거나, 손실을회피하는기술보다는이익과업무성과를제공하는새로운기술의수용연구에더적합하다고할수도있다 [3]. 기술수용모델 (TAM), UTAUT 이론들은여러유형의 IT 시스템에적용되었지만, 방화벽, 안티- 바이러스등과같은보안제품을사용하지않는영향에대해서는고려하지않았다. UTAUT 나기존의기술수용모델에기반을둔연구는 IT 시스템을사용할것인가혹은그렇지않을것인가에한정하고있어 95 http://www.dcs.or.kr

디지털콘텐츠학회논문지 (J. DCS) Vol. 19, No. 1, pp. 93-102, Jan. 2018 서, 사용하지않더라도어떤피해를초래하지는않는다 [3, 27 30,]. 그러나 IT 보안기술를사용하지않는것은, 부정적인결과 ( 해킹, 서비스거부공격, 정보유출등 ) 를초래한다. Arekete(2014) 는 UTAUT 를 IT보안에적용한연구에서노력기대와사회적영향이사용행동에직접적인영향을주는데, 기대되는성과는촉진조건 ( 예 :IT보안전문가업무스킬과역량 ) 에의해직접적인영향을받을수있다고하였다. 촉진조건들은개인이기술에대한충분한교육훈련과지원을받으면보안행동을더쉽게수행할수있다고하였다 [1]. 정재원 (2012) 은 스마트시대의개인정보보호기술수용에대한실증연구 에서 UTAUT 의연구모형을설계하여개인정보보호기술의수용의도에영향을미치는요인을분석하였는데, 예상되는성과, 사회적영향, 촉진조건은개인정보보호기술수용및이용에긍정적영향을미치는것으로나타났으며, 예상되는노력은기각되었다 [39]. Ⅲ. 연구모형및가설문헌연구에서고찰한보호동기이론, UTAUT 를통해, 정보보호행동을요인분석을위한연구문제와이에대한가설과연구모형을다음과같이설계하였다. 사용의유형적인이익에집중하였기때문에, 보안기술을사용하지않음으로발생되는잠재적인피해나, 보안기술을사용하더라도간접적, 무형의이익을주는보안기술들은 UTAUT 의대상이아니었다. 그래서보안기술의수용을설명하기위해서는인지된취약점이나인지된심각성과같은구성요소가필요하다. 반면에, 보호동기이론은사회적영향이나촉진조건, 경험및습관을포함하지않는다. 많은기술수용관련한문헌연구는사회적영향과촉진조건의관계를지지하고있어서, 그러한관계가 IT기술의일부분인보안기술의사용의도에도존재할것이라는가정은합리적으로보인다. 먼저, 보호동기이론과관련된연구들에서인지된위협과심각성이높을수록보호행동은증가한것으로나타났다. 따라서인지된위협, 심각성은보안제품의이용의경험및습관, PC나개인정보보호행동에정 (+) 의영향을미칠것으로예측하였다. H1: 인지된위협은보안제품이용의경험및습관에정 (+) 의영향을미칠것이다. H2: 인지된위협은 PC나개인정보보호행동에정 (+) 의영향을미칠것이다. H3: 인지된심각성은보안제품이용의경험및습관에정 (+) 의영향을미칠것이다. H4: 인지된심각성은 PC나개인정보보호행동에정 (+) 의영향을미칠것이다. 그림 1. 연구모델 Fig. 1. Research Model [ 연구문제 1] 인터넷이용자의정보보안행동에영향을주 는요인들은무엇이며, 어떠한영향을미치는가? 연구문제 1 은보호동기이론과 UTAUT2 의변인들이종속 변수인신규정보서비스의보안행동에어떤영향을미치는지 를실증하기위한것이다. 정보보안행동을분석하기위해서는, 보호동기이론의인지된취약성, 인지된심각성, 자기효능감, 대응효능감, 장애와 UTAUT2 의사회적영향, 촉진조건, 경험 및습관, 가격가치등을고려하는것이적절하다고판단하였다. 정보보안기술의사용측면에서보호동기이론과 UTAUT 모 델을비교해보면, UTAUT 는보호동기모델의인지된취약점 과인지된심각성과같은구성요소가없다. UTAUT 는 IT 기술 UTAUT 의사회적영향은정보보호제품을사용하거나, 권고된하는것이중요하다고믿는정도로조작적정의를할수있는데, UTAUT 의사회적영향은주관적규범 (Subjective Norm) 을포함하고있다 [23]. 관련연구들에서도정보보안기술사용에대한사회적영향 ( 주관적규범 ) 이높을수록정보보안행동의도는높은것으로나타나고있다. 따라서사회적영향은보안제품의이용의경험및습관, PC나개인정보보호행동에정 (+) 의영향을미칠것으로예측하였다. H5: 사회적영향은보안제품이용의경험및습관에정 (+) 의영향을미칠것이다. H6: 사회적영향은 PC나개인정보보호행동에정 (+) 의영향을미칠것이다. 보호동기이론의독립변수중에서자기효능감은행동의도에가장강력한효과를갖고있음이밝혀졌다 [2, 4, 5, 16, 18] 보호동기이론의자기효능감과 UTAUT 의촉진조건은비슷한데, 자기효능감은사용자가추천된대응행동을잘수행할능력을갖고있는지를나타내는반면에, 촉진조건은개인의새로운 IT기술사용지원을위한, 조직적자원과기술적기반이갖춰져있다고믿는정도를나타낸다. 인터넷이용자의경우, 정보보호행동을위한최신정보보호관련정보나이슈에대한관심과최신정보보호관련학습자료에대한이해 / 검색용이성및풍부한학습자료제공, 침해사고발생시침해사고대응센터등상담및조치등이자기효능감 ( 촉진조건 ) 을증가시킬것이다. 실태조사에서정보보호제품을이용하지않는이유 ( 복수응답 ) http://dx.doi.org/10.9728/dcs.2018.19.1.93 96

경험및습관이신규서비스의정보보호행동에미치는요인에대한연구 - 보호동기이론과 UTAUT2 을중심으로 로 이용방법을몰라서 가 41.3% 로가장높았고, 운영체제보안패치업데이트를실시하지않는이유 ( 복수응답 ) 로는 직접관리하지않아모름 (38.5%) 업데이트하는것이번거로움 (24.8%), 업데이트하는방법을모름 (23.1%) 등의순으로조사되어 [37], 인터넷이용자의자기효능감이정보보호제품이용이나행동에중요한영향을미칠것으로예측하였다. H7: 자기효능감은보안제품이용의경험및습관에정 (+) 의영향을미칠것이다. H8: 자기효능감은 PC나개인정보보호행동에정 (+) 의영향을미칠것이다. UTAUT 의촉진조건은기술이용의도를통해기술이용에영향을주기도 ( 간접효과 ) 하지만, 기술이용에직접적인영향 ( 직접효과 ) 을미친다. 따라서자기효능감에아래가설을추가하였다. H9: 자기효능감은신규정보서비스의보안행동에정 (+) 의영향을미칠것이다. [ 연구문제 2] 인터넷이용자의이전정보보호제품 ( 예 : 안티- 바이러스 ) 의사용경험과습관은신규서비스의보안행동에어떤영향을미치는가? UTAUT2 의이전기술의사용경험과습관은미래의기술수용과행동을예측하기위한매우중요한변수인데, 이전기술의사용경험과습관을통해미래의기술수용과행동을예측할수있다. 관련연구에서도경험은촉진조건과사용의도관계를조절할수도있는데, 경험이많을수록기술과사용자의학습을촉진하는것으로나타났다 [24]. 인터넷이용자의대부분 (85.8%) 은 PC 관련정보보안제품 ( 안티- 바이러스, 안티- 스타이웨어, 보안 USB, OTP 등 ) 이미사용하고있고, 악성코드검사, 백업, 백신업데이트자동화등의습관을갖고있으며, 개인정보유출방지를위한행동을경험하고있다 [37]. 이러한정보보호제품이용이나개인정보보호행동의경험과습관이신규서비스 ( 모바일, 무선랜, SNS, 클라우드 ) 의정보보안행동에어떤영향을미치는지분석하기위해가설을설정하였다. H10: 보안제품이용의경험및습관은 PC나개인정보보호행동에정 (+) 의영향을미칠것이다. H11: 보안제품이용의경험및습관은신규정보서비스의보안행동에정 (+) 의영향을미칠것이다. H12: PC나개인정보보호행동은신규정보서비스의보안행동에정 (+) 의영향을미칠것이다. [ 연구문제 3] 인구통계학적특성 ( 성별, 연령, 학력, 소득 ) 과전해년도보안침해사고경험, 유료보안제품사용여부등은인터넷이용자의보안행동에어떤영향을주는가? 본연구에서는인구통계학적특성 ( 성별, 연령, 학력, 소득 ), 인터넷이용장소, 유료 / 무료보안제품이용, 전해년도침해사고경험을조절변수로설정하였고, 조절효과가있을것으로예측하였다. 표 2. 조작적정의및측정변수 Table 2. Definitions and Measurement of the Constructs Construct Measure Source THR1 Malware threats Threat of personal Perceived THR2 information leakage Threat Phishing/pharming/ smishing (THR) THR3 threats PMT THR4 Ransomware threats SER1 Malware severity Severity of personal Perceived SER2 information leakage Severity Phishing/pharming/ smishing (SER) SER3 Severity PMT SER4 Ransomware Severity The degree of recognition Social SOC1 of importance of security Influence UTAUT (SOC) The degree of recognition of SOC2 the importance of privacy The degree of interest in SEL1 information security Self The degree of information PMT, Efficacy SEL2 security learning activity UTAUT (SELF) The degree of ease of security SEL3 learning The degree of use of security HAB1 software product Experience HAB2 Malware Inspection Cycle and Habit HAB3 Vaccine update cycle (HAB) The degree of update HAB4 automation UTAUT2 PCP1 PC/Network Security Behavior Secure password manage- PC/Privacy PCP2 ment behavior Behavior (PCP) Purpose of providing PCP3 personal information PCP4 Personal Information Leak Prevention Behavior Smart Device security New NEW1 Behavior Service Wireless LAN security Security NEW2 behavior Behavior NEW3 SNS security behavior (NEW) NEW4 Cloud security behavior 인터넷이용자의정보보호행위를분석하기위한구성요소 의조작적정의와측정항목은위의표 2 와같다. Ⅳ. 실증분석 4.1 표본의특성 한국인터넷진흥원 (KISA) 은인터넷이용자들의정보보호 인식수준을파악하기위해, 전국의만 12~59 세의인터넷이용 자를대상으로방문면접조사통해조사하고있다 [37]. 본연구 에서는, 모바일, 무선랜, SNS 이용자를대상으로, 결측데이터 와불성실데이터를제외하고분석하였다. 97 http://www.dcs.or.kr

디지털콘텐츠학회논문지 (J. DCS) Vol. 19, No. 1, pp. 93-102, Jan. 2018 표 3. 인구통계학적특성 Table 3. The Demographic Characteristic of Data G en d er A ge E du c a ti o n Category % Category % Male 1,295 52.6 Female 1,165 47.4 I 200~300 408 16.6 n co 12~19 old 443 17.6 m e 300~400 929 37.8 A 20's 564 22.9 400~500 688 28 ( ) ~200 59 2.4 30's 527 21.4 500~ 376 15.3 40's 523 21.2 B No 909 37 50's 411 16.7 Yes 1,551 63 E1 334 13.5 C No 2,160 87.8 E2 712 28.9 Yes 300 12.2 E3 333 13.5 No 2,047 83.2 D E4 1,081 43.9 Yes 413 16.8 * E1 - Elementary, middle and high school students E2 - under high school graduate E3 - College(graduate) student E4 - College or higher A: ten thousand won (unit) B: Public/commercial Internet Access C: Use paid security products D: Experience of previous year's infringement 4.2 측정항목의타당성및신뢰도분석 구성개념의측정항목들의집중타당성과판별타당성을평 가하기위해 AMOS 의확인적요인분석을한결과는표 4, 표 5 와같다. 구조방정식모델의집중타당성을검증하기위해서는표준 화계수가 0.5 이상이어야하며, 개념신뢰도 (CR: Composite Reliability) 값이 0.7 이상이되어야하며, 평균분산추출 (AVE: Average Variance Extracted) 값이 0.5 이상이면측정도구의신 뢰성이있는것으로볼수있다. 판별타당성을검증을확인하기위해, 변수간의평균분산추 출 (AVE) 값이상관계수의제곱값보다반드시커야한다. 잠재 요인각각의표준분산추출값 (AVE) 과잠재요인간의상관관 계제곱을비교한결과, 표준분산추출 (AVE) 값이모두상관관 계제곱보다크므로, 집중타당성가판별타당성이있다고할 수있다. 표 4. 집중타당성분석결과 Table 4. The result of Convergent Validity Constructs THR SER SOC SEL HAB PCP NEW 표 5. 판별타당성분석결과 Table 5. The result of discriminant Validity THR.525 4.3 가설검증 THR SER SOC SEL HAB PCP NEW SER.378.571 Measure Factor Loading THR1.682 THR2.707 THR3.630 SER4.733 SER3.664 SER2.598 SOC2.800 SOC1.769 SEL2.780 SEL3.727 SEL1.631 HAB2.975 HAB3.961 HAB1.538 PCP1.645 PCP2.610 PCP3.668 PCP4.575 NEW3.795 NEW2.824 NEW1.837 SOC.278.299.785 SEL.107.194.148.822 HAB -.022.243.097.242.710 PCP.183.305.248.423.417.583 NEW.026.274.269.201.213.390.591 가설점증을위한경로분석과정에서사회적영향이신규정 보서비스의보안행동에직접적으로정 (+) 영향을주는가설이 추가되었다. 정보보호제품이용경험및습관에영향을미치 는요인으로인지된위협, 심각성, 자기효능감이채택되었고, 인지된심각성, 자기효능감이높은영향을주지만, 사회적영향 은기각되었다 (C.R.=1.230, p=.219). PC 와개인정보보호행동 에영향을미치는요인으로인지된위협, 인지된심각성, 사회 적영향, 자기효능감이채택되었고, 자기효능감이높은영향을 주는것으로나타났다. 신규서비스의정보보호행동에영향을 미치는요인으로경험및습관, PC 나개인정보보호행동, 사회 적영향이채택되었고, PC 나개인정보보호행동이높은영향을 미치지만, 자기효능감은기각되었다 (C.R.=1.037, p=.300). CR AVE.789.555.798.571.902.822.879.710.912.785.827.583.813.591 http://dx.doi.org/10.9728/dcs.2018.19.1.93 98

경험및습관이신규서비스의정보보호행동에미치는요인에대한연구 - 보호동기이론과 UTAUT2 을중심으로 표 6. 가설검증결과 Table 6. The Result of Path Analysis Hypothesized Path Standard ized Estimate S.E. C.R. p -val ue Result H1 THR HAB -.146.053-5.32 *** Supported H2 THR PCP.069.026 2.37.018 Supported H3 SER HAB.250.054 8.69 *** Supported H4 SER PCP.123.027 3.96 *** Supported H5 SOC HAB.031.054 1.23.219 NOT H6 SOC PCP.117.027 4.30 *** Supported Ha SOC NEW.183.043 7.23 *** Supported H7 SEL HAB.204.025 8.69 *** Supported H8 SEL PCP.301.013 11.2 *** Supported H9 SEL NEW.028.023 1.03.300 NOT H10 HAB PCP.304.012 12.3 *** Supported H11 HAB NEW.060.019 2.50.012 Supported H12 PCP NEW.311.056 9.45 *** Supported χ²=1192.414,df=172,cmin/df=6.933,rmsea=.049 GFI=.956 AGFI=.941,PGFI=.712,CFI=.947,NFI=.939,IFI=.947, PNFI=.769,PCFI=.776 *** p-values < 0.01 Not = Not Supported ( 기각 ), Supported ( 채택 ) 4.4 조절효과분석 조절효과분석은대응별모수비교 (pairwise parameter comparison) 방법을하였는데, 모수의차이 (critical ratio for difference between parameters) 가 ±1.96 이상이거나또는 ±2.58 이상이면각각 α=0.05, α=0.01 에서유의한차이가있다고할수 있다. 여성의경우자기효능감이 PC/ 개인정보보호행동에남성보 다더영향을미치는것 ( 남성 :.264, 여성 :.364, 차이검정통계량 (2.31) 유의확률 99%) 으로나타났다. 40 대이하는자기효능감이정보보호제품이용경험및습관 에더영향을미치는반면, 40 대이상은경험및습관이 PC/ 개 인정보보호행동에더큰영향을미치며, PC/ 개인정보보호경 험이신규서비스의정보보호행동에더큰영향을미치는것으 로나타났다. 대졸이상이용자들은사회적영향 PC 나개인정보보호 행동에영향 (.142, p-value(***)) 을주지만, 고졸이하 ( 초 / 중 / 고 등학생포함 ) 는 (0.029, p-value(.288)) 기각되었다. 월가구소득이많을수록 (300 만원이상 ) 사회적영향이신 규서비스보호행동에더큰영향을미치고, 경험및습관이 PC/ 개인정보보호행동에더큰영향을주는것으로나타났다. 상업시설이나공공인터넷을사용하지않는그룹 (.172 p-value (***)) 이사용하는그룹 (.085 p-value (***), 차이검정통 계량 :-2.143)) 보다사회적영향이신규정보서비스의보안행 동에더큰영향을미치는것으로나타났다. 침해사고를경험한이용자는사회적영향 ( 정보보호중요성 ) 이 PC/ 개인정보보호보안행동에매우큰영향을주고, 개인정 보보호행동이신규서비스의정보보호행동에는큰영향을마 치는것으로나타났지만, 사회적영향, 경험및습관이직접신 규서비스의정보보호행동에미치는영향은기각되었다. 표 8. 침해사고에따른조절효과분석 Table 8. Moderate Effects of Security Accident in last year Hypothesized Path Security accident experience No PCP NEW.286 ***.588 *** -2.43 주 :* p-value <0.05, ** p-value <0.01, *** p-value <0.001 유료보안제품이용자는, 사회적영향이경험및습관에더 큰영향을미치지만, 신규서비스의보안행동미치는영향은 기각 (p-value(.658)) 되었고, 무료이용자는사회적영향이신규 정보서비스의보안행동에영향을미치며, 경험및습관에미치 는영향은기각 (p-value(.735) 되었다. Yes Critical Ratio for difference SOC PCP.048.102.350 *** -2.738 SOC NEW.187 ***.059.373 2.538 SEL NEW.053.047 -.007 *** 1.959 HAB NEW.070.005 -.056.316 2.068 표 7. 연령에따른조절효과분석 Table 7. Moderating Effects of Age Hypothesized Path Age Group Under 40's more than 40's Critical Ratio for difference SEL HAB.324 ***.245 *** 2.535 HAB PCP.200 ***.415 *** 3.468 PCP NEW.246 ***.427 *** 3.106 주 : *** p-value <0.001 그림 2. 가설및조절효과검증결과 Fig. 2. Hypothesis and Moderating Effects Result 99 http://www.dcs.or.kr

디지털콘텐츠학회논문지 (J. DCS) Vol. 19, No. 1, pp. 93-102, Jan. 2018 Ⅴ. 연구결과본연구에서는인터넷이용자의정보보호수준제고를위해서인지된위협, 심각성, 사회적영향, 자기효능감이정보보호제품경험및습관, PC/ 개인정보보호행동, 신규서비스의정보보호행동에미치는전체경로를파악했다. 인터넷이용자의경우, 경제적, 기술적지원을기대할수없는환경에서, 진화하는보안위협에노출되고있고, 피해사례도증가하고있어, 보안위협에대응하기위해서는다음과같은정책적고려가필요하다. 첫째, 인지된위협이정보보호제품이용경험및습관에부정적인 (-) 영향을미치는것으로나타났다. 이는 Witte(1992) 의병행과정확장모델 (EPPM) 에서설명한것처럼위협이대응효능감이나자기효능감보다커서보안제품이용이적거나, 악성코드검사나업데이트를잘하지않는것으로보인다. 정보보호실태조사에서대부분무료보안제품을사용하고있고, 유료보안제품을사용하거나운영체제에탑재된보안제품을사용하는비율 (43.9%) 은낮게나타나고있다 [37]. Windows 의경우 Windows Defender 뿐만아니라, Windows 10에서는생체인증을통한계정보호나디스크암호화나업무용과개인용 PC 분리, 부트레코드암호화, 멀웨어방지나신뢰할수있는응용프로그램만실행하게하는기능을탑재하여사용자의보안환경을강화하고있다. 20대, 대학 ( 원 ) 생, 전문 / 관리직은운영체제보안제품이용률이상대적으로높은데, 자기효능감이운영체제에탑재된보안소프트웨어사용에영향을주는것으로판단된다. 이에대한더깊은연구가필요할것으로보인다. 둘째, 인지된심각성과자기효능감이정보보호제품이용경험과습관에높은영향을주는것으로나타났는데, 병행과정확장모델 (EPPM) 에제시된것처럼, 높은심각성에대해높은자기효능감이있는경우에정보보호행위도높아진다는것을보여준다. 특히 20대, 30대는자기효능감이높아정보보호제품이용이높은반면, 40대이후연령층은정보보호관련정보수집및학습활동이낮으며, 정보수집및학습어려움이많은것으로나타났다. 이에따라정보보호관련제품이용률이상대적으로낮고, 악성코드검사주기등이낮게나타나고있다. 자기효능감은 PC/ 개인정보보호행동에도가장높은영향을미치는것으로나타나고있어서정보보호제품이용및 PC/ 개인정보보호를향상을위해서는자기효능감을높이는정책이가장필요하다. 하지만, 인터넷이용자의대부분은관련정보를대부분인터넷에서스스로검색 (44.1%) 하거나주변으로부터정보를확보 (42.8%) 하고있고, 정보보호관련민간업체 (11.7%), 공공기관문의 (7.5%) 는낮은상황이다. 또한정보보호관련용어가어렵고 (33.2%), 정보의양이너무많아복잡함 (31%) 을느끼고있다. 인터넷이용자의정보보호수준을제고하기위해서는이용자스스로정보보안에대한관심과학습이필요하지만, 공공기관이나민간기관 ( 예 : 인터넷서비스제공자 (ISP)) 의정보보호지원체계및이용활성화등이촉진조건이필요하다. 자 기효능감은새로운정보서비스의보안행동에미치는영향이기각되었는데, 인터넷이용자의관심과학습활동에신규서비스에대한위협과대응방안관련내용이어렵거나관련자료가부족한것으로파악된다. 셋째, 정보보호제품이용의경험과습관이개인정보보호행동에높은영향을미치고, PC/ 개인정보보호경험은신규서비스의보안행동에영향을미치는연쇄 (cascading) 효과가있는것으로나타났다. 이전의정보보호경험이새로운서비스의보안위협대응에매우긍정적인영향을미치는것으로파악되었다. 특히연령, 소득, 전해년도침해사고경험은이전의경험이새로운정보보호행동에영향을주는것으로나타났다. 따라서신규서비스의정보보호수준향상을위해서는정보보호제품이용이나개인정보보호수준을향상하는정책이병행되어야한다. 넷째, 사회적영향은신규서비스의정보보호행동에영향을미치지만, 이미경험한보안제품이용및습관에미치는영향은기각되었다. 안티- 바이러스보안제품처럼오랜경험과습관은사회적영향에영향을낮추는것으로나타났는데, UAUT2 에서도습관이증가함에따라기술의사용의도가감소함을제시하고있다 [24]. 다섯째, 조절효과분석에서연령과침해사고경험은다양한경로에서조절효과가있는것으로파악되어, 이에대한정책적고려가필요해보인다. 초중고학생의경우정보보호와개인정보중요성인식이낮게나타나고있어, 정보보호교육을통해정보보호중요성인식제고가필요하다. 20~30대는신규정보서비스의보안자료제공및학습환경용이성제고를통해자기효능감을높이는정책이필요하다. 40대이상은정보보호제품이용과개인정보보호행동경험을통해보안경험과습관을확대할필요가있다. 침해사고경험자의경우, 정보보호관심, 학습활동은높으나, 학습어려움이더높아자기효능감이떨어지고있다. 침해사고시보안업체및공공기관, ISP 업체등촉진조건 ( 침해사고대응센터이용활성화등 ) 을향상할수있는정책이필요하다. 침해사고가발생하더라도이용자는신고나상담문의를하지않은데 (57.9%), 피해가경미해서 (33.7%) 라기보다는신고 / 상담이번거롭거나, 절차나상담기관을모르거나, 효과가없어서 (66.3%) 가더높은비율을차지하고있다. 본연구의연구모델은이용자는대부분무료보안제품을사용하고있고, 수집된데이터의제약등으로성과기대 ( 대응효능감 ), 노력기대 ( 이용용이성 ) 는고려하지않았다. 정보보호제품을이용하지않거나 (14.2%), 보안업데이트를하지않는 (16.8%) 의경우, 대부분자기효능감과관련된비율이높지만, 정보보안제품이필요가없거나 (40.2%), 효과가없을것같아서 (25.1%) 로응답하였고, 운영체제보안업데이트가번거롭거나 (23.1%), 필요성을느끼지못하는 (21%) 것으로나타나기도하였다. 향후연구를통해보안제품의대응효능감과노력기대 ( 이용용이성 ) 에대한분석도필요할것으로보인다. http://dx.doi.org/10.9728/dcs.2018.19.1.93 100

경험및습관이신규서비스의정보보호행동에미치는요인에대한연구 - 보호동기이론과 UTAUT2 을중심으로 참고문헌 [1] Arekete, Samson, Princely Ifinedo, and Boluwaji Ade Akinnuwesi, "Antecedent factors to end-users' symbolic acceptance of enterprise systems: An analysis in Nigerian organization," in Adaptive Science & Technology (ICAST), 2014 IEEE 6th International Conference, pp. 1-8, 2014. [2] Bandura, A., Adams, N. E., Hardy, A. B. and Howells, G. N, "Tests of the generality of self-efficacy theory," Cognitive therapy and research, Vol. 4, No. 1, pp. 39-66, 1980. [3] Chenoweth, Tim, Robert Minch, and Sharon Tabor, "Expanding views of technology acceptance: seeking factors explaining security control adoption," AMCIS 2007 Proceedings, 2007. [4] Condiotte, Mark M., and Edward Lichtenstein, "Self-efficacy and relapse in smoking cessation programs," Journal of consulting and clinical psychology, Vol. 49, No. 5, 1981. [5] Fruin, Donna J., Chris Pratt, and Neville Owen, "Protection motivation theory and adolescents' perceptions of exercise," Journal of Applied Social Psychology, Vol. 22, No. 1, pp. 55-69, 1992. [6] Gore, Thomas D., and Cheryl Campanella Bracken, "Testing the theoretical design of a health risk message: Reexamining the major tenets of the extended parallel process model," Health Education & Behavior, Vol. 32, No. 1, pp.27-41, 2005. [7] Gurung, Anil, Xin Luo, and Qinyu Liao, "Consumer motivations in taking action against spyware: an empirical investigation," Information Management & Computer Security, Vol. 17, No. 3, pp. 276-289, 2009. [8] Hanus, Bartlomiej, and Yu and Wu, "Impact of Users Security Awareness on Desktop Security Behavior: A Protection Motivation Theory Perspective," Information Systems Management, Vol. 33, No. 1, pp.2-16, 2016. [9] Hsu, Chien-Lung, Ming-Ren Lee, and Chien-Hui Su, "The role of privacy protection in healthcare information systems adoption," Journal of medical systems, Vol. 37, No. 5, 2013. [10] Ifinedo, Princely, "Understanding information systems security policy compliance: An integration of the theory of planned behavior and the protection motivation theory," Computers & Security, Vol. 31, No. 1, pp. 83-95, 2012. [11] Jee, B. S., Fan, L., Lee, S. C., & Suh, Y. H., "Personal Information Protection Behavior for Information Quality: Health Psychology Theory Perspectives," Journal of the Korean society for quality management, Vol. 39, No. 3, pp. 432-443, 2011. [12] Johnston, Allen C., and Merrill Warkentin, "Fear appeals and information security behaviors: an empirical study," MIS quarterly, pp. 549-566, 2010. [13] LaRose, R., Rifon, N., Liu, S., & Lee, D., "Understanding online safety behavior: A multivariate model," The 55th annual conference of the international communication association, New York, 2005. [14] Liang, Huigang, and Yajiong Xue, "Understanding security behaviors in personal computer usage: A threat avoidance perspective," Journal of the Association for Information Systems, Vol. 11, No. 7, 2010. [15] Maddux, James E., and Melinda A. Stanley, "Self-efficacy theory in contemporary psychology: An overview," Journal of Social and Clinical psychology, Vol. 4, No. 3, pp. 249-255, 1986. [16] Maddux, James E., and Ronald W. Rogers, "Protection motivation and self-efficacy: A revised theory of fear appeals and attitude change," Journal of experimental social psychology, Vol. 19, No. 5, pp. 469-479, 1983. [17] Milne, George R., Andrew J. Rohm, and Shalini Bahl, "Consumers protection of online privacy and identity," Journal of Consumer Affairs, Vol. 38, No. 2, pp. 217-232, 2004. [18] Milne, Sarah, Paschal Sheeran, and Sheina Orbell, "Prediction and intervention in health related behavior: A meta analytic review of protection motivation theory," Journal of Applied Social Psychology, Vol. 30, No. 1, pp. 106-143, 2000. [19] Mohamed, Norshidah, and Ili Hawa Ahmad, "Information privacy concerns, antecedents and privacy measure use in social networking sites: Evidence from Malaysia," Computers in Human Behavior, Vol. 28, No. 6, pp. 2366-2375, 2012. [20] Rogers, Ronald W, "A protection motivation theory of fear appeals and attitude change," The journal of psychology, Vol. 91, No. 1, pp. 93-114, 1975. [21] Rogers, Ronald W, "Cognitive and psychological processes in fear appeals and attitude change: A revised theory of protection motivation," Social psychophysiology: A sourcebook, pp. 153-176, 1983. [22] Siponen, Mikko, Seppo Pahnila, and Adam Mahmood, "Employees adherence to information security policies: an empirical study, in " IFIP International Information Security Conference, Boston, 2007. [23] Venkatesh, V., Morris, M. G., Davis, G. B., & Davis, F. D., "User acceptance of information technology: Toward a unified view," MIS quarterly, pp. 425-478, 2003. 101 http://www.dcs.or.kr

디지털콘텐츠학회논문지 (J. DCS) Vol. 19, No. 1, pp. 93-102, Jan. 2018 [24] Venkatesh, Viswanath, James YL Thong, and Xin Xu, "Consumer acceptance and use of information technology: extending the unified theory of acceptance and use of technology," MIS Quarterly, Vol. 36, No. 1, pp. 157-178, 2012. [25] Wang, Ping An, and Easwar Nyshadham, "Knowledge of online security risks and consumer decision making: An experimental study," in 2011 44th Hawaii International Conference on System Sciences, 2011. [26] Wang, Ping An, "Assessment of cyber security knowledge and behavior: An anti-phishing scenario, in " Proc. IEEE Int. Conf. Internet Monitor. Protection (ICIMP), p. 1-7, 2013. [27] Wang, Ping An, "Information security knowledge and behavior: An adapted model of technology acceptance," in 2010 2nd International Conference on Education Technology and Computer, Vol. 2, pp. 364-367, 2010. [28] Witte, K, The handbook of communication and emotion: Research, theory, applications, and contexts, in P. A.Andersen & L. K.Guerrero Eds. San Diego, CA: Academic Press, pp. 423 450, 1998. [29] Witte, Kim, "Fear control and danger control: A test of the extended parallel process model (EPPM)," Communications Monographs, Vol. 61, No. 2, pp. 113-134, 1994. [30] Woon, Irene, Gek-Woo Tan, and R. Low, "A protection motivation theory approach to home wireless security," ICIS 2005 proceedings, 2005. [31] Youn, Seounmi, "Teenagers' perceptions of online privacy and coping behaviors: a risk benefit appraisal approach," Journal of Broadcasting & Electronic Media, Vol. 49, No. 1, pp. 86-110, 2005. [32] Kim, Sang-Hoon, and Gab-Su Lee, "An Empirical Study on Influencing Factors of Using Information Security Technology," Journal of Society for e-business Studies, Vol. 20, No. 4, pp. 151-175, 2015. [33] Park, Chanouk, and Sang-Woo Lee, "A Study of the User Privacy Protection Behavior in Online Environment: Based on Protection Motivation Theory," Journal of Internet Computing and Services, Vol. 15, No. 2, pp. 59-71, 2014. [34] Lee, Sang-Gi, Sei-Yoon Lee, and Jeong-Chul Kim, "A Study on Security Vulnerability Management in Electric Power Industry IoT," Journal of Digital Contents Society, Vol 17, No. 6, pp. 499-507, 2016 [35] Park, H. S., and S. Kim, "An Empirical Study on SNS Users Privacy Protection Behaviors," Management and Economics, Vol. 46, No. 2, pp. 69-91, 2013. [36] Jung, J. W, Empirical study on acceptance of personal information protection technology in the 'Smart' era, Ph.D. dissertation, Busan University, Busan, 2012. [37] KISA. 2016 Survey on Information Security Individual. Available:https://isis.kisa.or.kr/board/?pageId=060200. [38] KISA. Cyber Threat Trend Report (Q3 2017). Available: https://www.boho.or.kr/data/reportview.do?bulletin_writin g_sequence=26797. 이홍제 (Hong-Je Lee) 고형석 (Hyeongseog Kho) 노은희 (Eun-HeeShin Roh) 한경석 (Kyeong-Seok Han) http://dx.doi.org/10.9728/dcs.2018.19.1.93 102