Research Review: Information Security Risk Assessments following Cybersecurity Breaches: The Mediating Role of Top Management Attention to Cybersecurity
Analyzed Date : 2026.04.06 - 2026.04.10 Keywords : Cybersecurity Breach, ISRA, Top Management Team, Attention-Based View, Cybersecurity Governance Source : Computers & Security, 2023, Vol. 124, Article 102974. https://doi.org/10.1016/j.cose.2022.102974
Why This Paper?
선정 배경
이 논문을 선택한 이유 :
- Ahmad et al.(2020)에서 침해사고 이후 조직학습의 가능성을 다뤘는데, 이 논문은 그 구조적 조건인 경영진 주목도가 어떻게 형성되고 어떤 행동으로 이어지는지를 실증적으로 보완한다.
- 보안 컨설팅 현장에서 반복적으로 요구되는 경영진 설득과 보안 투자 의사결정 메커니즘을 학술적으로 이해하기 위해 선정했다.
- ISRA의 실시 여부가 TMT의 주목도에 의해 매개된다는 구조는, 컨설턴트가 클라이언트 경영진에게 접근하는 타이밍과 방식을 설계하는 데 직접적인 근거를 제공한다.
- ISMS-P 및 ISO 27001의 경영 검토 및 리스크 관리 항목과 직접 연결되는 거버넌스 연구다.
학습 목표 :
- 주의기반관점 ( ABV )이 TMT의 보안 의사결정을 어떻게 설명하는지 이해한다.
- 침해사고 비용 → TMT 주목도 → ISRA 실시라는 인과 경로의 이론적 구조를 파악한다.
- 경영진 보안 커뮤니케이션 전략의 이론적 기반으로 활용 가능한 프레임워크를 확보한다.
Day 1 - Research Context & Motivation
(침해사고 이후 경영진은 왜 움직이는가)
1. 연구 배경: TMT 역할의 공백
침해사고 이후 내부 행동 연구의 부재
사이버보안 침해사고(cybersecurity breach)는 기업의 시장 가치, 평판, 경쟁 우위에 영향을 미친다. 기존 IS 연구는 침해사고 이후 기업 행동을 주로 외부 지향적 관점에서 분석해왔다. 고객 피해 보상, 위기 커뮤니케이션 전략, 시장 가치 회복 등이 그 예다. 그러나 침해사고는 조직 내부의 구조적 문제를 드러내는 증상일 수 있으며, 즉각적인 기술적 수정에만 집중하면 장기적인 보안 취약점이 방치될 수 있다.
이 공백을 메우는 핵심 수단이 정보보안 리스크 평가(ISRA)다. ISRA는 리스크 관리 프로세스의 첫 번째 단계로, 침해사고 이후 드러나지 않은 다른 취약점을 식별하는 데 기여한다. 그러나 실제로 기업들은 ISRA를 형식적으로, 또는 간헐적으로만 실시하는 경향이 있다(Webb et al., 2014). 예산과 전문성이 부족한 중소기업에서는 이 경향이 특히 두드러진다(Ng et al., 2013).
기존 연구의 한계
IS 연구에서 TMT의 역할은 주로 IT 거버넌스의 거시적 구조(IT 투자 의사결정, IT-비즈니스 정렬 등) 차원에서 다뤄졌다. 침해사고라는 구체적인 위기 상황에서 TMT가 어떻게 행동하는지, 그리고 그 행동이 ISRA 실시 여부에 어떤 영향을 미치는지는 IS 연구에서 이론화와 실증 검증이 모두 부족한 영역이다.
IT 부서는 기술적 취약점과 즉각적인 문제를 수정할 수 있지만, 구조적인 문제와 리스크를 관리하려면 고위 경영진의 개입이 필요하다. 규제 측면에서도 TMT는 침해사고에 대한 최종 책임을 진다. Sarbanes-Oxley Act는 TMT에게 IT 리스크를 포함한 리스크 관리 및 보고의 법적 책임을 부과하며, GDPR 하에서도 이사진은 보안 기준 및 개인정보 보호 규정 위반에 대한 책임을 진다.
연구 문제의식
이 논문이 답하려는 핵심 질문은 다음과 같다.
사이버보안 침해사고 비용과 TMT의 보안 주목도는 ISRA 실시 결정에 어떤 영향을 미치는가?
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| ISRA | IT 자산을 우선순위에 따라 분류하고 관련 리스크 및 잠재적 피해 수준을 평가하는 활동. 보안 감사, 침투 테스트, 보안 인식 테스트 등을 포함하는 리스크 관리의 첫 단계 | 컨설턴트가 클라이언트에게 제안하는 진단 서비스의 학술적 정의. 침해사고 이후 ISRA 실시를 권고할 때의 이론적 근거로 활용 가능 |
| TMT | 조직 최상위의 소규모 영향력 있는 경영진 집단. 공식 위원회가 아닌 CEO, CFO, CIO, CISO 등 최고위 임원으로 구성된 실질적 의사결정 주체 | 클라이언트사에서 보안 투자 승인 권한을 가진 실질적 대화 상대. 컨설턴트는 이 집단의 주목도를 확보하는 것을 목표로 삼아야 한다 |
| 주의기반관점 ( ABV ) | 조직 행동은 의사결정자들이 주목하는 것의 결과라는 이론. 제한된 주의 자원을 가진 TMT가 어떤 이슈에 주목하느냐에 따라 기업 행동이 결정된다는 관점 | 경영진 커뮤니케이션 전략의 이론적 토대. 보안 이슈를 경영진의 주목을 끌 수 있는 방식으로 프레이밍해야 함을 시사 |
| 침해 비용 | 탐지 비용, 규제 통보, 고객 보상, 소송, 시장 가치 손실, 규제 과징금, 갈취 대금, 사업 손실 등 침해사고로 발생하는 경제적 비용의 총체 | ISRA 실시를 촉발하는 핵심 변수. 클라이언트에게 침해 비용의 규모가 향후 보안 투자 결정을 좌우함을 설명하는 근거 |
3. 이론적 기반: 주의기반관점 ( Attention-Based View, ABV )
[ Ocasio, 1997의 주의기반관점 3원칙 ]
[ 원칙 1 : 주목의 집중 ( Focus of Attention ) ]
- TMT는 제한된 주의 자원을 이슈의 현저성과 관련성에 따라 배분
- 고비용 침해사고는 성과 기대치 하회 → 보안 이슈의 현저성 증가
- TMT 주목 유발
[ 원칙 2 : 주목의 구조적 분포 ( Structural Distribution of Attention ) ]
- 조직 계층에서의 위치가 주목 배분 방식을 결정
- TMT는 수탁 책임 + 법적 책임 ( SOX, GDPR )으로 보안에 주목할 구조적 의무
- 고비용 침해사고 시 TMT 개입 당위성 증가
[ 원칙 3 : 상황적 주목 ( Situated Attention ) ]
- 주목은 상황의 산물 : 이슈 심각성과 과업 긴박성이 주목을 유발
- 소규모 침해는 IT 부서 선에서 처리, 고비용 침해는 TMT 주목 요구
- 침해 비용 규모가 TMT 주목도를 결정하는 상황적 트리거
핵심 아이디어 :
ABV는 조직 행동을 의사결정자의 주목 배분 결과로 설명한다. 핵심 명제는 TMT가 모든 이슈에 동등하게 주목할 수 없기 때문에, 어떤 이슈가 TMT의 주목을 확보하느냐가 조직의 실질적 행동을 결정한다는 것이다. 이 논문은 ABV의 세 원칙을 통해, 사이버보안 침해사고 비용이 충분히 높을 때 TMT가 보안에 주목하게 되고, 그 주목이 ISRA 실시라는 구체적 행동으로 이어지는 메커니즘을 이론화했다.
4. 연구의 핵심 기여
학술적 기여 :
- TMT의 보안 역할을 단순한 거버넌스 선언이 아닌, 주목 배분 메커니즘으로 이론화한 최초 시도
- ABV를 사이버보안 거버넌스 영역에 적용함으로써 IS 보안 연구에 새로운 이론적 렌즈를 도입
- 침해사고 이후의 기업 내부 행동, 특히 ISRA 실시 결정을 학술적으로 분석한 희소한 연구
실무 기여 :
- 침해사고 이후 ISRA가 반드시 이루어지지 않는다는 현실적 관찰에 이론적 설명을 제공
- TMT와 사이버보안 기능 간의 협력이 침해 대응에 필수적임을 실증적으로 근거 제시
- 소규모 침해에 대한 대응과 대규모 침해에 대한 대응을 구분하는 의사결정 논리 제공
5. 컨설팅 관점 인사이트
적용 가능성 :
이 논문의 핵심 구조(침해 비용 → TMT 주목도 → ISRA 실시)는 컨설턴트가 클라이언트에게 보안 진단의 타이밍과 필요성을 설명할 때 직접 활용 가능한 논리다. 단순히 규제 준수나 예방적 관점이 아닌, 침해사고의 비용이 경영진을 움직이는 구조적 메커니즘을 이해함으로써 개입 전략을 정교화할 수 있다.
기존 학습과의 연결 :
Ahmad et al.(2020)은 침해사고 이후 ISM과 IR 기능의 통합이 조직학습으로 이어지는 과정을 다뤘다. Shaikh & Siponen(2023)은 그 이전 단계, 즉 TMT가 보안에 주목하게 되는 조건을 설명한다. 두 논문을 함께 읽으면, 침해사고 → TMT 주목도 확보 → ISRA 실시 → ISM-IR 통합 → 조직학습이라는 완성된 인과 사슬이 만들어진다.
Gordon & Loeb(2002)의 보안 투자 경제학도 연결된다. 그 논문이 보안 투자의 최적 수준을 수학적으로 분석했다면, 이 논문은 실제로 어떤 조건에서 경영진이 그 투자 결정을 내리게 되는지를 행동적으로 설명한다.
현실적 고려사항 :
- 이 연구는 영국 기업 데이터를 기반으로 하며, 한국 기업 환경에서의 TMT 구조와 의사결정 방식의 차이를 고려해야 한다.
- ISRA 실시 결정이 TMT 주목도에 의해 매개된다는 구조는, 역으로 경영진의 주목을 확보하지 못하면 ISRA가 형식적으로 흐를 수 있음을 시사한다.
- 중소기업의 경우 TMT 구조 자체가 단순하거나 비공식적일 수 있어, 이론의 적용 범위가 달라질 수 있다.
Day 2 Preview :
연구 모델의 구체적인 구조, 가설 설계, 데이터 수집 방법(영국 사이버보안 서베이 4개 웨이브), 변수 측정 방식, 그리고 매개효과 분석 방법론을 다룬다.
Day 2 - Research Model, Hypotheses, and Methodology
(가설의 구조와 데이터가 만나는 지점)
1. 연구 모델 개요
[ 연구 모델 구조 ]
- H1 : 침해 비용 → ISRA 실시 ( 직접 효과 )
- H2 : 침해 비용 → TMT 주목도
- H3 : TMT 주목도 → ISRA 실시
- H4 : 침해 비용 → [ TMT 주목도 ] → ISRA 실시 ( 매개 경로 )
설계 철학 :
저자들은 ISRA 실시를 단순한 기술적 의사결정이 아닌 비즈니스 결정으로 규정했다. 이 전제 위에서 TMT의 주목도가 단순한 조절 변수가 아닌 매개 변수로 설계된 이유가 성립한다. ISRA는 자원 배분, 범위 설정, 외부 감사 여부 결정 등을 포함하는 복합적 거버넌스 행위이기 때문에, TMT의 개입이 없으면 IT 부서의 단편적 대응에 그칠 수 있다는 논리다.
2. 연구 가설
| 가설 | 내용 | 이론적 근거 |
|---|---|---|
| H1 | 침해 비용이 높을수록 ISRA를 실시할 가능성이 높아진다 | 고비용 침해는 이해관계자 압력과 자원 투입 정당화 근거를 동시에 제공 |
| H2 | 침해 비용이 높을수록 TMT의 보안 주목도가 높아진다 | ABV의 세 원칙(집중, 구조적 분포, 상황적 주목) |
| H3 | TMT의 보안 주목도가 높을수록 ISRA를 실시할 가능성이 높아진다 | TMT는 자원 배분 권한과 비즈니스 맥락 조망 능력을 보유 |
| H4 | TMT 주목도가 침해 비용 → ISRA 관계를 매개한다 | 침해 비용의 효과는 TMT를 통해 구조적으로 전달됨 |
3. 연구 방법론
A. 데이터 수집
데이터 소스 :
| 소스 | 수집 정보 | 용도 |
|---|---|---|
| 영국 사이버보안 침해 서베이 ( UK Cyber Security Breaches Survey ) | 기업별 침해 비용, TMT 보안 업데이트 빈도, ISRA 실시 여부 | 모든 변수의 측정 |
| 영국 디지털·문화·미디어·체육부 ( DCMS ) | 서베이 운영 주체 | 데이터 출처 |
데이터 규모 :
- 서베이 4개 웨이브 ( 2018 - 2021년 ) 통합
- 총 8,352개 기업 - 연도 관측치 ( firm-year observations )
- 무작위 확률 전화 서베이 방식으로 선택 편향 통제
데이터 특성 :
- 영국 내 소·중·대기업 및 비영리단체를 포함한 산업 전반 대상
- 기업은 익명으로 참여하며 종단 추적 없이 단면 데이터 구조
- 12개 산업 부문에 걸친 산업별 더미 변수 포함
B. 변수 설계
종속변수 — ISRA 실시 여부
지난 1년간 ISRA를 실시했는지 여부를 0/1 더미 변수로 코딩. 전체 표본의 42.8%가 ISRA를 실시한 것으로 응답.
독립변수 — 침해 비용
지난 1년간 발생한 모든 침해사고의 총 비용. 서베이에서 9개 구간으로 측정(0 - 499,999 GBP). 동일한 9개 순서형 구간을 그대로 사용.
매개변수 — TMT 주목도
이사진 또는 고위 경영진이 지난 1년간 보안 이슈에 대해 업데이트를 받은 빈도. 7점 척도(전혀 없음 - 매일). 평균값은 3.938로 분기 업데이트 수준에 근접.
통제변수 :
| 변수 | 측정 방식 | 통제 이유 |
|---|---|---|
| 기업 규모 | 종업원 수 기준 4구간(마이크로/소/중/대) | 규모가 클수록 ISRA 및 TMT 개입 가능성 상이 |
| 산업 부문 | 12개 부문 더미 변수 | 산업별 보안 요구사항 및 규제 환경 차이 |
| 조직 유형 | 영리/비영리/교육기관 구분 | 조직 목적에 따른 보안 우선순위 차이 |
| 온라인 존재감 | 복합 측정 문항 기반 합성 변수 | 온라인 노출도가 높은 기업은 보안에 더 민감할 수 있음 |
| 연도 고정효과 | 2018 - 2021년 연도 더미 | 연도별 거시 환경 변화 통제 |
C. 분석 방법
Stata의 medsem 패키지를 이용한 구조방정식 모형(SEM) 분석. Baron & Kenny 방법(1986)을 Iacobucci et al.(2007)이 수정한 절차에 따라 매개효과를 검증하고, Sobel 검정(1987)으로 간접효과의 통계적 유의성을 확인했다.
4. 컨설팅 관점 인사이트
방법론의 실무 적용성 :
이 연구 설계에서 컨설팅적으로 주목할 부분은 TMT 주목도의 측정 방식이다. 보안 이슈에 대한 경영진 업데이트 빈도라는 단일 측정치가 TMT 주목도의 대리 변수로 사용됐는데, 이는 역으로 컨설턴트가 클라이언트 경영진의 보안 관여 수준을 간단히 진단하는 기준으로 활용할 수 있다. CISO가 경영진에게 보안 이슈를 얼마나 자주 보고하는지 파악하는 것만으로도 해당 조직의 거버넌스 성숙도를 추정하는 출발점이 된다.
통제변수가 시사하는 점 :
온라인 존재감이 ISRA 실시와 TMT 주목도 모두에 유의한 정적 영향을 미친다는 결과는, 디지털 전환이 활발한 기업일수록 보안 거버넌스 수준도 높아진다는 점을 시사한다. 반면 디지털 전환이 미진한 전통 산업의 클라이언트는 동일한 침해 비용에서도 경영진 주목도와 ISRA 실시 가능성이 낮을 수 있어, 접근 전략을 달리 설계해야 한다.
부분 매개의 의미 :
H4의 결과가 완전 매개가 아닌 부분 매개로 나타났다는 점은 중요한 시사점을 가진다. 침해 비용이 TMT를 거치지 않고도 ISRA 실시에 직접 영향을 미치는 경로가 존재한다는 의미다. 즉, 일부 기업에서는 IT 부서가 독자적으로 ISRA를 결정하기도 한다. 그러나 TMT가 개입할 때 ISRA의 질과 범위가 달라질 수 있음을 이 논문은 이론적으로 주장하고 있다.
Day 3 Preview :
Day 3 - Empirical Results and Hypothesis Testing
(숫자가 말해주는 것: 경영진 주목도는 어떻게 작동하는가)
1. 평가 환경
분석 설정 :
- 대상 : 영국 사이버보안 침해 서베이 2018 - 2021년 4개 웨이브
- 표본 : 8,352개 기업 - 연도 관측치
- 분석 도구 : Stata medsem 패키지 기반 구조방정식 모형 ( SEM )
- 매개효과 검증 : Baron & Kenny 방법 + Sobel 검정
2. 기술통계 및 상관관계
| 변수 | 평균 | 표준편차 | 비고 |
|---|---|---|---|
| 침해 비용 | 2.323 | 1.743 | 9구간 순서형 척도 기준 |
| TMT 주목도 | 3.938 | 1.724 | 7점 척도, 분기 업데이트 수준에 근접 |
| ISRA 실시 | 0.428 | 0.494 | 42.8%가 ISRA 실시 |
| 온라인 존재감 | 2.504 | 1.335 | 합성 변수 |
| 기업 규모 | 2.103 | 1.084 | 4구간 척도 |
주요 상관관계 ( 모두 p < 0.01 ) :
- 침해 비용 ↔ TMT 주목도 : r = 0.150
- TMT 주목도 ↔ ISRA : r = 0.344
- 침해 비용 ↔ ISRA : r = 0.112
- 기업 규모 ↔ ISRA : r = 0.277 ( 통제변수 중 가장 강한 상관 )
TMT 주목도와 ISRA 간 상관(0.344)이 침해 비용과 ISRA 간 상관(0.112)보다 세 배 이상 높다. 이는 경영진 주목도가 ISRA 실시의 더 강력한 예측 변수임을 시사한다.
3. 가설 검증 결과
| 가설 | 경로 | β | S.E. | 결과 |
|---|---|---|---|---|
| H1 | 침해 비용 → ISRA | 0.028 | 0.008 | 지지 ( p < 0.01 ) |
| H2 | 침해 비용 → TMT 주목도 | 0.104 | 0.027 | 지지 ( p < 0.01 ) |
| H3 | TMT 주목도 → ISRA | 0.077 | 0.008 | 지지 ( p < 0.01 ) |
| H4 | 매개효과 ( 부분 매개 ) | Sobel Z = 3.495 | — | 지지 ( p < 0.01 ) |
4개 가설 모두 지지됐다.
통제변수 결과 :
- 기업 규모는 ISRA ( β = 0.077, p < 0.01 )와 TMT 주목도 ( β = 0.083, p < 0.05 ) 모두에 유의한 정적 영향
- 온라인 존재감도 ISRA ( β = 0.041, p < 0.01 )와 TMT 주목도 ( β = 0.137, p < 0.01 ) 모두에 유의한 정적 영향
4. 매개효과 상세 분석
부분 매개의 수치적 구조 :
TMT 주목도 투입 이후 침해 비용의 ISRA에 대한 직접 효과는 β = 0.028 → β = 0.019로 감소했으나 여전히 유의 (p < 0.05). Sobel 검정 유의 (Z = 3.495, p < 0.001).
- 간접효과 / 총효과 비율 : 29.3%
- 간접효과 / 직접효과 비율 : 0.4배
즉, 침해 비용이 ISRA 실시에 미치는 전체 효과 중 약 29%는 TMT 주목도를 통해 전달되고, 나머지 71%는 TMT를 거치지 않는 직접 경로로 작동한다.
부분 매개가 의미하는 것 :
완전 매개가 아닌 부분 매개라는 결과는 두 가지 현실을 동시에 반영한다. 첫째, 충분히 높은 침해 비용은 TMT 개입 없이도 IT 부서 선에서 ISRA로 이어질 수 있다. 둘째, 그럼에도 불구하고 TMT가 보안에 주목할 때 ISRA가 더 체계적으로 실시될 가능성이 높아진다. 논문은 이 두 번째 경로의 질적 우위를 이론적으로 주장한다 — TMT가 개입한 ISRA는 비즈니스 목표와의 정렬, 자원 배분의 적절성, 범위의 포괄성 측면에서 IT 독자 결정보다 우월하다는 논리다.
5. 저자의 논의: 세 가지 기여
기여 1 — TMT 역할의 실증화
기존 연구들은 TMT의 사이버보안 역할을 규범적으로 강조하거나 산업 표준의 변형 프레임워크를 제시하는 데 그쳤다(Veiga & Eloff, 2007; Nicho, 2018). 이 논문은 ABV를 통해 그 메커니즘을 이론화하고, 4년간의 서베이 데이터로 실증했다.
기여 2 — ISRA의 반응적 역할 재조명
산업 표준과 리스크 관리 프레임워크에서 ISRA는 주로 예방적 조치로 묘사된다. 이 논문은 고비용 침해사고 이후의 반응적 ISRA도 가치가 있음을 보여준다. 침해 경험을 입력값으로 활용해 취약 영역에 집중할 수 있기 때문에 예방적 ISRA보다 더 높은 기대 효용을 가질 수 있다는 논리다.
기여 3 — 데이터 범위의 확장
기존 연구 대부분이 공개된 데이터 침해 사례에 집중하고 상장기업 중심의 주가 영향을 분석했다. 이 논문은 12개 산업의 다양한 규모 기업을 포함한 실제 재무 영향 데이터를 활용함으로써 사이버보안 거버넌스 연구의 표본 편향을 일부 완화했다.
6. 컨설팅 관점 인사이트
성공 사례가 되는 조건 :
침해 비용이 높고 TMT 주목도도 높은 기업에서 ISRA가 실시될 가능성이 가장 높다. 컨설팅 개입 타이밍으로는 고비용 침해사고 직후가 최적이다. 이때 경영진의 주목도가 이미 높아진 상태이므로, ISRA 제안의 수용 가능성이 구조적으로 높다.
한계 사례 :
침해 비용이 낮거나 발생 빈도가 적은 기업, 또는 온라인 존재감이 낮은 전통 산업 기업에서는 TMT 주목도도 낮고 ISRA 실시 가능성도 낮다. 이 경우 규제 요건(ISMS-P, ISO 27001)이나 업계 표준 준수 논리로 다른 진입 경로를 찾아야 한다.
고객 환경 적용 시 고려사항 :
TMT 주목도의 측정 지표로 활용된 경영진 업데이트 빈도는 단순하지만 실효적인 진단 도구다. 초기 인터뷰에서 CISO 또는 정보보호 담당자에게 경영진 보고 빈도를 확인하면, 해당 조직의 보안 거버넌스 성숙도를 빠르게 가늠할 수 있다. 보고 빈도가 연간 이하라면 경영진의 보안 주목도가 낮은 것이며, ISRA 실시 의지도 약할 가능성이 높다.
7. 개인 인사이트
[ 인사이트 1 : 29.3%라는 숫자의 무게 ]
TMT 매개 비율 29.3%는 얼핏 낮아 보이지만, 반대로 읽으면 의미가 다르다. 침해 비용이라는 구조적 트리거만으로는 ISRA의 70% 이상이 설명되지 않는다. TMT라는 인적 변수가 그 나머지를 채우는 데 핵심적인 역할을 한다. 보안 투자 의사결정이 비용-편익 계산만으로 이루어지지 않는다는 경험적 근거다.
[ 인사이트 2 : 반응적 ISRA의 재발견 ]
ISMS-P나 ISO 27001 컨설팅에서 ISRA는 늘 예방적 맥락에서 제시된다. 그런데 이 논문은 침해사고 이후 실시하는 반응적 ISRA도 고유한 가치를 갖는다고 주장한다. 실제 침해 경험을 입력값으로 활용하기 때문에 더 집중적이고 기대 효용이 높을 수 있다는 논리는, 사고 이후 고객에게 ISRA를 제안할 때 쓸 수 있는 프레임이다.
[ 인사이트 3 : 의문점 ]
부분 매개 결과는 TMT 없이도 ISRA가 이루어지는 경로를 인정한다. 그러나 IT 주도 ISRA와 TMT 주도 ISRA의 실질적 결과 차이(범위, 품질, 후속 조치 이행률)에 대한 실증 데이터는 이 논문에 없다. 이론적 주장은 타당하지만, 그 질적 차이가 실제로 얼마나 큰지는 후속 연구가 필요한 영역이다.
Day 4 Preview :
Day 4 – Research Limitations and Scholarly Impact
(이 논문이 말하지 못한 것, 그리고 그것이 남긴 공간)
1. 연구의 한계점
A. 단면 데이터 구조
문제 :
서베이 데이터는 기업을 종단으로 추적하지 않는다. 4개 웨이브를 통합했지만 동일 기업의 시간적 변화를 추적한 것이 아닌 연도별 독립 표본의 합산이다.
영향 :
침해 비용 - TMT 주목도 - ISRA라는 인과 경로를 이론적으로 주장하지만, 실제 인과 관계의 시간적 선후를 데이터로 직접 증명하기 어렵다. 한 기업이 침해를 경험한 후 TMT 주목도가 높아지고 이어서 ISRA를 실시하는 과정을 추적하지 못했다.
보완 방향 :
동일 기업을 다년간 추적하는 종단 연구 설계, 또는 침해사고 발생 전후를 비교하는 사건 연구(event study) 방법론이 인과성 확립에 더 적합하다.
B. TMT 주목도의 단일 측정
문제 :
TMT 주목도는 경영진 보안 업데이트 수신 빈도라는 단일 항목으로만 측정됐다. 이는 주목도의 대리 변수일 뿐, 실제 경영진이 보안 이슈를 얼마나 깊이 이해하고 적극적으로 관여하는지를 반영하지 못한다.
영향 :
경영진이 보안 보고를 자주 받더라도 형식적으로 수용하는 경우와 실질적으로 의사결정에 반영하는 경우는 구분되지 않는다. 측정치의 타당성(construct validity)에 한계가 있다.
보완 방향 :
보안 예산 심의 참여 여부, 보안 관련 이사회 안건 비율, 경영진의 보안 관련 발언 빈도 등 다차원 측정 항목을 개발해 TMT 주목도를 보다 정교하게 포착하는 연구가 필요하다.
C. ISRA 실시 여부만 측정, 질은 미측정
문제 :
종속변수가 ISRA를 실시했는지 여부(0/1)에 그친다. ISRA의 범위, 깊이, 후속 조치 이행률, 그리고 실제 보안 개선 효과는 측정되지 않았다.
영향 :
TMT 주도 ISRA가 IT 독자 ISRA보다 질적으로 우월하다는 이 논문의 핵심 이론적 주장이 실증적으로 뒷받침되지 않는다. 논문은 이 주장을 이론으로만 제시하고 있다.
보완 방향 :
ISRA 결과로 도출된 통제 조치의 수와 수준, 후속 보안 투자 규모, 재침해 발생률 등을 통해 ISRA 질을 측정하는 연구가 필요하다.
D. 영국 단일 국가 데이터
문제 :
데이터가 영국 기업으로 한정되어 있어 결과의 일반화 가능성이 제한된다. 국가별 규제 환경, 기업 지배구조 구조, 보안 문화 차이가 TMT 행동에 영향을 미칠 수 있다.
영향 :
GDPR, Sarbanes-Oxley Act 등 영국·미국 중심의 규제 논리가 이론 구성에 반영되어 있어, 이를 한국 맥락에 그대로 적용할 때는 개인정보보호법, ISMS-P 인증 체계 등 국내 규제 환경을 별도로 고려해야 한다.
보완 방향 :
다국가 비교 연구 또는 아시아·신흥국 맥락에서의 복제 연구가 이론의 외적 타당성을 높이는 데 기여할 수 있다.
2. 후속 연구 방향
저자들은 결론에서 다음과 같은 방향을 명시적으로 제시했다.
첫째, TMT의 역할을 보안 정책 설계, 소프트웨어 및 하드웨어 솔루션 선택, 모니터링 체계 구축 등 다른 운영적 사이버보안 의사결정 영역으로 확장하는 연구. 이 논문은 ISRA라는 단일 행동에 초점을 맞췄지만, TMT 주목도가 보안 거버넌스 전반에 미치는 영향을 폭넓게 검토할 여지가 있다.
둘째, 부분 매개 결과가 확인한 TMT 비개입 경로, 즉 IT 부서가 독자적으로 ISRA를 결정하는 조건과 그 결과의 질적 차이를 탐구하는 연구.
3. 학술적 영향력
이 논문은 2022년 10월 온라인 공개 이후 Computers & Security에 게재됐다. 이 저널은 보안 분야 핵심 학술지로, Siponen은 MIS Quarterly, JAIS, EJIS 등 IS 최상위 학술지에 다수 게재 이력을 가진 핀란드 위르베스킬레대학 교수다.
주목할 점은 동일 저자 그룹(Shaikh & Siponen)이 2023년에 후속 논문으로 사이버보안 성과로부터의 조직학습과 보안 투자 결정에 관한 연구를 발표했다는 것이다. 이는 이 논문이 침해사고 이후 경영진 행동을 탐구하는 연구 프로그램의 일환임을 시사한다.
연구 흐름의 위치 :
[ 이전 흐름 ]
- 침해사고 이후 외부 지향 연구
- 시장 영향, 고객 대응, 위기 커뮤니케이션
↓
[ 이 논문, 2023 ]
- 침해사고 이후 내부 행동 연구
- TMT 주목도 - ISRA 실시, ABV 적용
↓
[ 후속 방향 ]
- ISRA 이후 의사결정 및 조직학습
- 보안 투자 조정, 정책 개선, 반복 침해 방지
4. 컨설팅 관점 인사이트
한계를 이해한 컨설팅 전략 :
이 논문의 한계 중 컨설팅 현장에서 가장 중요한 것은 ISRA의 실시 여부만 측정했다는 점이다. 클라이언트에게 ISRA를 권고할 때, 단순히 실시 여부가 아닌 범위, 방법론, 후속 조치 계획까지 포함된 ISRA 설계를 제안해야 한다. 형식적 ISRA는 규제 체크리스트를 충족할 수 있지만 실질적 보안 개선으로 이어지지 않을 수 있다는 점을 고객에게 명확히 전달하는 것이 컨설턴트의 역할이다.
적용 가능 시나리오 :
침해사고를 경험한 직후 클라이언트를 대상으로 하는 사후 진단 컨설팅에서 이 논문의 논리가 가장 직접적으로 활용된다. 경영진이 이미 주목도가 높아진 상태이므로, ISRA 제안의 수용 가능성이 높고 예산 승인도 상대적으로 용이하다. 반면 침해 경험이 없거나 비용이 낮았던 기업에서는 규제 컴플라이언스(ISMS-P 인증 갱신, ISO 27001 심사 준비) 논리로 ISRA 필요성을 설명하는 것이 더 효과적이다.
적용 불가 시나리오 :
TMT 구조가 매우 단순하거나 CISO가 부재한 소기업에서는 이 논문의 거버넌스 모델을 그대로 적용하기 어렵다. 이 경우 TMT 주목도 확보보다는 외부 규제 기관이나 감사인의 요구를 레버리지로 활용하는 전략이 현실적이다.
5. 개인 인사이트
[ 인사이트 1 : 한계의 솔직함 ]
저자들은 종단 데이터 부재, TMT 주목도의 단일 측정, ISRA 질 미측정이라는 세 가지 핵심 한계를 명시하지 않았다. 이는 논문 구조상 명시적 한계 절이 없고 Discussion과 Conclusion에 간접적으로 분산되어 있기 때문이다. Ahmad et al.(2020)처럼 한계를 명시적으로 구획한 논문과 비교하면, 이 논문은 주장의 강도에 비해 한계 서술이 절제되어 있는 편이다. 컨설턴트로서 이 논문을 인용할 때 그 한계를 스스로 인식하고 있어야 한다.
[ 인사이트 2 : 측정의 단순함이 주는 역설적 강점 ]
TMT 주목도를 경영진 업데이트 빈도 단일 항목으로 측정한 방식은 구성 타당성의 한계를 가지지만, 동시에 실무에서 즉시 활용 가능한 단순성을 제공한다. 복잡한 다차원 측정도구가 없어도 클라이언트 진단 인터뷰에서 몇 가지 질문으로 경영진 주목도 수준을 파악할 수 있다는 점에서, 이 단순한 측정 방식 자체가 컨설팅 도구로 전환된다.
[ 인사이트 3 : 국내 적용의 갭 ]
이 논문의 이론 구성에는 GDPR의 이사 책임 조항, Sarbanes-Oxley Act의 IT 리스크 보고 의무가 핵심 근거로 활용된다. 국내에서는 개인정보보호법상 개인정보보호책임자(CPO) 제도, ISMS-P 인증 체계에서의 최고경영자 책임 조항이 이에 상응하는 구조적 압력을 제공한다. 논문의 이론 논리는 한국 맥락에도 적용 가능하지만, 그 근거 조항과 실제 집행 수준의 차이를 별도로 파악해야 한다.
Day 5 Preview :
Day 5 – Consulting Perspective and Key Takeaways
(경영진을 움직이는 조건을 이해한 컨설턴트)
1. 4일간 학습 여정 종합
Day 1 : 연구 배경과 문제의식
[ Day 1 요약 ]
- 침해사고 이후 IS 연구는 외부 대응에만 집중
↓
- 내부 행동(ISRA)과 TMT 역할은 이론화 및 실증 모두 부재
↓
- 경영진이 보안에 주목하게 되는 조건이 학술적으로 규명되지 않았다
Day 2 : 연구 모델과 방법론
[ Day 2 요약 ]
- ABV 3원칙 기반 4개 가설 설계
↓
- 영국 사이버보안 서베이 8,352개 관측치 + SEM 분석
↓
- TMT 주목도를 매개변수로 설정한 설계 논리가 컨설팅 개입 구조와 일치한다
Day 3 : 실증 결과
[ Day 3 요약 ]
- 4개 가설 모두 지지, TMT 주목도 29.3% 부분 매개
↓
- TMT - ISRA 상관(0.344) > 침해비용 - ISRA 상관(0.112)
↓
- 경영진 주목도가 침해 비용보다 ISRA를 더 강하게 예측한다
Day 4 : 한계와 학술적 위치
[ Day 4 요약 ]
- 단면 데이터, 단일 측정, ISRA 질 미포착의 세 가지 한계
↓
- TMT 역할 실증화 · 반응적 ISRA 재조명이라는 학술적 기여 명확
↓
- 한계를 인식한 채로 활용하는 것이 컨설턴트의 역할이다
2. 논문에서 배운 핵심 원리
A. 주목도는 트리거에 의해 작동한다
경영진의 보안 주목도는 상시적으로 높은 것이 아니라 특정 이벤트에 의해 촉발된다. 이 논문이 식별한 트리거는 침해 비용이지만, ABV의 논리를 확장하면 규제 처분, 동종 업계 사고, 감사 지적 사항 등도 동일한 트리거 역할을 할 수 있다. 컨설턴트는 이 트리거 구조를 파악하고 개입 타이밍을 설계해야 한다.
왜 작동하는가 :
ABV의 집중 원칙에 따르면 이슈의 현저성이 높아질 때 주목이 집중된다. 고비용 침해사고는 성과 기대치를 하회하는 실패이며, 이해관계자 압력과 법적 책임이 동시에 증가한다. 이 복합적 현저성이 TMT 주목도를 끌어올린다.
왜 한계가 있는가 :
침해 비용이 낮거나 침해가 발생하지 않은 상황에서는 이 메커니즘이 작동하지 않는다. 예방적 보안 투자의 필요성을 설득할 때는 다른 논리가 필요하다.
B. ISRA는 IT 결정이 아닌 비즈니스 결정이다
이 논문의 핵심 전제는 ISRA가 기술적 작업이 아닌 거버넌스 행위라는 것이다. 범위 설정, 자원 배분, 외부 감사 여부, 비즈니스 목표와의 정렬 - 이 모든 차원이 TMT의 판단을 요구한다. IT 부서만이 ISRA를 주도하면 전략적 맥락이 빠진 기술적 체크리스트로 전락할 위험이 있다.
C. 부분 매개는 두 가지 현실을 동시에 인정한다
침해 비용은 TMT를 경유하지 않아도 ISRA 실시에 직접 영향을 준다(71%). 그러나 TMT가 개입하는 경로(29%)는 단순히 추가적이 아니라 질적으로 다른 ISRA를 만들어낼 가능성이 이론적으로 주장된다. 컨설턴트는 클라이언트에게 ISRA의 실시 여부와 ISRA의 질을 분리해서 논의해야 한다.
3. 기업 환경에서의 적용 가능성 분석
A. 해결하는 비즈니스 문제
보안 측면 :
침해사고 이후 즉각적인 기술 수정에만 집중하고 구조적 취약점을 방치하는 패턴을 끊는 데 기여한다. ISRA를 통해 침해사고가 드러낸 취약점 외의 잠재적 위험을 체계적으로 식별할 수 있다.
비즈니스 측면 :
경영진의 보안 주목도가 ISRA 실시로 이어지고, 이는 이해관계자(주주, 고객, 규제 기관)에 대한 보안 책임 이행을 가시화한다. 침해사고 이후 소송 및 과징금 가능성을 줄이는 데에도 기여한다.
규제 측면 :
ISMS-P 인증 체계에서 경영진 검토는 필수 요구사항이다. 이 논문은 경영진 검토의 형식적 실시가 아닌 실질적 개입의 조건을 설명하며, ISMS-P 컨설팅에서 경영진 역할 강화를 권고하는 이론적 근거로 활용할 수 있다.
B. 적합한 기업 프로필
침해사고를 경험했거나 보안 사고 가능성이 높은 산업(금융, 의료, 이커머스)에서 가장 직접적으로 적용된다. 기업 규모 측면에서는 TMT 구조가 명확한 중견·대기업에서 이론의 적용 가능성이 높다. 마이크로·소기업은 TMT 구조 자체가 불분명하거나 단일 의사결정자 구조인 경우가 많아 별도 접근이 필요하다.
C. 도입 시 고려사항
컨설팅 프로젝트 범위 설정 시, ISRA를 제안할 때 경영진 참여 조항을 명시적으로 포함시켜야 한다. ISRA 착수 전 경영진 브리핑, 중간 보고, 결과 승인 단계를 프로세스에 내재화하는 것이 TMT 주목도를 구조적으로 확보하는 방법이다.
4. 컨설팅 시나리오별 활용 방안
A. 보안 진단
침해사고 이후 진단 수행 시, 경영진 인터뷰를 통해 보안 보고 빈도와 최근 침해 비용 규모를 확인하는 것을 초기 진단 항목으로 포함시킨다. 이 두 수치가 낮을 경우 거버넌스 개선을 우선 권고 사항으로 제시한다.
점검 항목 예시 :
- 최근 12개월간 경영진에게 보안 이슈를 보고한 빈도는?
- 최근 침해사고 발생 시 추정 손실 비용은?
- 최근 ISRA를 실시한 시점과 방식은?
- ISRA 결과가 경영진 의사결정에 반영된 사례가 있는가?
B. 보안 체계 수립
보안 거버넌스 체계 수립 과정에서 TMT 보고 체계(경영진 대시보드, 정례 보고 프로세스)를 ISRA와 연동하는 구조를 설계한다. 경영진이 보안 이슈를 정기적으로 업데이트받는 구조가 없다면, 이는 미래 침해사고 시 ISRA 실시 가능성을 낮추는 취약점이다.
C. 기술 자문
고객사 질문 : 침해사고를 겪은 후 무엇을 먼저 해야 하는가?
답변 : 즉각적인 기술 패치와 별개로, 경영진이 참여하는 ISRA를 실시하는 것이 필요하다. 이번 침해가 드러낸 취약점 외의 구조적 위험을 식별하고, 비즈니스 목표와 정렬된 대응 우선순위를 수립하기 위해서다. IT 부서만의 대응은 기술적 취약점은 수정할 수 있지만 조직 전체의 리스크 프로필 변화를 반영하기 어렵다.
고객사 질문 : 경영진이 보안에 관심이 없는데 어떻게 설득하는가?
답변 : 경영진의 보안 주목도는 관심의 문제가 아니라 구조적 트리거의 문제다. 동종 업계 침해사고 사례, 규제 처분 사례, 그리고 현재 조직의 잠재 침해 비용 추정치를 제시하는 것이 가장 효과적이다. 경영진은 이슈의 현저성이 높아질 때 주목한다.
고객사 질문 : ISRA를 매년 실시하고 있는데 충분한가?
답변 : 실시 여부보다 중요한 것은 경영진이 그 과정에 실질적으로 참여했는지, 그리고 결과가 실제 보안 투자 결정에 반영됐는지다. 경영진 참여 없이 IT 부서가 단독으로 수행하는 ISRA는 범위와 비즈니스 정렬 측면에서 한계를 가질 수 있다.
5. 프레임워크 및 규제와의 연계
A. ISMS-P / ISO 27001 관점
| 통제 항목 | 논문의 기여 | 적용 방법 |
|---|---|---|
| 경영 검토(ISMS-P 1.1) | TMT 주목도가 ISRA 실시를 매개한다는 실증 근거 | 경영 검토 주기를 높이고 보안 리스크 보고를 의제화하는 구조적 설계의 이론적 근거 |
| 위험 평가(ISMS-P 2.1) | 반응적 ISRA의 가치 재조명 | 침해사고 이후 수행하는 ISRA가 예방적 ISRA와 동등한 정당성을 가짐을 설명 |
| 최고경영자 책임(ISMS-P 1.1.1) | 구조적 분포 원칙: TMT의 법적·수탁 책임이 주목도를 형성 | 최고경영자의 ISMS-P 책임 항목을 실질적 거버넌스로 전환하는 논리 제공 |
| 정보보호 위원회 운영 | TMT 주목도의 구조적 확보 방안 | 정기 보안 위원회에 C-레벨 임원의 실질 참여를 보장하는 구조 설계 |
B. 보안 성숙도 관점
| 수준 | 현재 상태 | 이 논문이 제시하는 개선 방향 |
|---|---|---|
| 초기 | 침해 발생 후 기술적 패치만 실시 | 고비용 침해 이후 TMT 보고 체계 마련 및 ISRA 실시 촉구 |
| 관리 | ISRA는 실시하지만 IT 부서 주도 | TMT 참여 구조 내재화, 경영진 보고 정례화 |
| 정의 | TMT 참여 ISRA 정례 실시 | ISRA 결과를 보안 투자 결정 및 전략과 연동하는 피드백 루프 구축 |
| 최적화 | 침해 경험을 조직학습으로 전환 | Ahmad et al.(2020)의 ISM-IR 통합 조직학습 프레임워크와 연계 |
6. 컨설턴트로서 얻은 인사이트
A. 고객 조언 역량의 변화
이 논문을 읽기 전 :
경영진 설득은 기술적 위험을 쉬운 언어로 번역하는 커뮤니케이션 문제라고 이해했다. 즉, 어떻게 말하느냐의 문제.
이 논문을 읽은 후 :
경영진 설득보다 더 근본적인 질문은 어떤 조건에서 경영진이 보안에 주목하는가이다. ABV의 관점에서 경영진은 이슈의 현저성, 계층적 책임, 상황적 긴박성이 충족될 때 주목한다. 컨설턴트의 역할은 그 조건을 인위적으로 만들어내거나 이미 조건이 갖춰진 타이밍에 개입하는 것이다.
구체적 예시 :
고객 : 이사회에 보안 투자 예산을 올려도 매번 삭감된다.
나 : 현재 경영진에게 보안 보고가 얼마나 자주 이루어지고 있는가? 그리고 최근 경쟁사나 동종 업계의 침해사고 비용 규모를 이사회가 인지하고 있는가? 경영진이 주목하는 조건이 아직 충족되지 않은 상태에서 예산 요청을 반복하는 것은 구조적으로 성공하기 어렵다. 먼저 정기 보안 보고 체계를 만들고, 업계 침해 사례를 비용 언어로 정량화해 제시하는 것이 선행되어야 한다.
B. 기술·솔루션 평가 기준의 확장
이 논문 이전에는 보안 솔루션 평가 기준이 주로 기술적 효과성, 비용, 구현 복잡성이었다. 이 논문 이후에는 솔루션 도입이 경영진 주목도를 높이는 데 기여하는가, 그리고 ISRA와 연동되는 거버넌스 구조가 설계되어 있는가를 추가적인 평가 기준으로 고려하게 됐다.
7. 4일간 리뷰 종합
| Day | 주제 | 핵심 학습 | 컨설팅 활용 |
|---|---|---|---|
| Day 1 | 연구 배경과 ABV | 경영진 주목도가 보안 거버넌스의 핵심 변수 | 클라이언트 경영진 접근 전략의 이론적 기반 |
| Day 2 | 연구 모델과 방법론 | 4가설 구조, 영국 서베이 8,352개 관측치 | TMT 주목도 진단 도구로 경영진 보고 빈도 활용 |
| Day 3 | 실증 결과 | 부분 매개 29.3%, TMT - ISRA 상관 0.344 | 침해사고 직후 ISRA 개입 타이밍 최적화 |
| Day 4 | 한계와 학술적 위치 | 단면 데이터·단일 측정·ISRA 질 미측정 | ISRA 설계 시 질적 요소 명시 포함 필요 |
| Day 5 | 컨설팅 통합 | 경영진 주목도는 트리거 조건의 문제 | 조건 분석 - 타이밍 설계 - 구조적 개입 |
8. 최종 개인 인사이트
A. 이 논문이 나의 컨설팅 역량에 기여한 점
경영진 행동의 구조적 논리 확보
보안 거버넌스에서 경영진의 역할 중요성은 늘 강조됐지만, 왜 경영진이 움직이는지에 대한 이론적 설명은 갖고 있지 않았다. ABV의 세 원칙 - 현저성 기반 집중, 계층적 책임, 상황적 긴박성 - 은 경영진 행동을 예측 가능한 구조로 이해하게 해준다. 이 논리를 가지고 있으면 클라이언트 상황을 진단하고 개입 전략을 수립할 때 직관이 아닌 근거 위에 설 수 있다.
반응적 ISRA의 컨설팅 활용 프레임
침해사고 이후 클라이언트에게 ISRA를 제안하는 것이 사후약방문처럼 느껴질 수 있다. 그러나 이 논문은 반응적 ISRA가 침해 경험을 입력값으로 활용해 더 집중적이고 기대 효용이 높은 진단이 될 수 있음을 이론적으로 정당화한다. 이 프레임은 클라이언트 설득 논리로 직접 전환된다.
12편 누적 프레임워크의 거버넌스 층 보완
Gashgari et al.(2017)이 거버넌스 구조를 규범적으로 제시했다면, 이 논문은 그 거버넌스가 실제로 작동하는 조건을 실증적으로 설명한다. 두 논문을 함께 활용하면 거버넌스 구조 설계(무엇을)와 거버넌스 작동 조건(왜, 언제)을 통합한 자문이 가능해진다.
B. 12편 누적 논문 종합 비교
| 논문 | 핵심 아이디어 | 컨설팅 핵심 활용 |
|---|---|---|
| Bulgurcu et al. (2010) | 개인 컴플라이언스는 이익, 비용, 규범의 함수 | 임직원 보안 정책 준수 설계 |
| Santos-Olmo et al. (2024) | 통합 리스크 분석 프레임워크(MARISMA) | 중소기업 맞춤 리스크 평가 방법론 |
| Foorthuis & Bos (2011) | 컴플라이언스 전술 3×3 매트릭스 | 인센티브·강제·관리 조합 설계 |
| Gashgari et al. (2017) | ISO 27014+COBIT 통합 거버넌스 17 CSF | 거버넌스 체계 수립 |
| Slapničar et al. (2022) | 감사는 침해 발생을 막지 못한다 | 감사 효과에 대한 현실적 기대치 설정 |
| Ghadge et al. (2020) | 공급망 사이버 리스크 3차원 분류 | C-TPRM 진단 및 공급망 보안 체계 |
| Gordon & Loeb (2002) | 취약자산에 과잉투자 비효율, L/e 법칙 | 보안 투자 우선순위 설득 논리 |
| Da Veiga & Eloff (2010) | 보안 문화 = 인식+행동+가치의 복합 | 문화 진단 및 변화 관리 |
| Bada et al. (2014) | 인식 캠페인은 행동 변화를 보장하지 않는다 | 효과적 보안 인식 프로그램 설계 |
| Keskin et al. (2021) | 외부 리스크 스코어링 도구 간 57~80% 편차 | C-TPRM 도구 선택 기준 및 한계 설명 |
| Ahmad et al. (2020) | ISM-IR 통합이 조직학습으로 이어진다 | 침해사고 대응 프로세스 통합 설계 |
| Shaikh & Siponen (2023) | 침해 비용 - TMT 주목도 - ISRA (부분 매개) | 경영진 주목도 조건 분석 및 개입 타이밍 설계 |
통합적 이해 :
12편을 통해 보안 컨설팅에 필요한 층위별 지식이 갖춰졌다. 개인 행동(Bulgurcu, Bada), 조직 문화(Da Veiga), 거버넌스 구조(Gashgari), 경영진 행동(Shaikh & Siponen), 리스크 투자(Gordon & Loeb), 컴플라이언스 전술(Foorthuis), 감사 효과(Slapničar), 공급망과 제3자(Ghadge, Keskin), 침해 대응과 학습(Ahmad) - 이 모든 층위가 연결될 때 클라이언트 조직을 입체적으로 진단할 수 있다.
특히 이 논문은 경영진 층위의 공백을 메운다. 거버넌스가 규범적으로 설계되어도 경영진이 실질적으로 주목하지 않으면 형식적 구조에 그친다. 주목도를 촉발하는 조건을 이해하는 것이 거버넌스 컨설팅의 출발점이다.
C. 다음 학습 방향
우선순위 1 : 프라이버시 규제 컴플라이언스 (GDPR/ISMS-P 심화)
ISMS-P 인증 컨설팅의 핵심 영역인 개인정보보호 규제 대응 메커니즘을 학술적으로 다룬 연구. Tankard (2016) 또는 유사한 GDPR 조직 대응 연구가 후보.
우선순위 2 : 보안 성숙도 모델 및 역량 측정
12편을 통해 쌓인 프레임워크들을 진단 도구로 통합하기 위한 성숙도 측정 방법론 연구. CMMI 기반 보안 성숙도 연구 또는 Brotby & Hinson 계열의 보안 측정 지표 연구가 후보.
9. 최종 결론
학술적 의의 :
ABV를 사이버보안 거버넌스 연구에 최초로 적용해, 경영진의 보안 행동을 이론화한 연구. 침해사고 이후 내부 행동에 초점을 맞춘 희소한 실증 연구로서 IS 보안 거버넌스 문헌에 새로운 이론적 경로를 개척했다.
실무적 의의 :
침해사고 이후 ISRA라는 명확한 행동 권고를 경영진 주목도라는 조건과 연결함으로써, 보안 컨설턴트가 언제, 어떻게, 누구에게 ISRA를 제안해야 하는지에 대한 구조적 논리를 제공한다.
나에게 주는 의의 :
경영진 커뮤니케이션을 기술 번역의 문제가 아닌 주목도 조건 설계의 문제로 이해하게 됐다. 이 관점의 전환이 클라이언트 경영진에게 접근하는 방식을 근본적으로 바꿔놓는다.
4일간 리뷰 완료
침해 비용이 경영진을 움직이고, 경영진의 주목이 ISRA를 만들어낸다. 이 구조를 이해한 컨설턴트는 조건을 읽고 타이밍을 잡는다.
References
[1] Shaikh, F. A., & Siponen, M. (2023). Information security risk assessments following cybersecurity breaches: The mediating role of top management attention to cybersecurity. Computers & Security, 124, Article 102974. https://doi.org/10.1016/j.cose.2022.102974
[2] Ocasio, W. (1997). Towards an attention-based view of the firm. Strategic Management Journal, 18(S1), 187-206.
[3] Ahmad, A., Desouza, K. C., Maynard, S. B., Naseer, H., & Baskerville, R. L. (2020). How integration of cyber security management and incident response enables organizational learning. Journal of the Association for Information Science and Technology, 71(8), 939-953.
[4] Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457.
[5] Webb, J., Ahmad, A., Maynard, S. B., & Shanks, G. (2014). A situation awareness model for information security risk management. Computers & Security, 44, 1-15.
[6] Hambrick, D. C., & Mason, P. A. (1984). Upper echelons: The organization as a reflection of its top managers. Academy of Management Review, 9(2), 193-206.
[7] Gashgari, G., Walters, R., & Wills, G. (2017). A proposed best-practice framework for information security governance. In Proceedings of the 2nd International Conference on Internet of Things, Big Data and Security.
[8] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548.
Tags
보안컨설팅 / SecurityConsulting / ISRA / TopManagement / ABV / CybersecurityGovernance / CybersecurityBreach / RiskAssessment / PaperReview / SKShieldusRookies