아프리카 세렝게티 초원 주변의 원주민들은 사이버 침해(cyber infringement)나 사이버 공격(cyber attack)에 대한 위험을 느끼지 못할 것이다. 어쩌면 이들은 사이버 위험 그 자체가 무엇인지 모를 수도 있다. 그러나 태평양 연안 대도시에 거주하는 많은 사람들은 컴퓨터를 켜고 인터넷 서핑을 할 때마다 혹은 인터넷 뱅킹을 통해 예금을 이체할 때마다 사이버 공간에서 악성 컴퓨터 바이러스에 감염되지 않을까 또는 자신의 개인금융정보가 노출되지 않을까 걱정할 수도 있다. 소위 “디지털정보미디어사회”에서 생활하고 있는 사람들은 과거에는 전혀 인지하지 못했던 새로운 위협에 시달리고 있다.

지난 10년 동안 우리나라에서 개인정보유출, 명의도용, 금융전산망마비, 국가주요기관 홈페이지 변조, 언론사 내부통신망 마비 등 다양한 형태의 사이버 보안사고가 지속적으로 발생했다. 구체적으로 2003년 1월 25일 발생한 “인터넷대란”으로부터 2013년 6월 25일에 발생한 “6.25사이버테러”에 이르기까지 사이버 보안 사건의 유형과 피해는 상상을 초월한다. 예를 들어, “농협전산망마비”(2011년 4월), “SK컴즈의 3,500만명 개인정보유출”(2011년 7월), “KBS, MBC, YTN 등 주요 언론사 통신망 마비”(2013년 3월), “청와대 및 국가기관 홈페이지 변조”(2013년 6월) 등은 대표적인 대규모 사이버 보안사고라고 할 수 있다. 이러한 사이버 보안사고들은 단순히 해당 서버나 데이터 파괴에 국한되지 않고 2차 피해1)로 연결되면서 사회적 파장을 더욱 확대시키고 있다.

현재 정부가 사이버상의 역기능들을 관리하기 위해 천문학적인 예산을 책정하고 사이버침해 대응체계를 마련하고 있지만 사이버 보안사고와 이로 인한 개인정보유출 등은 끊임없이 발생하고 있다. 또한 사이버 위협은 개인에 대한 단순한 악성댓글에서부터 분산서비스거부 공격으로 인한 비즈니스 연속성 침해, 국가기간통신망 마비에서부터 국가 간 사이버 전쟁에 이르기까지 광범위한 영역에서 발생하기 때문에 신속한 해결이 요원한 실정이다. 최근 들어, IT 인프라 중심축이 스마트기기 환경과 맞물리고 통신문화가 소셜네트워크 체계로 변화하면서 온라인과 모바일 양쪽에서 해킹 및 악성코드로 인한 정보유출 피해가 발생하고 있다. 특히, 해커들의 악성코드 제작 동기가 과거와 달리 금전적인 목적이 분명하고, 특정 대상을 선정한 공격(targeted attack)형태를 띠고 있으며, 전문가 해커그룹이 조직적으로 활동하고 있어 사이버 범죄를 근절시 키기가 한층 더 어려워졌다(김지훈‧조시행, 2010).

사실, 사이버 보안 위협을 해결하기 위한 민‧관‧군 차원의 다양한 노력들 은 오래 전부터 진행되어 왔다. 그러나 대부분의 사이버 위협이나 보안 관련 해결 노력들은 주로 기술적 차원의 솔루션 개발과 제도개선 및 실태파악 차원 에서 진행되는 경향이 많았다(김정태‧이현우, 2004; 장노순‧한인택, 2013). 더욱이 사이버 위협 공격이 방어보다 앞서가는 현실 속에서 최근 이슈가 되고 있는 지능형지속공격(APT: advanced persistent threat), 파밍, 스파이웨어, 웜, DDos 공격 등은 사회공학적2)(social engineering) 공격기술과 융합되면서 어떠한 정보보호 방어기술로도 완벽히 막을 수 없는 상태에까지 이르렀다. 이러한 상황에서 가장 효과적이고 피해를 최소화시킬 수 있는 개인정보보호 방안은 개인의 정보보호인식 제고일 수 있다(한국인터넷진흥원, 2010). 디지털미디어 위험예방대책에 있어서 가장 효과적인 것은 정부의 개입보다 개인적 차원의 대응 및 인식개선 고취로 나타났다 (조항민, 2011). 사이버 보안사고의 원인이 기술적 취약성과 제도적 미흡이 문제라고 하지만 기본적으로 사이버 보안에 대한 이용자의 안일한 인식과 방임적 태도가 문제의 핵심일 수 있다(이기식, 2008). 이것을 해결하지 않고서 사이버 보안 위협문제를 완전히 극복하기란 쉽지 않다. 왜냐하면 사이버 보안 위협에 의한 피해는 초국경적이고 단시간 내에 발생하며 공격자를 탐지해내기가 매우 어렵기 때문에 국가가 모든 사안에 효과적으로 대응하기 힘들다(장노순‧한인택, 2013). 그러므로 국가적 관리와 더불어 네트워크 이용자들이 자신의 사이버 보안 취약성을 미리 파악하고 이를 개별적으로 대응하는 것이 매우 효과적일 수 있다.

우리나라 공공기관의 경우, 다양한 정보보호제품 및 서비스를 사용하여 IT 자산을 보호하는 것으로 나타났다3)(한국정보화진흥원, 2010, 233쪽 참조). 마찬가지로 개인들도 침입차단시스템까지는 아니더라도 컴퓨터 백신을 다운로드 받아 자신의 컴퓨터에 대한 악성 바이러스를 체크하는 경향이 있는 것으로 나타났다. 2012년 정보보호실태조사 (한국인터넷진흥원, 2012)에 따르면, 전체 이용자의 약 88.2%가 정보보호 제품 및 서비스를 이용하는 것으로 나타났다. 사이버 보안을 강화하기 위한 기술개발과 제도개선이 개인에 대한 사이버 위협 을 완전히 해결하는데 근본적 한계성을 가지고 있는 것이라면, 개인의 사이버 위험인식과 개인정보보호 증진행위 간의 인과관계를 파악하는 일이 무엇보다 중요하다. 즉, 개인의 IT자산 보호행위에 영향을 미치는 다양한 설명변인들을 찾고, 이를 바탕으로 우리나라 IT이용자들의 사이버 보안 예방행위 특성을 분석하여 개인정보보호 정책에 반영하는 것이 필요하다.

종합하면 네트워크화 되어 있는 디지털 기기 환경에서 사이버 보안에 대한 개인의 적극적 대응과 예방이 증가된 사이버 위협, 정보보호기술의 취약성, 그 리고 국가대응체계의 부족을 상쇄할 수 있는 효과적인 방법이라는 것이다. 이런 가정을 바탕으로 개인이 자신의 IT자산을 보호하기 위해 행하는 다양한 형 태의 개인정보보호 증진행위(예: 컴퓨터 보안장치 세팅, 바이러스 체크, 스파이웨어 제거프로그램 이용 등)에 영향을 주는 변인들의 인과관계를 분석하는 작업이 선행되어야 한다. 개인은 환경의 불확실성이 높아질 때, 위험을 지각하고 그에 맞는 적절한 행위를 하는 경향이 있다. 지각된 위험은 그 대상에 대한 관여(involvement)로부터 시작하여 보호동기(protection motivation)의 발현, 그리고 개인의 적절한 대응행위로 귀결된다.

또한 개인의 인지과정에 영향을 미치는 변인들 이외에 개인의 경제적 수준 도 사이버 위협에 대처하는 개인 행위의도에 영향을 미칠 수 있다. 인터넷 뱅킹 거래에서 거래자가 거래 과정을 통제할 수 있고, 거래 결과를 확인할 수 있을 경우, 서비스에 대한 비용지불의사가 높아지는 것으로 나타났다(이은곤‧최지은‧이호근, 2012). IT이용자는 온라인상에서 이루어지는 여러 가지 과정들에서 신뢰성을 확보할 수 있거나 이용 시스템이 보다 안전하다고 인식한다면 해당 정보보호비용을 지불할 의지가 있다는 것이다. 그러나 개인정보보호를 위한 비용지불의사와 실제 구매는 차이가 나타난다. 우리나라는 정보보호 제품 및 서비스를 이용하는 개인 IT이용자의 93%가 주로 무료 소프트웨어를 이용하는 것으로 나타났다(한국인터넷진흥원, 2012). 그렇다면 IT이용자의 개인정보보호를 위한 비용지불의사가 실질적인 개인정보보호 증진행위에 영향을 미친다고 확신하기 어렵다. 이를 위해 개인 IT이용자의 현재 정보보호 소프트웨어 보유 유무 또는 정보보호 비용 지불 유무에 따라 집단별로 구분하여 이들의 개인정보보호 증진행위의도에 어떤 요인들이 유의미한 설명력을 나타내는지 파악해 볼 필요가 있다.

따라서 본 연구는 사이버 보안 위험에 대한 개인의 관여도, 보호동기, 개인 정보보호를 위한 비용지불의사가 개인정보보호 증진을 위한 기술채택 및 지속 이용 행위의도에 어떠한 영향을 미치는지 살펴보기 위하여 먼저 각 독립변인들의 영향력을 살펴보고자 한다. 더불어 우리나라 IT이용자들의 특성에 따라 사이버 보안 관련 기술을 채택하는 집단 그리고 사이버 보안 관련 비용을 지불하지 않는 집단에서 이들 독립변인들이 어떤 유의미성을 나타내는지 살펴보고자 한다.

1)중국 해커로부터 대형 포털사이트 가입자의 개인정보를 구입한 뒤, 성인용품 사이트 홍보영업에 이용한 사건(정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반), 2011년 5월 27일.  2)수신자의 관련 정보를 미리 파악하고 쉽게 현혹할 수 있는 내용을 전달하여 수신자가 별다른의심없이 이메일의 첨부파일이나 URL 링크를 클릭하게 하는 방법.  3)우리나라 공공기관의 87.4%는 침입차단시스템을 이용하고 있고, 뒤를 이어 Anti-Virus(86.2%),보안관리시스템(61.7%)이 이용되는 것으로 나타났으며, 컴퓨터 백신 업데이트는 공공기관의 98.9%가 자동 업데이트를 하는 것으로 나타났다.

일반적으로 개인의 행위는 특정한 목표달성을 목적으로 한다. 개인은 목표 달성 과정에서 본질적으로 여러 가지 방법 중 한 가지를 선택해야만 한다. 그러나 선택의 과정에는 바람직하지 못한 결과를 초래할 불확실성이 항상 존재 하기 때문에 이러한 선택은 필수불가결하게 위험의 가능성을 수반한다. 사이버 공간에서 개인의 행위 역시 특정한 목표달성을 목적으로 하며 오프라인과 마찬가지로 행위의 목적을 이루는 과정에서 위험에 처할 가능성이 있다. 이러한 위험은 실질적인 위험 그 자체라기보다 개인이 인지하는 지각된 위험(perceived risk)이다.

2012년 우리나라 정보보호실태조사에 의하면, 개인 인터넷 이용자의 90% 이상은 정보화 역기능으로 인해 사회 전반의 피해가 심각한 것으로 인식하였다. 또한 정보화 역기능 가운데 “개인정보 및 프라이버시 침해”가 다른 역기능들에 비해 위험성이 높은 것으로 지각했으며 국내 개인 인터넷 이용자의 약 98.7%는 정보보호가 중요하다고 인식하였다(한국인터넷진흥원, 2012). 사이버 공간에서 발생할 가능성이 있는 지각된 위험에 대한 개인의 통제 여부는 향후 개인의 태도 및 미래 행위를 예측하는데 중요한 설명변인이 될 수 있다(단려니‧정철호‧박경혜, 2012). 사이버 공간에서 위험에 대한 지각은 사이버 공간에서 발생하는 거래행위에만 국한되지 않고 다양한 행위 전반에 걸쳐 공통적으로 적용될 수 있는 보편적인 현상이다(이응규, 2007)rmsep so. 사이버 공간에서 발생 할 수 있는 위험은 재정적 위험(financial risk), 심리적 위험(psychological risk), 프라이버시 위험(privacy risk)으로 구분될 수 있다(Lim, 2003). 이 중에서도 최근 개인정보유출로 인한 사회문제와 개인불안수준은 점점 증가되는 실정이다. 인터넷 거래 사용자들은 개인정보보호를 위해 사이버 보안 요구사항으로 “기밀성 (confidentiality), 인증(authentication), 무결성(integrity), 부인방지(non repudiation)”를 들고 있는데 이를 충족시키지 못할 경우 인터넷상에서 기술적 위험이 있는 것으로 인지한다(Claessens, Cock, Prennel, & Vandewalle, 2002, 이응규, 2007, 80쪽에서 재인용). 사이버 공간에서 이루어지는 수많은 행위들은 다양한 형태의 보안 위협 상황에 의해 기밀성이 해제되고, 인증서가 복제되며 특정 사이트에 대한 접근이 불가능하게 될 수 있다. 스팸메일, 사이버성희롱, 사이버명예훼손, 바이러스 및 해킹, 자료유출과 금융피해에 대한 위험 지각은 이후 개인의 사이버 보안행동에 영향을 미치는 주요 변수로 판명되었다(김명아, 2004). 이와 같은 “정보기술위협(perceived information technology threat)에 대한 지각이 높을수록 문제-중심대처(problem-focus copying)행위(예: 보안장치 설치, 바이러스 체크 등) 를 취할 가능성이 높은 것”으로 나타났다(노희옥․홍승준․유일, 2011, 209쪽). 이런점에서 해킹, 개인정보노출, 컴퓨터 바이러스 감염과 같은 사이버 위험에 대한 지각은 사이버 공간에서 개인의 목표달성을 위한 선택행위를 심각하게 위축시킬 수 있고, 이에 대한 대처를 위해 사이버 위험 회피 및 해결에 대한 개인의 관심이 높아질 수 있다.

커뮤니케이션학에서 연구자들은 특정 대상에 대한 개인의 관심을 “관여도”(involvement)로 칭하며 이 개념을 특정대상에 대한 개인의 중요성 인식 정도로 정의하였다. 관여도는 개인의 행위 결정을 좌우하는 중요한 동기부여 요인이다. 관여도는 개인의 주어진 상황에서 특정 대상에 대한 내재적 욕구, 가치, 흥미를 토대로 얼마나 근접한 관련성이 있는가와 그 대상을 지각하는 중요도 수준에 따라 정의된다(Zaichkowsky, 1985). 또한 관여도는 일차원적이 아닌 다차원적인 개념으로서 특정 대상에 대한 관여의 고저 수준뿐만 아니라 관여도의 다양한 면(예: 오락적 가치, 상징적 가치, 위험의 중요성, 실수 가능성)에 따라 개인행위를 예측할 수 있다(Laurent & Kapferer, 1985). 관여도는 구매행위(홍일유․이정민․조휘형, 2012), 투표행위(송종길․박상호, 2006) , 텔레비전 시청 행위(박소라‧황용석, 2001) , 기증행위(배현석, 2006) 등 다양한 인간의 행위에 유의미한 영향을 미치는 설명변인으로 알려져 있다. 행위의 선행변인인 관여도는 개인이 위험을 인지한 상황에서 더욱 더 민감도가 올라간다.

선행연구에 의하면, 지각된 위험과 관여도 간에 개념적 유사성이 존재하는 것으로 밝혀졌다(Dholakia, 2001). 두 변인 간의 인과관계 방향성이 상호지향적 이라는 것이다. 즉, 지각된 위험이 관여도의 설명변인으로 나타나기도 하고 반대로 결과요인으로 나타나기도 한다(홍일유‧이정민‧조휘형, 2012). 그러므로 개인은 사이버 공간에서 지각한 위험을 향후 자신의 목표달성 행위의 장애 요 소로 인지하고, 이를 해결하기 위해 위험의 원천 제거와 위험수준을 낮출 수 있도록 해당 상황이나 대상에 대한 정보 취득과 모니터링을 강화할 것으로 추 정된다. 지각된 사이버 보안 위험에 대한 개인의 관여도는 적극적인 예방행위 즉, 개인정보보호 증진을 위한 기술채택 및 지속이용 행위에 영향을 미칠 가능성이 높다.

보호동기이론(protection motivation theory)은 다양한 영역에서 다수의 연구자 들이 개인의 보호 행위의도(behavioral intention)를 기술, 설명, 및 예측하기 위해 이용하고 있는 강력한 이론틀이다(Anderson & Agarwal, 2010). 초기 보호동기이 론은 주로 건강과 사회심리학 영역에서 건강신념이론(health belief theory)을 확장하는데 사용되었다. 커뮤니케이션학 분야는 미디어에서 전달하는 질병 관련 위험 메시지(예: 광우병, 신종플루, 사스 등) 노출이 개인의 건강보호행위에 어떤 영향을 미치는지 파악하기 위한 이론적 배경으로 사용되었다(김여라, 2010; 우형진, 2007; 이민규‧김영은, 2009). 보호동기이론은 인간의 합리성을 바탕으로 하는 기대-가치(expectancy-value)이론과 인지처리이론들(cognitive processing theories)로부터 발전하여 공포소구(fear appeals)의 설명력 이해를 구체화하는데 도움을 준 이론으로 평가받고 있다(Ifinedo, 2012). 초기 공포동인모델(fear-as acquired drive model)은 인간의 태도나 행위가 단순히 외부 위협메시지에 자극 을 받아 변화가 일어난다고 보았지만 보호동기이론은 개인의 실제 보호행위의 경우 외부의 자극뿐만 아니라 개인의 심리적 요인에 의해 조절되는 것으로 설명하고 있다(박영신‧김의철, 2001).

개인이 특정 상황에서 위험에 노출되면 본능적으로 자신을 보호하기 위한 행위를 하게 되는데, 행위 이전에 개인의 심리기제 안에서 그 상황에 대한 위협평가(threat appraisal)와 대처평가(coping appraisal)를 먼저 수행하고 이를 통해 생성된 보호동기가 최종적으로 행위 변화를 이끈다는 것이다(Rogers, 1975). 보호동기이론에 의하면, 위협평가는 인지된 심각성(perceived severity)과 인지된 취약성(perceived vulnerability)으로 구성되어 있다. 인지된 심각성은 위협 상황의 유해성 크기 즉, 피해의 심각성 정도를 말하고, 인지된 취약성은 그 상황이 자신에게 미칠 잠재성 혹은 자신의 의지와 상관없이 위협에 노출될 가능성을 의 미한다. 대처평가는 반응효능감(response-efficacy)과 자기효능감(self-efficacy)으로 구성되어 있다. 반응효능감은 위협 대처수단에 대한 평가로서 제안된 대처 수단이 얼마나 손실을 방지하고 상황을 잘 통제할 수 있는가에 대한 개인의 평가를 의미하고, 자기효능감은 개인이 위협 해결을 위해 제시된 수단을 자기 스스로 적절하게 수행할 수 있는가에 대한 믿음을 의미한다. 초기 보호동기이 론에서 자기효능감은 이론적 구성요소에 속하지 않는 요인이었으나 개인의 최종 보호 행위의도에 영향을 미치는 상황은 개인의 행위의지가 독립적이고 자기 통제적이어야 한다는 조건이 전제되어야 했기 때문에 이론 수정을 통해 포함되었다(김여라, 2010; Chau & Hu, 2002; Rogers, 1983). 이처럼 외부 위험에 대한 개인의 인식은 자신에게 위협적이라고 판단되는 대상에 대한 두 가지 차원의 평가를 통해 향후 대응행위의 수준과 방향을 이끈다고 설명할 수 있다. 위험에 대한 위협평가와 대처평가는 상호간에 분리되어 이루어지는 것이 아니라 동시에 운용된다. 또한 위험대상에 대한 개인의 공포와 그 공포의 수준을 낮춰주는 대응방법 및 자기실행 믿음에 의해 결정되는 적정한 합의점이 어디에 위치하느냐에 따라 향후 개인의 행위가 어떻게 나타나는지 예측할 수 있는 것으로 보고되었다. 보호동기에 대한 연구는 이후로 꾸준히 발전하여 보호동 기의 인지적 매개과정이 보다 면밀하게 분석되었다. 즉, 특정상황에 대한 내‧ 외부 보상에서 심각성과 취약성을 차감하는 부적응적 위협평가와 반응효능감과 자기효능감에서 반응비용을 차감하는 적응적 대처평가를 통해 보호동기가 생성된다고 보았다(Floyd, Prentice-Dunn, & Rogers, 2000). 반면에, 실질적 보호동 기 측정에 있어서 보상과 비용 부분은 대상의 범주가 광범위하여 측정이 매우 어렵기 때문에 이를 제외하고 인과관계를 검증한 연구도 있다(우형진, 2007). 최근에는 보호동기 중 대처평가 과정에서 반응비용을 반응효능감과 자기효능 감에서 차감하는 것이 아니라 같은 차원으로 놓고, 정보시스템보호정책 순응 행위에 미치는 영향력을 측정한 연구도 있다(Ifinedo, 2012). 보호동기이론에서 위협평가에 관련된 부분은 나름대로 이론적 안정성을 유지하고 있으나, 대처 평가의 부분은 개인의 의지나 상황적 요인에 의해 일관된 틀이 유지되지 않은 것으로 보인다. 그러나 기본적으로 보호동기이론을 구성하는 주요 네 가지 요인들(심각성, 취약성, 반응효능감, 자기효능감)은 개인의 행위나 행위의도를 지 향하거나 억제하는 설명력을 지닌 것으로 간주되었다(Prentice-Dunn & Rogers, 1986).

보호동기이론은 사이버 보안에 대한 개인의 위험 인식과 다양한 정보보호 증진행위 간의 인과관계를 실증적으로 설명해주고 있다. 국외 연구에 의하면 개인의 보호동기 세부 구성요인들이 안티스파이웨어 채택(Chenoweth, Minch, & Gattiker, 2009), 정보시스템보안행동(Workman, Bommer, & Straub, 2009), 정보보 안행동(Johnston & Warkentin, 2010), PC사용 보안행동(Liang & Xue, 2010), 안티 표절 소프트웨어 채택(Lee, 2011), 보안정책 준수(Ifinedo, 2012) 등에 유의미한 영향을 미치는 것으로 나타났다(김종기‧김상희, 2013). 국내 연구들은 보호동 기이론의 세부 구성요인 전체 또는 이 중 일부 요인들이 온라인 거래(유일‧신정신‧이경근‧최혁라, 2008), 개인용 클라우드 서비스 이용의도(박이슬‧우형진, 2013), 프라이버시 위협과 신뢰(김종기‧김상희, 2013) 등에 미치는 영향을 분석한 바 있다.

종합하면, 사이버 보안 위협에 의해 발생할 수 있는 실질적 불편함과 혼란의 유해 정도에 대한 인식, 자신의 개인용 컴퓨터나 모바일 기기에서 개인정 보노출 및 서비스 중지가 될 가능성에 대한 인식, 개인정보보호를 위해 제시된 보안 소프트웨어 능력에 대한 평가, 그리고 자신이 개인정보보호를 위해 해당 보안 소프트웨어를 적절히 사용할 것이라는 믿음은 컴퓨터 보안장치 셋팅, 바이러스 지속 체크, 악성코드 예방 프로그램 이용이라는 개인정보보호 증진을 위한 기술채택 및 지속이용 행위에 유의미한 영향을 미칠 가능성이 높다.

기술수용모델(TAM: Technology Acceptance Model)은 주로 IT(information technology) 또는 IS(information system) 채택 및 이용에 관한 연구에서 이용자의 채택의도를 설명하는 이론적 배경으로 많이 사용되었다. 기술수용모델의 구성 요소인 인지된 유용성(perceived usefulness)이나 인지된 용이성(perceived easiness) 은 기술채택에 있어서 배제할 수 없는 매우 유의미한 변인이다(Schepers & Wetzels, 2007). 최근에는 이용자의 기술수용과정에서 기술 그 자체의 효능성 (efficacy)뿐만 아니라 기술을 이용하는 상황(context)에 근거한 인지된 즐거움 (perceived enjoyment)도 기술채택 이용자의 행위를 예측해주는 유의미한 설명변인으로 간주되고 있다(Van der Heijden, 2004). 그러나 기술수용 관련 연구들에서 해당 기술의 채택 혹은 회피의 상황에 개입할 수밖에 없는 경제적 변인 즉, 기술 채택 과정에서 필수적으로 부가되는 ‘재무비용’(financial expense)에 대한 논의는 많은 편이 아니었다. 아무리 새로운 기술이 유용하고 이전에 사용했던 기술에 비해 신기술이 용이하다고 할지라도 또한 그 기술을 사용함으로써 큰 즐거움을 누린다고 할지라도 신기술을 이용하는데 지출되는 비용이 상대적으로 많이 든다면 해당 기술의 수용 가능성은 매우 희박할 것이다.

재무비용과 기술수용 간의 인과관계를 파악한 일부 연구들에 의하면, 기술 수용에 지출되는 재무비용은 기술 수용에 있어서 준 장애요인으로 작동하며, 기술수용의도와 부적 상관관계를 맺는 것으로 간주되었다(Lawson, 2006; Lochner, 2006, Kim, Chan, & Gupta, 2007). 예를 들어, 모바일데이터서비스(MDS: mobile data service) 기술수용연구에서 MDS이용자가 인지한 이용료(perceived fee) 는 채택의도와 지속적인 사용의도에 부적 인과관계를 나타냈으며 MDS에 대한 인지된 유용성과 인지된 즐거움 요인에도 부정적 영향을 미치는 것으로 나타 났다(Kim, Choi, & Han, 2009). 스마트폰 정보보안 행위 관련 연구에서도 스마트폰 보안에 지출되는 비용이 높을수록 정보보안 행위의도가 낮아지는 결과를 보고하였다(신호영, 2013).

일반적으로 개인정보보호를 위한 다양한 사이버 보안 기술의 채택은 재무 비용의 증가를 동반한다. 2012년 우리나라 개인에 대한 정보보호실태조사(한국인터넷진흥원, 2012)에 의하면, 개인이 정보보호 제품이나 서비스를 사용하지 않는 이유 중에 “비용” 문제를 들고 있다. 물론 무료 악성코드 예방소프트웨어도 있으나 궁극적인 바이러스 제거 및 치료는 유료제로 이용되기 때문에 비용지불에 대한 이용자의 결심은 개인정보보호 증진행위를 유발하는데 매우 중요하다. 그러므로 개인정보보호 증진을 위한 비용지불의사가 높을수록 개인 정보보호 증진을 위한 기술채택 및 지속이용 행위를 할 가능성이 높다고 볼 수 있다.

인간은 합리적 계산에 따라 계획적으로 행동하며, 자신이 예상한 결과를 염두에 두고 향후 행동을 한다는 이론적 논의는 기대-가치이론(expectancy-value theory), 합리적 행동이론(theory of reasoned action), 계획행동이론(theory of planned behavior), 기술수용모델(technology acceptance model) 등을 통해서 발전해오고 있다. 이와 같은 이론적 논의에서 종속변인에 해당하는 행위(behavior)는 태도, 주 관적 규범, 인지된 행위통제, 유용성, 용이성 등에 의해 직접 영향을 받기 보다는 행위의도(behavioral intention)에 의해 매개되어 최종적인 행동변화를 이끄는 것으로 파악하고 있다(김여라, 2010; 박이슬‧우형진, 2013; 이정기‧최믿음‧박성복, 2012).

현실적으로 개인의 예상 행동을 측정하는 것은 상당히 어렵다. 연구절차상 장기연구(longitudinal study)를 수행하지 않는다면 연구대상의 실제 행동을 측정 하기란 거의 불가능에 가깝기 때문이다. 이런 이유로 많은 연구에서 실제 행동을 측정하기보다 행동을 이끄는 행위의도를 측정함으로써 연구대상의 행위 실행을 예측하고 있다. 수많은 의도-행동 관련 연구에서 두 변인 간의 인과관계가.65 이상으로 나타나 의도와 행동 사이의 시간적 차이에도 불구하고 안정적인 상관성을 갖고 있는 것으로 보고되었다(O’Keefe, 1990). 따라서 본 연구는 이용자의 기술채택(이재신‧이민영, 2006; 장병희‧김영기) 및 지속이용(우형진, 2009) 연구들에 따라 사이버 보안 위험 관여도, 개인의 보호동기, 비용지불 의사가 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도 즉, 업그레이드된 새로운 1) 방화벽(firewall), 2) 컴퓨터 바이러스 체크 프로그램, 3) 악성코 드 제거 프로그램 등을 채택하여 지속적으로 이용할 의도에 영향을 미칠 가능 성이 높을 것으로 가정하고, 이러한 기술채택 및 지속이용 행위의도는 실제 사이버 보안 관련 기술채택 및 지속이용 행위에 높은 인과관계를 맺을 것으로 추정하였다.

선행연구에 따라 개인의 사이버 보안 위험에 대한 관여도, 사이버 보안 위험 현실에 대한 위험평가와 대처평가인 보호동기, 개인정보보호를 위한 비용 지불의사는 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 영향을 미칠 것으로 가정할 수 있다. 다음의 연구가설을 통해 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 영향을 미치는 변인들의 인과관계를 살펴보고자 한다.

또한 우리나라 IT이용자의 특성은 개인정보보호를 위해 “기술을 채택하는 경향은 강하지만 관련 비용을 지불하지 않는 성향”이 있는 것으로 나타났다. 따라서 이런 특성을 바탕으로 본 연구에서 선정된 독립변인들이 어떤 영향을 미치는지 살펴보고자 한다. 구체적으로 각 독립변인들이 실제 사이버 보안 소프트웨어를 보유할 가능성과 해당 비용을 지불하지 않을 가능성에 미치는 유의미한 영향력을 검증하고자 한다.

본 연구를 위해 2013년 4월 20일부터 2주 동안 수도권 지역 4년제 대학에 재학 중인 대학생을 대상으로 편의표집에 의한 설문조사를 실시하였다. 총 477부의 자료 중 불성실하게 응답한 6부를 제외한 471부를 분석 대상으로 삼았다. 설문참여자의 성별은 남성이 187명(39.6%), 여성이 284명(60.4%)이며 18세~28세 사이의 설문참여자 평균연령은 21.1세이다. 설문참여자들은 1학년 114명(24.2%), 2학년 98명(20.8%), 3학년 175명(37.1%), 4학년 84명(17.85%)으로 분포되었으며, 이들의 하루 평균 미디어 이용시간은 TV시청(49.6분), 인터넷이용(127.3분), 스마트폰이용(273.5분)으로 나타났다. 설문참여자들은 평균 1.6개의 개인정보보호를 위한 소프트웨어를 보유하고 있는 것으로 나타났다. 설문 참여자의 8.8%는 개인정보보호 소프트웨어를 전혀 보유하지 않는 것으로 나타났다. 이는 전체 설문참여자의 91.2%가 최소 1개 이상의 개인정보보호 소프트웨어를 보유한 것이다. 설문참여자들은 개인정보보호를 위한 기술채택 및 지속이용 비용으로 월 평균 960.6원을 지불하는 것으로 나타났다. 그러나 전체 설문참여자의 91.7%는 개인정보보호 비용을 전혀 지불하지 않는 것으로 나타났다. 따라서 해당 월 평균 개인정보보호 비용은 전체 참여자의 8.3%의 재무 비용만을 반영한 것이다. 2012년 정보보호실태조사(한국인터넷진흥원, 2012)에 따르면, 우리나라 IT이용자 가운데 93%는 무료 소프트웨어를 이용하는 것으로 나타났다. 정보보호 제품이나 서비스 이용자 10명 중 9명이 인터넷 사이트나 금융기관 등에서 제공하는 무료 제품을 이용하는 것으로 조사되었다. 그러므로 본 연구에서 사용된 데이터는 비율로 볼 때, 현실을 어느 정도 반영하고 있는 것으로 판단된다.

지각된 사이버 보안 위험이 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 미치는 영향을 살펴보기 위하여 사이버 보안 위험 관여도, 보호동기, 비용지불의사, 기술채택 및 지속이용 행위의도를 측정하였다. 먼저, 초점집단(대학생 12명으로 구성)을 만들어 각 변인들에 대한 사전조사를 실시하였다. 초점집단은 사이버 보안 위험에 대한 폭넓은 논의를 통해 해당 사안에 대한 국내‧외 현황, 해결방법, 개인적 경험, 현재 이슈 등에 대해 자유롭게 토의하도록 하였다. 일주일 후, 해당 초점집단 구성원들은 본 연구의 측정대상인 각 변인들의 설문항목을 개발하기 위하여 설문문항을 자유롭게 만들도록 하였으며, 공통적으로 나타나는 문항들을 선별하여 기존 문헌들의 측정문항들과 비교하여 각색하였다. 선정된 설문항목은 신뢰도와 타당도 검사를 통해 최종적으로 도출되었다. 제시된 척도는 “전혀 아니다”=1점에서 “매우 그렇다”(5점)까지 리커트 5점 척도를 이용하였다. 요인분석(factor analysis)과 문항 간 신뢰도(Cronbach’s Alpha)측정을 통해 척도의 신뢰도를 확인하였다. 측정된 각 문항은 합산평균값으로 환산하여 SPSS 통계프로그램으로 처리되었다(<표 1>).

(1) 독립변인

① 사이버 보안 위험 관여도

사전조사에 참여한 12명의 대학생들에게 사이버 활동 중에 위험하다고 판단되는 사안이나 사이버 보안사고 경험을 이야기하게 하고, 자신이 생각하기에 현대사회에서 가장 위험하다고 느끼는 사이버 보안 문제점이 무엇인지 제시하게 하였다. 총 42개의 사이버 보안 역기능이 제시되었으며, 서로 유사한 것으로 보이는 내용과 항목 간 공통성(commonality)을 논의하여 최종적으로 6개 항목을 선정하였다. 사이버 보안 위험 내용은 “해킹,” “컴퓨터 바이러스 감염,” “개인정보노출,” “정보보안 해결책 미비,” “북한의 해킹시도,” “기업의 개인정보유출”이다. 사전조사를 바탕으로 선정된 6개 내용을 설문항목으로 개발하고 관여도 측정 의도에 맞게 각색하였다. 요인분석(varimax-component factor analysis) 결과, 1개 항목(북한의 해킹시도)을 제외하고 나머지 5문항은 하나의 차원으로 구성된 것으로 나타났다(아이겐값 3.19, 전체 변량의 63.87% 설명). 문항 간 신뢰도는 크롬바하 α=.86이고, 문항 간 합산평균값은 M=3.12(SD=.78)로 나타났다.

② 보호동기

선행연구에 따라 사이버 보안 위험에 대한 개인의 보호동기를 4개 영역(심각성, 취약성, 반응효능감, 자기효능감)으로 구성하였다. 인지된 사이버 보안 위험 심각성은 3문항으로 구성되었다. 요인분석 결과, 심각성 인식은 하나의 차원으로 구성된 것으로 나타났다(아이겐값 2.23, 전체 변량의 74.61% 설명).

문항 간 신뢰도는 크롬바하 α=.83이고, 합산평균값은 M=3.88(SD=.73)로 나타났다. 인지된 사이버 보안 위험 취약성은 3문항으로 구성되었다. 요인분석 결과, 취약성 인식은 하나의 차원으로 구성된 것으로 나타났다(아이겐값 2.35, 전체 변량의 78.35% 설명). 문항 간 신뢰도는 크롬바하 α=.86이고, 합산평균값은 M=3.81(SD=.74)로 나타났다. 인지된 사이버 보안 위험 반응효능감은 3문항으로 구성되었다. 요인분석 결과, 반응효능감 인식은 하나의 차원으로 구성된 것으로 나타났다(아이겐값 2.31, 전체 변량의 77.25% 설명). 문항 간 신뢰도는 크롬바하 α=.85이고, 합산평균값은 M=3.12(SD=.68)로 나타났다. 인지된 사이버 보안 위험 자기효능감은 3문항으로 구성되었다. 요인분석 결과, 자기효능감 인식은 하나의 차원으로 구성된 것으로 나타났다(아이겐값 2.28, 전체 변량의 76.21% 설명). 문항 간 신뢰도는 크롬바하 α=.86이고, 합산평균값은 M=3.00(SD=.90)로 나타났다.

③ 비용지불의사

사이버 보안 위험 해결을 위한 비용지불의사는 3문항으로 구성되었다. 요인 분석 결과, 비용지불의사는 하나의 차원으로 구성된 것으로 나타났다(아이겐 값 2.32, 전체 변량의 77.47% 설명). 문항 간 신뢰도는 크롬바하 α=.85이고, 합산평균값은 M=1.90(SD=.84)로 나타났다.

(2) 종속변인

① 기술채택 및 지속이용 행위의도

사이버 보안 위험을 해결하기 위한 실질적 행위는 사이버 보안 위협을 막는 기술적 방식으로 제한하였다. 우리나라 방송통신위원회와 한국인터넷진흥원은 <2012년 악성코드 제거 프로그램 실태조사>후, 개인정보보호를 위한 우수 컴퓨터 정보보호 프로그램 (바이러스 백신, 악성코드 제거 프로그램 등)을 발표했다(방송통신위원회 보도자료, 2013.1.15.). 설문에 정부에 의해 선정된 우수 정보보호 프로그램 리스트(부록 참조)를 게재하고, “새롭고 업그레이드된 정보 보호 프로그램이 있다면~”이라는 지시문 아래에 다음과 같은 내용 “컴퓨터 해킹방지장치 셋팅,” “바이러스 체크,” “악성코드 제거용 소프트웨어”에 대한 설문참여자의 채택 및 지속이용 의도를 질문하였다. 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도는 3문항으로 구성되었다. 요인분석 결과, 기술 채택 및 지속이용 행위의도는 하나의 차원으로 구성된 것으로 나타났다(아이겐값 2.23, 전체 변량의 74.58% 설명). 문항 간 신뢰도는 크롬바하 α=.83이고, 합산평균값은 M=3.21(SD=.87)로 나타났다.

지각된 사이버 보안 위험이 개인정보보호 증진의도에 미치는 영향을 살펴 보았다. 구체적으로 연구가설을 검증하기 위해 사이버 보안 위험에 대한 관여도, 보호동기(심각성, 취약성, 반응효능감, 자기효능감), 비용지불의사가 기술채택 및 지속이용 행위의도에 미치는 영향을 회귀분석(regression analysis)을 통해 분석하였다. 다중공선성(multicollinerity) 검증 결과, VIF값이 1.04~1.54로 나타나 독립변인들 간의 상관관계가 낮아 회귀분석에 문제가 없는 것으로 판단하였다.4) 회귀모형의 결정계수가 F=45.897, p <.001로 나타나 모형의 유의성이 확 보되었다. 수정된 R2 통계량에 의하면, 사이버 보안 위험에 대한 관여도, 보호 동기, 비용지불의사는 개인정보보호 증진을 위한 기술채택 및 지속이용 행위 의도에 36.8%의 설명력을 가진 것으로 나타났다(<표 2>).

연구가설 1은 지각된 사이버 보안 위험 관여도가 높을수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높아질 것으로 가정하였다. 분석결과, 사이버 보안 위험 관여도(β=.104, p < .05)는 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 유의미한 영향을 미치는 것으로 나타났다. IT기술 이용자의 사이버 보안 위험에 대한 관심이 높을수록 개인정보보호 증진을 위한 컴퓨터 보안 장치 세팅, 바이러스 체크 지속 감시, 그리고 해킹 방지를 위한 방화벽 설치 등에 유의미한 영향을 미치는 것으로 추정되어 연구 가설 1은 채택되었다.

연구가설 2는 지각된 사이버 보안 위험에 대한 보호동기(위협평가와 대처평 가)가 높을수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높아질 것으로 가정하였다. 구체적으로 먼저, 위협평가적 차원에서 지각된 심각성과 취약성이 높을수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높아질 것으로 가정하였다. 분석결과, 사이버 보안 위험에 대한 지각된 심각성(β=.114, p < .05)이 높을수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높은 것으로 나타났다. 그러나 지각된 취약성(β=.051, p > .05)은 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 유의미한 영향을 미치지 않았다. 사이버 보안 위험으로 인해 자신이 피해를 볼 가능성을 의미하는 취약성 인식은 지각된 심각성과 달리 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 유의미한 영향을 주지 않는 것으로 나타났다. 또한 대처평가적 차원에서 지각된 반응효능감과 자기효능감이 높을수 록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높아질 것으로 가정하였다. 분석결과, 사이버 보안 위험에 대한 지각된 반응효능감(β =.200, p < .001)과 자기효능감(β=.382, p < .001)이 높을수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높은 것으로 나타났다. 따라서 연구가설 2는 부분적으로 채택되었다.

연구가설 3은 지각된 사이버 보안 위험 해결을 위한 비용지불의사가 높을 수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도가 높아질 것으로 가정하였다. 분석결과, 사이버 보안 위험에 대한 비용지불의사(β=.149, p < .001)가 높을수록 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의 도가 높은 것으로 나타났다. 연구가설 3은 채택되었다.

선행연구에 따르면, 우리나라 IT 이용자들의 개인정보보호를 위한 특성이 무료 소프트웨어 보유인 것으로 나타났다. 약 90% 이상의 IT이용자들이 개인 정보보호를 위해 컴퓨터 바이러스 백신 및 관련 보안 프로그램을 자신의 IT디 바이스에 설치한 것으로 나타났으나 대부분이 무료 제품인 것으로 나타났다. 이에 본 연구는 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 영향을 미칠 것으로 가정한 사이버 보안 관여도, 보호동기(심각성, 취약성, 반응효능감, 자기효능감), 비용지불의사가 우리나라 IT이용자 특성에 따라 어떤 유의미성을 지니는지 파악하고자 하였다.

연구문제 1은 사이버 보안 위험 관여도, 보호동기, 비용지불의사 변인들이 사이버 보안 소프트웨어를 보유할 가능성에 대하여 어떤 유의미성을 나타내는지 파악하는 것이다. 이를 위해 이분형 로지스틱 회귀분석(Binary Logistic Regression Analysis)을 실행하였다(<표 3>). 사이버 보안 소프트웨어 보유 여부 (보유=1, 미보유=0)를 종속변인으로 두고, 해당 독립변인들의 인과관계를 분석하였다. 적합결과는 –2 Log 우도(likelihood)가 241.458이며 모형의 적합도 검정을 위한 Hosmer와 Lemeshow 검정 결과, x2=6.038, p >.05로 모형이 적합한 것으로 나타났다. 분류 정확도는 사이버 보안 소프트웨어 보유자들 가운데 해당 소프트웨어를 보유한 사람들을 옳게 예측한 확률은 91.7%이다. Negelkerke R2은 .102로 관련 독립변인들이 전체 종속변인의 변량 중 10.2%를 설명하고 있다. 사이버 보안 소프트웨어를 보유할 가능성에 대하여 관여도(B=.0175, Wald=.004, p >.05), 심각성(B=-.179, Wald=.390, p >.05), 반응효능감(B=.199, Wald=.497, p >.05), 비용지불의사(B=.074, Wald=.117, p >.05)는 유의하지 않는 것으로 나타났다. 반면에 취약성(B=.586, Wald=.5.331, p <.05)과 자기효능 감(B=.733, Wald=.9.899, p <.01)은 통계적으로 유의성을 보였다. 사이버 보안 위험에 대한 취약성이 1단위 증가할 때, 사이버 보안 관련 소프트웨어를 보유 할 가능성은 1.797배 증가하는 것으로 나타났다(Exp(B)=1.797). 또한 사이버 보안 위험에 대한 자기효능감이 1단위 증가할 때, 사이버 보안 관련 소프트웨어를 보유할 가능성은 2.060배 증가하는 것으로 나타났다(Exp(B)=2.060).

우리나라 IT이용자들의 특징은 사이버 보안 관련 기술을 채택하지만 대부분 무료를 선호한다는 것이다. 즉, 사이버 보안 소프트웨어 비용을 지불하지 않는 경향이 있는 것으로 드러났다. 따라서 연구문제 2는 사이버 보안 위험 관여도, 보호동기, 비용지불의사 변인들이 사이버 보안 소프트웨어 비용을 지불 하지 않을 가능성에 대하여 어떤 유의미성을 나타내는지 파악하는 것이다. 이를 위해 이분형 로지스틱 회귀분석(Binary Logistic Regression Analysis)을 실행하였다. 사이버 보안 소프트웨어 비용 지불 여부(비지불=1, 지불=0)를 종속변인으로 두고, 해당 독립변인들의 인과관계를 분석하였다(<표 4>).

적합결과는 –2 Log 우도(likelihood)가 152.570이며 모형의 적합도 검정을 위한 Hosmer와 Lemeshow 검정 결과, x2=11.905, p >.05로 모형이 적합한 것으로 나타났다. 분류 정확도는 사이버 보안 소프트웨어 비용 비지불자들 가운데 해당 소프트웨어 관련 비용을 지불하지 않는 사람들을 옳게 예측한 확률은 93.2%이다. Negelkerke R2은 .344로 관련 독립변인들이 전체 종속변인의 변량중 34.4%를 설명하고 있는 것으로 나타났다. 사이버 보안 소프트웨어 비용을 지불하지 않을 가능성에 대하여 관여도(B=.086, Wald=.073, p >.05), 취약성(B=.394, Wald=1.092, p >.05), 반응효능감(B=-.539, Wald=2.170, p >.05), 자기 효능감(B=.147, Wald=.245, p >.05)은 유의하지 않는 것으로 나타났다. 반면에 심각성(B=-1.155, Wald=7.580, p <.01)과 비용지불의사(B=-1.742, Wald=36.919, p <.001)는 통계적으로 유의성을 보였다. 사이버 보안 위험에 대한 심각성이 1단위 감소할 때, 사이버 보안 소프트웨어 비용을 지불하지 않을 가능성은 .315배 증가하는 것으로 나타났다(Exp(B)=.315). 또한 사이버 보안 위험에 대한 비용지불의사가 1단위 감소할 때, 사이버 보안 소프트웨어 비용을 지불 하지 않을 가능성은 .175배 증가하는 것으로 나타났다(Exp(B)=.175).

4)VIF가 10이상일 경우, 독립변인 간의 상관관계가 존재한다.

본 연구의 목적은 사이버 보안 위험에 대한 개인의 관여도, 보호동기, 그리고 사이버 보안 위험 해결을 위한 비용지불의사가 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 미치는 영향을 살피는 것이다. 연구결과에 의하면 개인의 관여도, 보호동기 가운데 인지된 심각성, 반응효능감, 자기효능감, 그리고 사이버 보안 위험 해결을 위한 비용지불의사는 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 유의미한 정적 영향을 미치는 것으로 나타났다. 그러나 사이버 보안 위험에 대한 인지된 취약성은 개인정보보호 증진을 위한 기술채택 및 지속이용 행위의도에 유의미한 영향력을 나타내지 않았다.

선행연구 결과, 우리나라 IT이용자들의 약 90%는 사이버 보안 위험 해결을 위해 무료 소프트웨어를 이용하는 것으로 나타났다. 따라서 사이버 보안 위험에 대한 관여도, 보호동기 그리고 비용지불의사가 우리나라 IT이용자들의 사이버 보안 위험 해결 특성, 즉 사이버 보안 소프트웨어를 보유하나 무료 소프트웨어를 채택하고 있는 점을 고려한 분석을 실시하였다. 구체적으로 본 연구에서 선정된 독립변인들 중, 어떤 변인들이 사이버 보안 소프트웨어 보유 경향에 영향을 미치고, 어떤 변인들이 사이버 보안 소프트웨어 비용 비지불 경 향에 영향을 미치는지 살펴보았다. 먼저 해당 독립변인들이 사이버 보안 소프트웨어를 채택하게 할 가능성에 대한 분석에서 인지된 취약성과 자기효능감이 높을수록 사이버 보안 소프트웨어를 보유할 가능성이 더 높은 것으로 확인되었다. 반면에 사이버 보안 소프트웨어 비용을 지불하지 않을 가능성에 대한 분석에서는 인지된 심각성과 비용지불의사가 낮을수록 사이버 보안 소프트웨어 비용을 지불하지 않을 가능성이 더 높은 것으로 나타났다.

연구결과에서 흥미로운 점은 사이버 보안 위험 해결을 위한 기술채택 및 지속이용(방화벽 설치, 컴퓨터 바이러스 백신 설치, 악성코드 제거 프로그램 설치 등) 행위의도를 예측해주는 변인과 실제 사이버 보안 소프트웨어 보유 경향을 예측하는 변인이 일치하지 않는다는 것이다. 일반적 수준에서 미래에 개인정보보호 증진을 위해 새롭게 업그레이드된 사이버 보안 기술을 채택하고 지속적으로 이용할 것이라는 의도는 다양한 변인들에 의해 영향을 받지만 실제 사이버 보안 소프트웨어 보유에는 오직 인지된 취약성과 자기효능감 변인만 영향을 미치는 것으로 나타났다. 보호동기이론에서 인지된 취약성과 자기 효능감은 자신에 대한 심리적 평가에 속한다. 인지된 심각성이나 반응효능감은 자신 이외의 타 영역에 대한 위협 및 대처 평가이다. 결국 사이버 보안 위험에 대한 개인의 실질적 대처는 자신에게 피해가 올 가능성의 수준과 자신이 그 위험을 적절하게 대처할 수 있다는 자기 자신에 대한 믿음 정도에 따라 실질적 행위를 수행한다고 할 수 있다. 즉, 사이버 보안 소프트웨어의 보유 여부는 철저히 개인적 영역에 대한 평가와 판단에 따라 이루어진다고 추정할 수 있다.

또 다른 흥미로운 점은 사이버 보안 소프트웨어 비용을 지불하지 않을 가능성 예측 변인들이다. 사이버 보안 관련 비용을 지불하지 않는다는 것은 IT이용 자가 사이버 보안 위험에 대한 낮은 관여도를 가지고 있거나 사이버 보안 문제 해결에 있어 해당 소프트웨어들의 능력이 부족하다는 낮은 수준의 반응효 능감이 유의미한 예측변인이 되어야 한다. 그러나 분석결과는 이와 달리 낮은 수준의 인지된 심각성과 비용지불의사가 유의미한 변인으로 확인되었다는 것이다. 사이버 보안 소프트웨어 비용지불의사가 낮기 때문에 비용을 지불하지 않는다는 결과는 너무나 당연한 것이다. 그러나 사이버 보안 위험의 심각성이 낮기 때문에 사이버 보안 소프트웨어 비용을 지불하지 않을 가능성이 높다는 것은 우리나라의 경우 잘 연결이 되지 않는 부분이다. 이는 역으로 사이버 보 안 위험에 대한 심각성이 높다면 사이버 보안 소프트웨어 비용을 지불할 가능성이 높다는 것을 의미하기 때문이다. 다수의 정보보호실태조사에서 우리나라 개인 인터넷 이용자의 90% 이상이 정보화 역기능으로 인한 사회 전반의 피해가 심각하다고 생각하는 것으로 조사되었다. 특히, 정보화 역기능 가운데 “개 인정보/프라이버시” 침해와 “불법 스팸”의 피해가 심각하다는 의견이 다른 정보화 역기능에 비해 상대적으로 높게 나타났다. 그러나 우리나라 IT이용자들 의 90% 이상은 무료 소프트웨어를 보유하고 있는 것으로 나타났고, 본 연구대 상자들도 약 90%정도가 사이버 보안 위험 해결을 위해 보안 프로그램 비용을 지불하지 않는 것으로 나타났다. 즉, 사이버 보안 위험의 심각성을 높게 인지 하는 개인 IT이용자들도 실제로는 비용을 지불하지 않는다는 것이다. 이러한 현상은 무료 보안 소프트웨어의 수준이 유료 보안 소프트웨어와 문제해결능력 에 있어 큰 차이가 없기 때문이거나, 개인이 사이버 보안 위험의 심각성을 겉으로 표현하는 것과 실제 자신이 피부로 느끼는 수준 간에 차이가 있다는 것 을 방증한다. 다시 말해서 개인이 비용을 지불하면서까지 사이버 보안 위험성 을 제거해야 한다는 것은 자신의 영역뿐만 아니라 사회 전체 혹은 국가적 차원에서 사이버 보안 위험 피해 심각도가 높다는 것이고 그만큼 위험 해결을 위한 조치가 시급하다는 것을 의미한다. 그러나 우리나라 IT이용자들은 사이버 보안 위험의 심각성은 높다고 인식하면서도 실질적인 사이버 보안 관련 비용은 거의 지불하지 않음으로써 이들이 평가하는 사이버 보안 위험의 심각성과 비용 지불 간의 상관관계는 이중적 의미를 가지고 있는 것으로 보인다.

이에 대한 해석은 다음과 같이 추정할 수 있다. 사이버 보안 위험에 대한 정 보는 주로 주변지인들(32.0%)과 미디어(29.5%)에 의해서 수집되어지는 것으로 나타났다. 또한 사이버 보안 관련 위험 정보 수집의 어려움은 과다한 정보량 (34.1%)과 정보보호 관련 전문용어 이해의 어려움(29.6%)이 있는 것으로 나타났다(한국인터넷진흥원, 2012). 즉, 개인이 사이버 보안 위험 대처에 대한 합리적 결정의 바탕이 되는 관련 정보 수집 경로가 직접적인 경험이 아닌 타인 정보나 매체정보를 통해 간접적으로 인지하고 있고, 그 정보에 대한 이해도가 상대적으로 낮기 때문에 사이버 보안 위험 심각성에 대한 정확도가 떨어질 수 있다. 미디어가 보도하는 위험메시지는 실제보다 과장되게 표현될 가능성이 있기 때문에 사이버 보안에 대한 심각성은 높게 인지될 수 있지만 실제 개인이 경험하는 사이버 보안 관련 문제점은 노출될 가능성이 낮아 사이버 보안 심각성 인식은 높으나 실제 대처하기 위한 행위, 특히 비용지불행위는 매우 저조할 수 있다.

또 다른 해석은 사이버 보안 소프트웨어가 일종의 사이버 보안 관련 문제의 주체가 될 수 있다는 인식이다. 우리나라 소비자보호원에 접수된 스파이웨어 제거 프로그램 실태조사 결과, 보안 프로그램의 자동결제 연장 및 본인 동의 없는 결제 피해, 중도해지 불가, 절차문의의 어려움, 본인동의 없는 프로그램 설치 등 사이버 보안 문제 해결 소프트웨어를 설치하는 과정 및 운영에 있어서 발생하는 금전적 손해나 개인정보노출의 문제점들 때문에 IT이용자들이 사이버 보안 소프트웨어에 대한 비용지불을 주저할 수 있다(정보통신부 보도자료, 2007. 1. 31). 또한 디지털콘텐츠 이용피해현황 및 경제적 피해규모 조사분석(한국콘텐츠진흥원, 2012)에서도 스파이웨어 검색 및 바이러스 치료 프로그램으로 인한 피해가 상위권을 차지하고 있는 것으로 나타났다. 더불어 다양한 고성능 스파이웨어 제거 프로그램들이 각종 포털사이트를 통해 무료로 제공되고 있기 때문에 우리나라 IT이용자들은 사이버 보안 관련 소프트웨어 비용지 불에 적극적이지 않을 수도 있다. 따라서 사이버 보안 위험에 대한 심각성과 실제 비용지불 간의 관계를 해석할 때, 주의를 기울여야 한다.

개인은 사이버 보안 위험 노출 시, 이에 대한 대응을 위해 가장 효과적인 선택을 할 것이다. 실질적 위험을 무시하거나 아니면 적극적 대처를 통해 위험 노출로 인해 발생하는 불확실성을 제거함으로써 심리적 긴장을 완화하고 실질 적 피해를 예방하려 노력할 것이다. 개인은 이러한 선택상황에서 합리성을 바탕으로 자신이 생각하는 혜택과 비용을 비교하여 가장 효율적인 방향으로 결정하는 경향이 있다(김상훈‧박선영, 2011). 이런 점에서 우리나라 사이버 보안 예방 행위와 관련된 사안들은 개인 IT이용자들의 사이버 보안 위험에 대한 관심, 심리적 위험 및 대처 평가 그리고 경제적 요인들이 서로 영향을 미치면서 매우 독특하게 구현되어 있다. 따라서 우리나라 개인정보보호 정책은 연구되 어진 이론적 논의들이 관련 현상을 충분히 기술, 설명, 예측하지 못하기 때문에 사이버 보안 관련 인식 및 실태조사 결과들과 비교하며 현실을 반영한 분 석을 통해 설정되어야 할 것이다.

최근 우리나라에서 일련의 사이버 보안사고들이 발생하면서 사이버 보안을 책임지는 국가기관들이 앞 다투어 다양한 정보보안 캠페인을 추진하고 있다. 캠페인 내용의 대부분은 개인정보보호를 위한 수칙 홍보이다(보안뉴스, 2014.5.19.). 그러나 개인정보보호를 위한 실질적인 대처행위는 단순히 수칙을 이해하는데 머물러서는 안된다. 결국, 대부분의 개인 IT이용자들은 사이버 보안 관련 무료 소프트웨어를 보유하고 있기 때문에 자신들은 나름대로 사이버 보안 소프트웨어 업데이트를 통해 개인정보보호를 잘 하고 있다고 믿고 있을 수도 있다. 그러므로 사이버 보안을 책임지는 국가기관의 실무진들은 단순 개 인정보보호 캠페인뿐만 아니라 특정 바이러스나 악성 소프트웨어로 인한 피해 발생 시, 또는 다양한 종류의 사이버 보안 사고 예방을 위해 개인이 국가기관 에 어떤 절차를 거쳐 신고해야 하고, 어떤 유/무료 백신 프로그램을 사용해야 신속하게 복구되는지 구체적인 과정과 방법을 교육하는 것이 더 필요할 것으 로 보인다. 이 때 사이버 보안 피해 상황에 따라 혹은 피해 대상자들의 특성에 따라 적절하게 사이버 보안 피해에 대해 관계되는 개인의 취약성과 사태의 심 각성을 자극하는 새로운 콘텐츠 전달 전략을 만들어야 해당 캠페인의 효과가 더욱 극대화될 것으로 판단된다.

본 연구는 다음과 같은 한계점을 가지고 있다. 첫째, 연구대상이 대학생을 대상으로만 했다는 것이다. IT 주 이용자층이 젊은 세대라고 하지만 연구결과를 일반화할 때 주의해야 한다. 둘째, 사이버 보안 소프트웨어에 대한 유용성이나 용이성 등 제품의 품질이 미치는 영향력을 제외하고 개인 IT이용자들의 심리적 기제와 경제적 요인만 고려한 점이 있다. 셋째, 사이버 보안 위험 관여 도는 다원적 개념이다. 본 연구에서는 사이버 보안 위험에 대한 관심 정도만 측정함으로써, 관여도상의 다층적 차원들이 빠진 것은 연구의 한계라고 할 수 있다.

차후의 연구들은 설문조사가 아닌 다른 연구방법에 의해 진행될 필요가 있다. 개인정보보호 교육(예: 윈도우XP 업데이트 중지 교육)을 받은 집단과 그렇지 않은 집단 간의 차이를 실험연구를 통해 도출해낼 수 있다면 보다 실무적인 차원에서 개인정보보호에 대한 교육 수준과 방향을 정할 수 있을 것이다. 더불어 개인정보보호 행위의도를 확장하여 측정할 필요가 있다. 우리나라 개인정보보호위원회는 사이버상의 개인정보 오남용을 방지하기 위해 10가지 수칙5)을 정해놓고 있다. 후속 연구들은 개인정보보호를 위한 사이버 보안 프로그램 채택 및 지속이용 행위의도 이외에 다양한 개인정보보호 실행방법을 측정함으로써 개인정보보호를 위한 풍부한 솔루션을 제공해야 할 것이다.

5)개인정보처리방침 및 이용약관 꼼꼼히 챙기기, 비밀번호는 문자와 숫자로 8자리 이상, 비밀번호 주기적으로 변경, 회원가입은 주민번호대신 I-PIN사용, 명의도용확인 서비스 이용하여 가입 정보 확인하기, 개인정보 친구에게 알려주지 않기, P2P공유폴더에 개인정보 저장하지 않기, 금융거래는 PC방에서 하지 않기, 출처가 불명확한 자료는 다운로드 금지, 개인정보 침해신고 적극 활용하기