개인정보 유출의 통제가능성 인지가 정서 및 행동의지에 미치는 영향: 외부해킹과 내부유출 비교를 중심으로
초록
지금까지 경영정보나 정보보호 분야의 연구는 보안기술이나 정책 등 인간의 합리성을 중시하는 이성적 측면에 초점이 맞춰졌다. 따라서 개인정보 유출 등의 사고나 서비스 실패로 인해 고객들이 느끼는 실망감이나 배신감과 같은 정서적 측면의 연구는 합리성에 밀려 주목을 받지 못했다. 이렇다 보니 개인정보 유출 사고에 대한 기업 대응은 고객의 마음을 충족 시키지 못하고, 서비스 회복에 효과적이지 못했다. 따라서 본 연구에서는 그동안 심리학 및 마케팅 분야에서 연구된 인지 → 정서 → 의지의 이론을 개인정보 유출 상황에 적용하여 유출원인의 인지에 따른 정서적 반응과 그로 인한 행동의지의 영향관계를 규명하였다. 본 연구의 모형은 개인정보 유출사고의 사전 통제가능성 인지가 정서에 영향을 미치고 나아가 행동의지에 영향을 미친다는 것이다. 그리고 내부유출 및 외부해킹의 원인소재에 따라 이러한 영향은 달라진다는 것이다.
본 연구를 위해 개인정보 유출 경험이 있는 사람들을 대상으로 설문조사를 실시하였다. 설문조사에서는 개인정보 유출의 원인을 외부해킹과 내부유출로 구분하여 가상의 시나리오를 제시하였고, 각 시나리오에 따라 통제가능성 인지, 정서, 행동의지에 대해 응답하도록 하였다. 최종적으로 460개의 데이터가 수집되었고, 연구모형을 검증하기 위해 Smart-PLS 2.0 통계 분석도구를 이용하였다.
본 연구모형을 데이터 분석을 통해 검증한 결과는 다음과 같다. 첫째, 개인정보 유출사고에 대한 사전 통제가능성 인지 수준이 높을수록 실망감과 배신감의 정서를 더 많이 유발하고, 이렇게 유발된 정서는 경쟁사로의 서비스 전환과 부정적 구전의 행동의지를 더 높게 유발한다는 것이다. 둘째, 외부해킹에 의해 개인정보가 유출될 경우에는 통제가능성 인지로 인해 실망감이 유발되고 이것은 부정적 구전의도에 영향을 미친다는 것이다. 셋째, 내부자에 의해 개인정보가 유출될 경우에는 통제가능성 인지를 통해 배신감이 유발되고 서비스 전환 의도가 높아진다는 것이다.
본 연구의 의의는 학술적 측면과 경영관리적 측면에서 살펴볼 수 있다. 먼저, 학술적 의의는 지금까지 보안 및 개인정보 보호 관련 연구들이 인지 → 행동의지의 관계에 초점을 두어 설명하였던 것에 비해, 본 연구에서는 인지 → 정서 → 의지의 심리 이론을 개인정보 유출 상황에 적용하여 종전보다 설명력을 더 높였다는 점이다. 즉, 종전의 이성적 측면을 강조한 보안 분야의 연구에 배신감과 실망감의 정서적 측면을 추가함으로써 설명력과 행동의 예측력을 높였다는 점이다.
경영관리적 의의는 기존 연구에서 다루지 않았던 외부해킹 및 내부유출의 원인소재에 초점을 두어 차이를 규명함으로써 기업의 사고 대응책을 원인소재에 따라 차별화해야 함을 제시하였다는 점이다. 그리고 개인정보유출로 인한 고객의 부정적 행동이 외부해킹의 경우에는 실망감으로 인한 것이고, 내부유출의 경우에는 배신감에 의한 점을 규명함으로써 기업의 사후대책의 효과성을 높이는데 기여하였다는 점이다.
외부해킹에 의해 개인정보 유출 사고가 발생하면, 기업은 실망감을 낮추는데 초점을 맞출 필요가 있다. 예를 들어, 기업은 예방을 위한 각고의 노력을 해왔으나, 현실적으로 완벽한 예방은 어려운 일이고 유감스럽게도 사고가 발생했다는 식의 메시지 전달을 통해 고객의 기대를 낮추는 동시에 고객의 이해를 구할 필요가 있다. 아울러, 현재 기업에서 하고 있는 보안 활동을 명시하고, 앞으로 이를 어떻게 더 발전시킬 것인지를 보여주는, 즉, As-is와 To-be 계획에 관한 재발 방지 대책을 제시할 필요가 있다.
내부유출로 개인정보 유출 사고가 발생하면, 기업은 배신감을 낮추는데 초점을 맞출 필요가 있다. 예를 들어, 배신감을 치유하고 회복하기 위해 기업은 우선으로 겸허히 잘못을 인정하고 진정성 있는 사과를 해야 할 것이다. 또한, 시기적절하고 공정한 피해보상을 통해 공정성 회복 노력을 기울여야 할 것이다. 아울러, 기업 내부적으로는 윤리교육을 실시하고, 유출과 관련된 내부자를 엄정히 처벌하는 내적 인적 쇄신을 취할 필요가 있다.
Abstract
Until now, research on Management Information Systems and Information Security has focused on rational aspects such as security technologies and policies that emphasize human rationality. Therefore, there are almost no emotional research such as customer’s disappointment or betrayal due to personal information leakage. As a result, corporate responses to personal information leak did not satisfy customers' needs and slowed the speed of service recovery. Therefore, in this study, we applied cognition·affection·conation theory which has been studied in psychology and marketing, to personal information leakage, and found out the relationship between emotion and intention in the accident of personal information leakage. This research model is that controllability of personal information leakage affects affection and then that affection influences conation, while this effect varies depending on the source of the internal leakage and external hacking.
We surveyed people who had experience of personal information leakage. People were asked to respond the scenario of survey, on which the cause of personal information leakage was divided into external hacking and internal leakage. 460 data were collected and Smart-PLS 2.0 tool was used to verify the research model.
The results of this study are as follows. First, the higher controllability of personal information leakage, the higher disappointment and betrayal, and the higher service switching and negative word of mouth. Second, when personal information is leaked by external hacking, cognition of controllability affects disappointment, and then the disappointment affects negative word of mouth. Third, when personal information is leaked by insiders, betrayal is triggered by cognition of controllability, and conation of service switching is increased.
The contribution of this study can be seen from the academic side and the management side. As the academic contribution, this study applied the psychological theory of cognition·affection· conation to personal information leakage and explained the effect of cognition (of controllability) on affection (of disappointment and betrayal) and conation (of service switching and negative word of mouth), when personal information was leaked. As the management contribution, this study suggested that companies should respond differently according to the causes of personal information leakage. When personal information is leaked by external hacking, companies need to focus on lowering disappointment emotion. For example, it is necessary to lower the customer's expectation, to seek customer’s understanding, and to specify as-is and to-be plans. When personal information is leaked by insiders, companies need to focus on lowering betrayal emotion. For example, in order to lower and heal betrayal emotion, companies should humbly acknowledge the responsibility of this mistake first, and make a sincere apology and fair damages compensation.
Keywords:
External hacking, Internal leakage, Controllability, Disappointment, Betrayal, Word of mouth, Switching, Cognition·affection·conation키워드:
외부해킹, 내부유출, 통제가능성, 실망감, 배신감, 인지·정서·의지References
- 강용식·권순동(2016), “스마트워크 환경하의 업무성과에 영향을 미치는 요인에 관한 연구,” Journal of Information Technology Applications & Management, 23(1), 61-77.
- 개인정보보호위원회(2015), 개인정보보호 연차보고서.
- 공옥례·이형재(2009), “고객의 부정적 행동과 불만족을 유발하는 감정들의 비교연구,” 서비스경영학회지, 10(1), 271-298.
- 김대원·윤영민(2015), “SNS 에서 형성된 신뢰가 위기 시 방어막이 될 수 있는가,” 한국언론학보, 59(2), 196-225.
- 문신희(2013), 서비스 실패 상황에서 관계품질과 관계혜택이 지각된 배신감, 관계단절 행동에 미치는 영향: 공기업을 중심으로, 제주대학교 대학원 석사학위논문.
- 문신희·김정희(2014), “서비스 실패 상황에서 관계품질과 관계혜택이 배신감과 관계단절행동에 미치는 영향: 공기업을 중심으로,” 경영교육연구, 29, 158-190.
- 박도영(2000), 학구적 知·情·意와 성취도의 인과구조 분석, 한국교원대학교 대학원 박사학위논문.
- 박명호·장영혜(2014), “브랜드위기에 따른 브랜드실망감의 파급효과” 소비문화연구, 17(1), 25-47.
- 배재권(2016), “빅데이터 환경에서 개인정보유출 위협이 정보보호행위에 미치는 영향에 관한 연구,” e-비즈니스연구, 17(3), 191-208.
- 산업연구원(2014), 개인정보 보호와 빅데이터 기술의 산업화.
- 원유석(2005), “서비스 실패의 안정성, 통제성이 서비스 회복 패러독스에 미치는 영향에 관한 연구-귀인이론(attribution theory)을 중심으로,” 서비스경영학회지, 6(1), 27-55.
- 유호범·지희진·강기두(2013), “서비스 실패의 심각성과 통제성이 회복만족에 미치는 영향,” 대한경영학회지, 26(4), 829-850.
- 윤일한·권순동(2015), “정보보안 컴플라이언스와 위기대응이 정보보안 신뢰에 미치는 영향에 관한 연구,” Information System Review, 17(1) 141-169.
- 이상경·이명천(2006), “기업위기에서 기업 이미지가 사과의 수용, 책임 귀인, 반복성 판단에 미치는 영향: 삼성, 현대 자동차 CEO 위기를 중심으로,” 홍보학연구, 10(2), 197-231.
- 임규목·부경희(2015), “개인정보유출에 대한 기업의 위기 커뮤니케이션 전략이 수용자의 반응에 미치는 영향,” 홍보학연구, 19(3), 70-94.
- 장익진·최병구(2014), “위험지각과 효능감에 따른 인터넷 사용자의 개인정보 유출예방행위 분석,” 한국전자거래학회지, 19(3), 65-89.
- 최민홍 역(1986) 플라톤저, 국가론, 성창출판사.
- 한국정보보호산업협회(2015), 2015년 국내 정보보호산업 실태조사.
- Ajzen, I. and Fishbein, M.(1983), “Relevance and Availability in the Attribution Process,” In J. Jaspars, F. D. Fincham, and M. Hewstone (Eds.), Attribution Theory and Research: Conceptual Development and Social Dimensions, (63-89), London & New York: Academic.
- Bell, D. E.(1985), “Disappointment in Decision Making Under Uncertainty,” Operations Research, 33(1), 1-27. [https://doi.org/10.1287/opre.33.1.1]
- Damasio, A. R.(2000), “A Second Chance for Emotion,” in: Lane, R. D., ed., Cognitive Neuroscience of Emotion, Oxford, 12-23.
- Ellis, A.(1994), Reason and Emotion in Psychotherapy, Birch Lane Press Book.
- Falk, R. F. and Miller, N. B.(1992), A Primer for Soft Modeling, University of Akron Press.
- Feinberg, F. M., Krishna, A., and Zhang, Z. J.(2002), “Do We Care what Others Get? A Behaviorist Approach to Targeted Promotions,” Journal of Marketing Research, 39(3), 277-291. [https://doi.org/10.1509/jmkr.39.3.277.19108]
- Fishbein, M. and Ajzen, I. (1975), Belief, Attitude, Intention, and Behavior: An Introduction to Theory and Research. Reading, MA: Addison-Wesley.
- Folkes, V. S.(1984), “Consumer Reactions to Product Failure: An Attributional Approach,” Journal of Consumer Research, 10(4), 398-409. [https://doi.org/10.1086/208978]
- Folkes, V. S., Koletsky, S., and Graham, J. L.(1987), “A Field Study of Causal Inferences and Consumer Reaction: The View from the Airport,” Journal of Consumer Research, 13(4), 534-539. [https://doi.org/10.1086/209086]
- Fornell, C. and Larcker, D. F.(1981), “Evaluating Structural Equation Models with Unobservable Variables and Measurement Error,” Journal of Marketing Research, 18(1), 39-50. [https://doi.org/10.1177/002224378101800104]
- Frijda, N. H., Kuipers, P. and Ter Schure, E.(1989), “Relations among Emotion, Appraisal, and Emotional Action Readiness,” Journal of Personality and Social Psychology, 57(2), 212-228. [https://doi.org/10.1037/0022-3514.57.2.212]
- Huefner, J. and Hunt, H. K.(2000), “Consumer Retaliation as a Response to Dissatisfaction,” Journal of Consumer Satisfaction, Dissatisfaction & Complaining Behavior, 13, 61-82.
- Hess Jr, R. L.(2008), “The Impact of Firm Reputation and Failure Severity on Customers' Responses to Service Failures,” Journal of Services Marketing, 22(5), 385-398. [https://doi.org/10.1108/08876040810889157]
- Kant Immanuel(1790), Kritik der Urteilskraft(판단력 비판), Berlin und Libau.
- Koehler, J. J. and Gershoff, A. D.(2003), “Betrayal Aversion: When Agents of Protection Become Agents of Harm,” Organizational Behavior and Human Decision Processes, 90(2), 244-261. [https://doi.org/10.1016/S0749-5978(02)00518-6]
- Oliver, R. L. (1999), “Whence Consumer Loyalty?” Journal of Marketing, 63(4), 33-44. [https://doi.org/10.1177/00222429990634s105]
- Ponemon Institute(2016), Ponemon Cost of Data Breach Study: Global Analysis.
- Rosenberg, M. J. and Hovland, C.I.(1960), “Cognitive, Affective, and Behavioral Components of Attitudes,” in Rosenberg, M. J., Hovland, C. I., McGuire, W.J. (eds.), Attitude Organization and Change, Yale University Press, New Haven, 1-14.
- Symantec Corporation(2016), Internet Security Threat Report.
- Weiner, B.(1980), “The Role of Affect in Rational (attributional) Approaches to Human Motivation,” Educational Researcher, 9(7), 4-11. [https://doi.org/10.3102/0013189X009007004]
- Weiner, B.(1985), “An Attributional Theory of Achievement Motivation and Emotion,” Psychological Review, 92(4), 548-573. [https://doi.org/10.1037/0033-295X.92.4.548]
- Wetzels, M., Odekerken-Schröder, G., and Van Oppen, C.(2009), “Using PLS Path Modeling for Assessing Hierarchical Construct Models: Guidelines and Empirical Illustration,” MIS Quarterly, 177-195. [https://doi.org/10.2307/20650284]
- Zeithaml, V. A., Berry, L. L. and Parasuraman, A. (1996), “The Behavioral Consequences of Service Quality,” The Journal of Marketing, 60, 31-46. [https://doi.org/10.1177/002224299606000203]
- Zeelenberg, M. and Pieters, R.(2004), “Beyond Valence in Customer Dissatisfaction: A Review and New Findings on Behavioral Responses to Regret and Disappointment in Failed Services,” Journal of Business Research, 57(4), 445-455. [https://doi.org/10.1016/S0148-2963(02)00278-3]
• 저자 위초롱은 현재 정보보호 컨설턴트로 재직하고 있다. 충북대학교 경영학부를 졸업하고, 충북대학교 정보보호경영학과에서 석사학위를 취득하였다. 주요 관심 분야는 개인정보 유출 이후 고객의 감정과 행동반응, 개인정보 유출 상황에서 기업의 대응책 등이다.
• 저자 권순동은 현재 충북대학교 경영정보학과 교수로 재직하고 있다. 서울대학교 경영대학에서 경영정보학전공으로 박사학위를 취득하였다. 한국경영정보학회 이사, 한국경영학회 부회장, 한국정보기술응용학회 부회장을 역임하였고, 충북대학교 종합인력개발원장, 학생생활관장을 역임하였다. 주요 관심 분야는 감성(정서)이 IT활용 및 성과에 미치는 영향, 서비스 연계성의 가치, 연결되지 않을 권리 등이다.