대학 내 연구환경에서 연구보안준수의도에 영향을 미치는 연구자의 행동적 요인 분석 -연구보안과 정보보호의 비교를 중심으로-

Analysis of Behavioral Factors Affecting Researchers' Intention to Comply with Research Security in University Research Environments -Focused on the Comparison of Research Security and Information Protection-

Abstract

최근 대학 내 연구환경에서 연구산출물 유출 사건이 증가함에 따라 연구보안에 대한 중요성과 내부 위협에 대한 인식 강화의 필요성이 부각되고 있다. 본 연구는 대학 내 연구자들의 연구보안준수의도에 영향을 미치는 위험인식, 자기통제력, 조직결속력의 상관관계와 인과관계를 분석하기 위해 혼합 연구 방법론을 채택하여 연구를 진행하였다. 첫째, 양적 연구에서 A 대학교 공학계열 연구자 103명을 대상으로 한 설문조사와 다중회귀분석을 진행한 결과, 조직결속력은 긍정적인 영향을 미쳤으나, 자기통제력은 부정적인 영향을 미쳤고, 위험인식은 유의한 영향을 미치지 않았다. 둘째, 질적 연구에서는 표적집단면접법을 활용하여 기각된 가설에 대한 인터뷰를 진행하였으며, 그 결과 보안 피로감, 자율성 중시, 보안 규칙 경시 등이 기각의 주요 원인으로 도출되었다. 최종적으로 본 연구의 결과는 기존 정보보호와 차별되는 학문적 및 실무적 함의를 제공하며, 특히 조직결속력을 강화하고 대학 내 연구자의 자율성을 유지하는 효과적인 연구보안 문화 구축의 필요성을 시사하였다.

With the rise in research output leakage in universities, the need for enhanced research security and internal threat awareness has become critical. This research analyzes the relationships and causal effects of risk perception, self-control, and organizational commitment on researchers' intentions to comply with research security policies using a mixed-methods approach. A survey of 103 engineering researchers at University A, followed by multiple regression analysis, found that organizational commitment positively influenced compliance intentions, while self-control had a negative effect, and risk perception was not significant. Focus group interviews revealed security fatigue, autonomy emphasis, and rule disregard as key factors. The research highlights the importance of reinforcing organizational commitment while respecting researcher autonomy to build an effective research security culture.

1. 서론

최근 미(美)-중(中)의 기술패권 경쟁 흐름과 더불어, 국내 연구개발(Research and Development, R&D) 수준이 추격기술에서 선도기술로 혁신되고, 정부출연연구기관과 대학 내 연구데이터 유출 사건이 빈번해지며 연구보안에 대한 중요성이 부각되고 있다.

미국의 하버드 대학교(Harvard University)에서는 중국의 천인계획(千人計劃)에 참여한 연구자가 나노기술 기밀데이터를 유출하여 미국의 과학기술 우위를 위협하고 수백만 달러의 손실을 초래했으며, 동시에 미시간 대학교(University of Michigan)에서는 사이버 공격으로 약 23만 명의 학생, 교직원, 연구 참가자의 개인정보가 유출된 바 있다. 더불어 2023년 우리나라의 경우 중국 국적의 연구자가 6,000억 원 상당의 의료 로봇 기술을 유출한 사건이 발생하였다. 이러한 사건들은 연구의 신뢰성을 훼손하고 심각한 경제적 손실을 초래하며, 최종적으로 연구자들의 보안준수의도 형성의 필요성이 더욱 강조되고 있다[1].

이처럼 대학 내 연구환경에서 연구보안의 중요성은 날로 커지고 있으며, 연구산출물의 가치를 보호하기 위해 연구데이터의 기밀성, 무결성, 가용성을 확보하는 것이 현대 사회에서 필수 요소로 자리 잡게 되었다. 과거 연구 자료에 대한 보안은 주로 물리적 보안에 초점을 맞추어, 대부분 종이 문서나 물리적 매체에 저장되었으나, 이를 보호하기 위해 잠금장치가 강화된 실험실, 연구소 내 출입 통제 등의 방법으로 발전하였다. 더불어 디지털화와 글로벌화가 진행됨에 따라 연구데이터는 디지털 형태로 저장되고, 클라우드 컴퓨팅, 빅데이터 분석, 인공지능 등의 기술적 혁신으로부터 데이터의 양과 접근성이 크게 증대되면서, 연구보안은 물리적 보안을 넘어 사이버 보안까지 아우르는 통합적인 접근 방식이 요구되고 있는 상황이다.

이러한 배경 속, 선행연구에서 주로 사이버 보안, 정보보호 등 ‘외부 위협’과 기술적 해결책에 한정하여 초점을 맞추어 진행하였던 접근 가능한 범위적 한계를 보완하고, 본 논문은 ‘내부 위협’을 인식하고 억제하기 위한 행동적 요인을 통합적으로 분석하여 새로운 시사점을 제시하고자 한다. 또한, 사이버 보안 및 정보보호 등에 초점을 둔 선행연구에서 연구자들의 보안 준수 행동에 영향을 미치는 행동적 요인에 대한 접근과 인식이 미흡하다는 것을 보여주고 있는 점에서, 인적요소 중심의 내부적 관점에서 연구를 진행하는 것은 매우 중요하다.

종합적으로, 본 연구는 대학 내 연구환경에서 연구 보안준수의도에 미치는 연구자의 행동적 요인에 대한 영향력을 혼합 연구 방법론(Mixed Methodology)을 통해 검증하고, 이 과정에서 정보보호의 비교를 중심으로 전개하는 통합적 분석을 수행하고자 한다.

이를 통해, 학문적 측면에서는 보안 준수 행동에 대한 이론적 이해의 확장으로, 기존 연구들이 주로 외부 위협에 집중한 것과 달리 내부 위협과 관련된 행동적 요인들을 분석함으로써 보안 준수 행동의 복합성을 보다 심층적으로 이해할 수 있는 기회를 제공할 수 있으며, 위험인식, 자기통제력, 조직결속력 등의 요인이 보안 준수 의도에 미치는 영향을 정량적으로 분석하여 이론적 모델을 발전시키는 기반을 마련하는데 기여할 것이다.

실무적 측면에서는 내부 보안 정책 및 프로그램 개발에 대한 실질적인 지침을 제공하는 것으로, 연구 결과를 바탕으로 조직의 보안 정책 설계와 행동적 요인 분석을 통해 보안 준수 행동을 촉진시키기 위한 맞춤형 교육 프로그램이나 캠페인을 기획할 수 있게 될 것이다. 특히, 행동적 요인의 차별화된 기여점은 인적요소의 중요성을 부각시켜 기술적 해결책만으로는 내부 보안 준수를 강화할 수 없음을 인식하고, 이를 통해 연구자들은 보안 준수 행동을 강화할 수 있는 구체적인 전략을 개발할 수 있을 것으로 기대된다.

2. 이론적 배경

2.1 연구보안관리의 정의와 배경

2.1.1 연구보안(Research Security)

연구보안(Research Security)은 ‘어떤 일이나 사물에 대하여 깊이 있게 조사하고 생각하여 진리를 탐색’하는 연구와, ‘안전을 유지’하는 보안의 의미가 결합된 개념으로 정의할 수 있다[2, 3].

관계 법령에 근거한다면, 우리나라의 ｢국가연구개발혁신법｣과 ｢과학기술기본법｣에서는 연구보안을 각각 “국가연구개발사업 및 과제와 관련하여 연구개발성과 등 중요 정보가 유출되지 아니하도록 보안대책을 수립 및 시행하는 것” 그리고 “연구개발과정을 거쳐 산출된 가치 있는 성과를 보호하는 것”으로 정의하고 있다[4, 5]. 다시 말해, 연구보안은 연구를 수행하는 연구기관 및 연구자가 연구 준비 단계부터 수행 과정과 종료 이후 도출한 연구개발 산출물이 무단으로 유출되지 않도록 방지하기 위한 모든 활동이라고 할 수 있다.

이러한 연구보안은 정보보호와 구별되는 고유한 특성을 가지고 있다. 정보보호 활동은 “인가되지 않은 접근, 사용, 폭로, 붕괴, 수정, 파괴로부터 정보와 그 시스템을 보호하고 기밀성, 무결성, 가용성을 제공”하는 등 정보의 무단 접근을 방지하고, 이를 안전하게 보호하기 위해 엄격한 통제(Restriction) 조치를 취한다. 즉, 연구보안 관점에서 본 정보보호의 핵심은 최종 산출물(output)을 외부 위협으로부터 안전하게 보호(End Product Security)하는 데 있다[6, 7].

반면, 연구보안은 최종 결과물의 보호를 넘어, 연구 개발, 기획과 수행 과정에서 생산되는 모든 연구자료 등을 아우르는 입체적인 보안 활동을 의미한다. 이는 연구의 시작부터 종료까지, 즉 데이터 수집, 분석, 중간 결과물 생성, 연구 기록 보관 등 모든 단계에서 안전과 보호를 존속하는 과정의 보안(Process Security)을 강조한다.

이러한 연구보안의 특성은 연구자들이 연구 활동에 집중할 수 있도록 지원하며, 연구 과정 전반에 걸쳐 발생할 수 있는 보안 위협을 사전에 차단하여 연구자가 안전하게 연구를 진행할 수 있도록 함으로써 연구 결과의 신뢰성을 보장하는 중요한 역할을 한다(Process Security). 결과적으로, 연구보안은 연구의 신뢰성과 질(Quality)을 높이는 데 기여한다[8].

특히 정보보호와 비교하였을 때, 연구보안은 ‘한정된 개방(Confined Openness)’의 특징을 내재하고 있다고 볼 수 있다. 이는 연구 결과나 데이터를 완전히 공개하지 않으면서도 일정 범위 내에서 우선순위를 매겨 공유를 허용하는 것을 의미한다. 즉, 연구의 안전성과 보안을 유지하면서도 연구성과를 활용하여 더 많은 발전을 이루기 위한 접근 방식임을 증명한다[9].

관련하여 최근 연구보안의 동향을 살펴보면, 연구개발과제 및 정보를 크게 3개의 등급과 1등급(비밀, 중요), 2등급(중요, 민감), 3등급(공개) 정보로 나누어 관리하고 있다. 특히, 정보의 보호와 개방을 조절하는 ‘등급분류체계 설계(Design of a Grade classification)’ 연구가 활발히 이루어지고 있으며, 연구정보공유의 효율성과 안전성을 동시에 확보하기 위해 주력하는 것을 확인할 수 있다[10, 11].

<표 1> 연구보안과 정보보호의 비교

2.2 대학 내 연구산출물

2.2.1 대학 내 연구산출물의 정의

연구산출물이란, 연구를 수행하는 과정에서 생성되는 계획, 계약, 보고, 중간 및 최종 결과물, 소스코드 등에 관련된 연구문서 또는 유형물로 정의된다[12].

특히 대학에서 생성되는 연구산출물은 연구 과정에서 생성된 다양한 형태의 지식재산(Intellectual Property)을 포함하며, 논문, 특허, 연구보고서를 총칭하는 연구개발계획 및 결과보고서, 소프트웨어, 데이터 셋, 설계 등으로 나타날 수 있다. 이러한 연구산출물은 학문적 성과뿐만 아니라 실질적인 산업적 및 경제적 가치를 내재하고 있어 보안이 중요하게 여겨진다.

<표 2> 대학 내 연구산출물의 정의

2.3 연구환경에서 인간의 행동적 요인

행동(Behavior)은 특정 환경에서 유기체가 나타내는 관찰 가능하고 측정가능한 반응(Response)이나 활동을 의미한다[13]. 이는 생리적, 심리적, 사회적 요인에 의해 결정되며, 개인이나 집단이 특정 상황에서 어떻게 반응하는지를 설명한다. 이처럼 행동은 내·외부 자극(Stimulus)에 대한 반응으로 나타나며, 이 과정에서 개인의 인지, 감정, 의지 등이 종합적으로 작용하게 된다. 따라서 대학 내 연구자의 행동적 요인이 궁극적으로 보안준수의도와 깊은 연관성을 지닐 수 있음을 시사한다.

이에 따라, 연구자들이 보안 규정을 준수하는 것은 연구 성과의 안전을 보장하기 위한 필수적인 요소로, 선행연구를 통해 연구의 신뢰성과 지속가능성을 확보하는 데 연관성을 확인할 수 있다. 이를 통해, 이론적 모델 발전과 함께 보안 관리 정책을 개선하고 효과적인 교육 프로그램을 개발하는 데 기여할 수 있을 것이다.

본 연구에서는 보안 준수 의도를 측정하는 방법으로 위험인식, 자기통제력, 조직결속력의 행동적 요인에 초점을 맞추어 연구를 수행하였다.

2.3.1 위험인식(Risk Perception)

위험인식(Risk Perception)은 개인이 특정 상황에서 위험을 얼마나 인식하고 있는지를 나타낸다[14]. 특히, 개인이 주관적으로 인식하는 위험의 정도로써 개인의 경험, 지식, 가치관에 따라 달라질 수 있으며, 이러한 인식(Perception)은 행동과 결정에 밀접한 연관이 있으며 행동 의사결정에 직접적인 영향을 미친다. 또한, 단순한 ‘태도(Attitude)’를 넘어 최종적으로 보안 관련 행동의 기저에 자리 잡아 발현되는 판단적 결과인 ‘의도(Intention)’에 영향을 미치게 된다[15].

이에 대해, Rundmo, T.(1996)에서는 위험인식이 안전한 행동과 밀접하게 관련되어 있다고 주장하였으며[16], 개인이 위험을 인식할 때 더 안전한 행동을 취할 가능성이 높다는 연구 결과를 제시한 점으로부터 본 개념을 뒷받침한다.

2.3.2 자기통제력(Self-Control)

자기통제력(Self-Control)은 즉각적인 만족감과 즐거움에 충족하기보다는 향후 더 나은 목표 달성을 위해 미래지향적인 관점에서 현재의 충동과 욕망을 조절하는 행위를 의미한다[17]. 이때 ‘통제’는 ‘자제’로 지칭 가능함으로써 절제의 의미로도 접근되어 개인의 인지와 정서, 행동을 조절할 수 있는 능력의 의미로 작용하게 된다.

Gottfredson, M. R. and Hirschi(1990)의 범죄일반이론(A General Theory of Crime)에서 다루어진 ‘자기통제력’은 해당 개념이 범죄 및 일탈 행동을 설명하는 중요한 요인으로 제시된 바 있다[18]. 즉, 자기통제력은 즉각적인 만족을 지연시키고 장기적인 목표를 추가하는 능력을 의미하는 점에서 이를 강조한다[19].

이를 통해 연구자들이 보안 규정을 준수하기 위해 필요한 자기 관리를 촉진하며[20], 즉각적인 유혹을 이겨내고 장기적인 보안을 유지하는 데 필수적으로 작용한다는 것으로 본 개념을 뒷받침한다.

2.3.3 조직결속력(Organizational Commitment)

조직결속력을 정의하는 것에 앞서, 조직애착도 또는 조직몰입도로 지칭되는 용어의 통일이 필요하다. 이와 관련하여 선행연구에서는 ‘Commitment’라는 영문 용어를 공통적으로 사용하지만, 이를 표기하는 바가 상이하여 본 연구에서도 연구의 특성에 맞게 용어를 재정립하고자 한다.

황현동, 이창무(2016)에서는 ‘조직애착도’를 ‘개인이 조직의 목표 및 가치와 일체감을 형성함으로써 이러한 목표와 가치의 실현을 위해 노력하는 과정’이라고 설명한다[21]. 근본적으로 ‘애착(Attachment)’이란 발달심리학 분야에서 사용하는 개념으로, 아동과 음식 그리고 이를 제공하는 양육자와의 신뢰적 관계를 구축하는 것을 중심으로, 인간이 환경에 적응하고 즐겁게 살아갈 수 있는 안전 기저(Secure base) 경험의 중요성을 인식할 수 있도록 하는 것이 목표임을 강조한다[22-24].

황지원, 김재연, 주윤창(2019)에서는 ‘조직몰입도’로 용어를 정리하였는데, 이는 개인으로서 조직 구성원이 조직에 소속되어 업무를 이어나가려는 노력과 계속하여 소속되고자 하는 의지를 반영한다[25]. 주목해야 할점은 ‘몰입’이라는 용어를 사용했다는 것인데, 이는 Csikszentmihalyi, M.(1990)가 주창한 몰입이론에서 언급되는 개념 중 하나인 사회적 몰입(Social flow)과 결부된다[26]. 따라서 해당 연구에서 시사하는 몰입이란 개인의 욕망을 배제하고 사회 구성원으로서의 역할에 집중한다는 뜻으로 풀이된다[27].

개인과 조직 간의 연결감 획득에 대한 욕구를 전제로, 집단에 소속되고자 하는 구성원의 ‘구심력’을 효과적으로 설명하기 위해 본 연구에서는 해당 용어의 개념을 보다 상호적인 관점에서 접근한 ‘조직결속력(Organizational Commitment)’으로 지칭하고자 한다.

이에 따라, 조직결속력(Organizational Commitment)은 개인이 조직에 대한 소속감을 느끼고 그 목표를 달성하기 위해 노력하는 정도를 나타낸다. 연구자가 조직의 목표와 가치를 이해하고 공유할 때, 보안 준수에 대한 의지가 더욱 강화될 수 있다. 이러한 요인들은 개별적으로도 중요한 의미를 가지지만, 상호작용을 통해 더욱 깊은 이해와 효과적인 관리 방안을 제시할 수 있다는 점에서 본 개념을 뒷받침한다.

3. 연구방법

3.1 변수 간 관계에 대한 선행연구의 검토

3.1.1 ‘위험인식’과 ‘보안준수의도’와의 관계

Vance, Anthony, Mikko Siponen and Seppo Pahnila.(2012)에 따르면, 정보보호 분야에서 조직 내 구성원의 위험인식이 높을수록 보안준수의도 및 동기가 강화되며, 이는 보안 사고를 예방하는 데 중요한 역할을 한다[28]. 이는 구성원들이 보안 위협을 실질적으로 인식하게 될 때, 더 엄격하게 보안 규정을 준수하게 된다는 것을 보여준다.

Herath, T. and Rao, H. R.(2009)에서는 정보보호 분야에서 조직 내 구성원들의 위험인식이 보안준수의 도와의 상관관계와 인과관계를 분석한 결과, 위험인식은 보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 주었다고 규명하였다[29]. 즉, 위험인식의 정도가 높을수록 구성원들이 보안정책을 준수할 가능성이 높다는 것을 보여주었다[30].

Kannelønning, K. and Katsikas, S. K.(2023)에 따르면, 사이버 보안 분야에서도 조직 내 구성원의 위험인식이 높을수록 보안 정책과 절차를 총칭한 보안준수의도를 준수할 가능성이 높아진다는 것을 제시하였다[31]. 해당 연구에서는 보호동기이론(Protection Motivation Theory, 이하 PMT)을 근거로 하여, 위험인식의 정도가 높을 때 보안준수의도 및 동기 또한 비례하여 증대된다고 설명한다.

위와 같은 선행연구들을 통해 위험인식과 보안준수 의도 사이에 상관관계와 인과관계가 존재함을 확인할 수 있으며, 이는 조직 내 구성원이 보안 위험을 인식할 때 더 높은 수준의 보안준수의도를 형성한다는 것을 강조한다.

3.1.2 ‘자기통제력’과 ‘보안준수의도’와의 관계

De, D. T. and de Wit, J. B.(2006)와 Tangney, J. P., Boone, A. L. and Baumeister, R. F.(2018)에서는 본질적인 관점에서 자기통제력이 높은 인간이 규칙을 준수하는 경향이 더 강하며, 이는 다양한 환경에서도 동일하게 적용될 수 있다는 것을 보여준다[32, 33].

D’Arcy, J., Hovav, A., and Galletta, D.(2009)에서는 정보보호 분야에서 조직 내 자기통제력이 낮은 구성원들이 보안규정을 위반할 가능성이 높다는 상관 관계를 보인 결과를 제시하였다[34]. 즉, 연구자들은 자기통제력은 보안준수의도에 중요한 예측 변수로 작용할 수 있다는 것을 주장하였다. 이와 관련하여, 자기 통제력과 보안준수의도 간의 관계를 살펴본 Vance, A., Siponen, M., and Pahnila, S.(2012)에서는 조직 내 구성원들의 자기통제력과 보안준수의도간의 상관관계를 살펴보며, 두 변수가 비례하는 결과를 보여주었다[28].

Liu, J., Zhang, J. and Zhang, J.(2019)에서는 자기통제력을 포함한 비공식적인 사회적 통제가 보안준수의도 및 행동을 강화시키는 데 매우 핵심적인 요인이라는 것을 증명하였다[35]. 연구자들은 조직 내 구성원의 자기통제력이 보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 준다는 것을 증명하였다. 따라서 보안준수의도에 있어 자기통제력은 긍정적인 영향을 주는 독립변수로서의 역할을 하고, 자기통제력이 높은 구성원들은 보안준수의도 형성 또한 용이하게 증대된다는 근거를 제시해주었다.

위와 같은 선행연구들을 통해 자기통제력과 보안준수의도 사이에 상관관계와 인과관계가 존재한다는 것을 확인할 수 있으며, 이는 조직 내 구성원이 자신의 자기통제력을 발휘하게 될 때, 더 높은 수준의 보안준수의도를 형성한다는 것을 강조한다.

3.1.3 ‘조직결속력’과 ‘보안준수의도’와의 관계

Meyer, J. P., Bobocel, D. R. and Allen, N. J.(1991)에서는 근본적으로 조직결속력이 강한 인간은 조직의 목표와 가치를 자신의 것으로 여기며, 이에 따라 보안준수의도라는 행동에 있어 더 큰 의지를 보인다고 검증하였다[36]. 이는 연구자들이 이들이 속한 조직에 대한 결속력이 높을수록 연구보안 규정을 준수하려는 의도 역시 비례하여 높아질 수 있다는 것을 보여준다.

Bulgurcu, B., Cavusoglu, H. and Benbasat, I.(2010)에서는 정보보호 분야에서 조직 내 구성원의 조직결속력과 보안준수의도간의 상관관계와 인과관계를 분석하였는데, 조직결속력이 높을수록 보안준수의도가 비례하여 높아진다는 상관관계의 결과와 보안준수의도 형성에 있어 조직결속력이 긍정적인 양(+)의 영향을 끼치는 결과를 통해 두 변수 간에 유의한 인과 관계를 보였다[37].

동시에, Posey, C., Bennett, R. J., Roberts, T. L. and Lowry, P. B.(2011)에서는 정보보호 분야에서 정보자산(Information Asset)을 중심으로 전개한 연구를 진행하면서, 조직결속력이 높은 구성원들과 이들이 나타내는 보안준수의도는 비례한다는 양(+)의 상관관계와 인과관계를 보였다[38]. 더불어, 내부자(Insider)로 지칭되는 구성원의 조직에 대한 높은 몰입도는 보안준수의도 및 행동을 촉진한다는 것을 주장하였다.

위와 같은 선행연구들을 통해 조직결속력과 보안준수의도 사이에 상관관계와 인과관계가 존재한다는 것을 확인할 수 있다.

3.2 연구모형 설계 및 가설 설정

3.2.1 연구모형 설계

본 연구의 목적은 대학 내 연구환경에서 연구보안준의도에 미치는 연구자의 행동적 요인에 대한 상관관계와 인과관계를 분석하는 것이다.

3.2.2 연구가설 설정

위 (그림 1)과 같이 설계된 연구모형을 기반으로 설정한 가설은 다음과 같다.

(그림 1) 연구모형

첫째, 위험인식은 연구보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 미칠 것이다.

둘째, 자기통제력은 연구보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 미칠 것이다.

셋째, 조직결속력은 연구보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 미칠 것이다.

3.2.3 변수에 대한 설문 측정 항목

본 연구에서는 각 변수에 대한 조작적 정의(Operational Definition)를 통해 변수의 측정 항목을 구체화하였다. 또한, 측정 항목의 경우 선행연구를 기반으로 하여 본 연구의 목적에 맞게 수정하여 구성하였다. 이때, 독립변수와 종속변수의 경우 리커트 5점 척도(Likert 5-point Scale)로, 기초조사 및 인구통계학적 특성에 대한 측정 항목은 명목척도(Nominal scale)를 활용하였다<표 3>.

<표 3> 측정 항목

3.3 자료수집 및 분석 방법

3.3.1 자료수집

본 연구에서는 자료의 수집과 더불어 측정을 위해 설문을 통한 양적 연구 방법론을 채택하였다. 먼저 자료수집을 위해 A 대학교 공학계열 6개 연구실의 학부 연구생, 석사 및 박사과정 재학생과 수료생, 박사후연구원을 대상으로 2024년 5월 23일부터 5월 30일까지, 일주일간 총 21개 문항으로 구성된 구글 설문(Google Survey) 링크를 배포하여 총 103명의 표본 집단을 추출하였다.

이후 이를 분석하기 위해 SPSS(Statistical Package for the Social Sciences) 분석 프로그램을 사용하여 다중회귀분석(Multiple Regression Analysis)을 통한 가설 검증을 실시하였다.

3.3.2 연구 대상의 범위 설정

일반적으로 사회과학 연구에서는 ‘연구 대상의 선정’이 연구의 타당성을 결정짓는 요인으로 여겨진다[39]. 이러한 관점을 바탕으로, 본 연구에서는 연구보안의 보호 대상으로 간주되는 ‘국가핵심기술(New Core Technology)’을 주제로 설정하였다[40].

또한, 연구 대상의 경우 산업기술의 유출방지 및 보호에 관한 법률(약칭: 산업기술보호법) 9조에서 언급한 국가핵심기술의 정의에 근거하여 연구산출물이 국내외 시장에서 차지하는 기술적 및 경제적 가치가 있고, 국가의 안보와 경제 발전에 중대한 영향력을 행사할 수 있는 산업기술로 이어질 수 있는 지표로서 성장잠재력(Growth Potential)이 높다고 판단할 수 있는 A 대학교의 공학계열 학과 연구실을 선정하여 진행하였다[41].

이를 바탕으로 구성한 다음의 <표 4>는 선정한 A대학교 내 연구실에 대한 특성을 범위에 맞게 세부적으로 정리한 것이다. 또한, (그림 2)는 이들이 생산해내는 연구산출물과 국가정보원(National Intelligence Service, 이하 NIS)에서 공식적으로 지정 및 제공하고 있는 ‘분야별 국가 핵심기술 현황’을 기반으로 상호 연계(mapping)하여 시각화한 것이다[42]. 이를 통해 본 연구의 특성에 적합한 대상 선정의 타당성과 적합성을 확보하고자 주력하였다.

<표 4> 연구 대상의 특성

(그림 2) 연구 대상-국가핵심기술 분류 매핑표

4. 연구결과

4.1 인구통계학적 특성에 대한 기초조사 결과

4.1.1 빈도분석 결과

본 연구에서는 표본의 일반적 특성을 파악하기 위해 인구통계학적 특성에 대한 빈도분석(Frequency Analysis)을 통해 기초조사를 실시하였다.

첫째, 설문 응답자의 연령 및 성별의 분포를 살펴보았다. 이때 가장 큰 비율을 차지하는 30세-35세 미만의 연구자들은 전체 응답자 중 29.1%에 해당하는 30명에 해당하였고, 그중 높은 비율을 보인 남성의 경우 17명으로 확인되었다<표 5>, (그림 3).

<표 5> 설문 응답자의 연령 및 성별 분포

(그림 3) 에 대한 시각화

둘째, 국가연구개발혁신법 및 시행령, 과학기술기본법, 부정경쟁방지 및 영업비밀보호에 관한 법률(약칭: 부정경쟁방지법), 산업기술의 유출방지 및 보호에 관한 법률(약칭: 산업기술보호법) 등 전체적인 연구보안 관계법령[4, 5, 41, 43-46]에 종속되는 ‘연구산출물’에 대한 이해와 A 대학교에서 제공하는 ‘연구보안’ 규정에 대한 관심 여부 조사 결과, 응답자의 과반수 이상에 해당하는 58명(56.3%)이 연구환경 내 연구산출물 유출과 연구보안에 대한 이슈에 대해 “관심 있다”고 응답하였다. 따라서, 이들의 연구보안에 대한 이해도가 전제되었음을 파악할 수 있었다<표 6>, (그림 4).

<표 6> ‘연구보안’에 대한 이해와 관심 여부

(그림 4) 에 대한 시각화

셋째, 응답자의 기초조사 분석 과정에서 대학 내 연구환경에 관련된 인력의 근무 기간과 조직에 대한 결속력을 질의한 결과, 해당 문항에 10점을 준 22명(21.4%)은 공통적으로 소속 기간이 최소 ‘5년 이상’인 것으로 확인되었다. 즉, 연구환경에 소속되어 근무하는 기간이 늘어날수록 조직에 대한 애정과 결속력 또한 증가하는 결과를 확인할 수 있었다<표 7>, (그림 5).

<표 7> 조직 내 소속 기간에 대한 조직결속력 문항 평균

(그림 5) 에 대한 시각화

넷째, 응답자의 기초조사 분석 과정에서 연구보안준수의도와 관련된 의향의 유무에 상관없이, ‘연구보안’을 준수해야 할 이유와 고려해야 할 점에 대해 질의하였다.

응답자들은 연구환경 내 구성원이 연구보안 유출 및 범죄를 행하지 않거나, 않을 이유에 대해서 ‘비윤리적’이라는 인식이 확립된 상태임을 표현하였으며, 동시에 대학 내 연구환경에서의 구성원으로서 ‘사명감’과 ‘책임감’을 이유로 제시한 것을 확인할 수 있었다.

추가적으로, 이를 강화하기 위한 방법과 전략을 질의한 결과, ‘인건비 인상’이 가장 많이 제안되었고, 연구 활동에서 탈피된 개념인 ‘일과 생활의 균형(work-life balance)’에 대한 지속적 보장 그리고 보안 교육에 대한 중요성을 피력한 것을 확인할 수 있었다.

4.1.2 차이 검정 결과

본 연구에서는 가설 검정에 앞서 잠재변수들(Latent Variable)이 연령대에 따라 차이가 있는지 검토하기 위한 목적으로 독립표본 차이 검정(Independent Samples t-test)을 실시하여 독립된 두 그룹 간의 평균 차이를 분석하였다.

일반적으로 차이 검정(t-test)에서 t 값(t-value)은 두 집단의 차이에 대한 통계의 결과가 유의한지 검증하는 데 사용된다. 이때 <표 8>과 같이 t 값이 음수(-)로 나타난 것은 ‘연령이 높은 집단’이 ‘연령이 낮은 집단’보다 더 큰 값을 보였다는 것을 의미하며(t=-8.06), 이는 단순한 평균 차이뿐만 아니라 두 집단 중 어느 집단이 더 높은 응답을 했는지를 보여주는 결과로 해석할 수 있다.

<표 8> 연령에 대한 차이 검정 결과

또한, 유의확률을 판단하는 p 값(p-value)을 통해 두 집단 간 차이가 통계적으로 유의한지를 검토할 수 있으며, 사회과학 연구에서는 p 값이 0.05 이하일 경우 통계적으로 유의하다고 판단한다. 이러한 통계적 기준에 따라 본 연구에서는 p 값이 0.000으로 도출되었으므로, 두 집단 간의 차이가 통계적으로 매우 유의하다는 것을 시사한다.

종합적으로 연령에 대한 차이 검정 과정에서, ‘연령이 낮은 집단(20세-25세 미만, 25세-30세 미만)’과 상대적으로 ‘연령이 높은 집단(30세-35세 미만, 35세 이상)’으로 구분하여 분석한 결과, 연령이 높은 집단에서 ‘조직결속력’에 대한 높은 응답값이 관찰되었으며, 결과적으로 두 집단 간에 통계적으로 유의한 차이를 보였다(p=.000).

4.1.3 상관관계분석 결과

본 연구에서는 잠재변수 간의 상관관계(Correlation)를 파악하고, 각 변수 간의 상호배타성(Mutual-exclusivity)을 확보하기 위한 목적으로 상관관계분석(Correlation Analysis)을 실시하였다.

일반적으로 상관관계분석은 변수 간의 인과관계를 확인하는 회귀분석을 진행하기 위해 사전 실시되는 분석 방법으로 인식된다.

이때, <표 9>로 제시된 상관관계분석 결과는 자기 통제력, 조직결속력, 위험인식, 연구보안준수의도로 구성된 총 네 가지 변수 간의 상관관계를 보여주고 있다.

<표 9> 상관관계분석 결과

첫째, 위험인식은 자기통제력과 유의한 양(+)의 상관관계를 보였다(r=.638, p<.01). 따라서 위험인식이 높은 연구자는 자기통제력이 높은 경향을 보인다. 또한, 위험인식은 조직결속력과 유의한 음(-)의 상관관계를 나타냈다(r=-.725, p<.01). 위험인식이 높은 연구자는 조직결속력이 낮은 경향을 보인다. 이어서, 위험인식은 연구보안준수의도와도 유의한 음(-)의 상관관계를 보였다(r=-.684, p<.01). 따라서 위험인식이 높은 연구자는 연구보안준수의도가 낮은 경향을 보인다.

둘째, 자기통제력은 조직결속력과 유의한 음(-)의 상관관계를 보였다(r=-.367, p<.01). 따라서 자기통제력이 높은 연구자는 조직결속이 낮은 경향을 보인다. 또한, 자기통제력은 연구보안준수의도와 음(-)의 상관관계를 보였다(r=-.291, p<.05). 따라서 자기통제력이 높은 연구자는 연구보안준수의도가 낮은 경향을 보인다.

셋째, 조직결속력은 연구보안준수의도와 유의한 양(+)의 상관관계를 보였다(r=.774, p<.01). 따라서 조직 결속력이 높은 연구자는 연구보안준수의도가 높은 경향을 보인다.

본 연구의 상관관계 분석 결과, 위험인식이 자기통제력과 양(+)의 상관관계를 보이지만, 조직결속력 및 연구보안준수의도와는 음(-)의 상관관계를 보였다. 따라서 위험인식이 높은 연구자는 자기통제력이 높은 경향을 보이지만, 조직결속력과 연구보안준수의도는 낮은경향을 보인다는 것을 의미한다.

반면, 조직결속력은 연구보안준수의도와 양(+)의 상관관계를 보이며, 이는 조직결속력이 높은 연구자는 연구보안을 잘 준수하는 경향이 있다는 것을 증명한다.

특히, 조직결속력은 연구보안준수의도와 양(+)의 상관관계를 보이므로, 조직결속력이 높은 연구자는 연구보안준수의도가 높은 경향이 있다는 것을 시사한다.

4.1.4 다중회귀분석 결과

본 연구에서는 연구보안을 포괄하는 조직 내 구성원의 ‘보안준수의도’에 영향을 준다고 보고한 바 있는 행동적 요인에 대한 영향력을 분석하기 위한 목적으로 다중회귀분석을 실시하였다. 이 과정에서 표준화계수(ß) 값을 통해 각각의 요소에 대한 상대적인 영향력과 그 크기를 확인하였다.

한편, 유의확률이 유의수준을 초과한 위험인식의 경우 통계적으로 유의한 관계를 보이지 않는 것으로 확인하고, 이후 독립변수 각각의 요소에 대한 상대적인 영향력을 살펴보았다. 그 결과, 조직결속력, 자기통제력 순으로 유의한 영향을 보였다<표 10>.

<표 10> 전체 독립변수에 대한 다중회귀분석 결과(종속변수: 연구보안준수의도)

(1) H1 : 위험인식은 연구보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 미칠 것이다.

다중회귀분석 결과, 위험인식은 연구보안준수의도에 긍정적인 영향을 미치는 것으로 나타났으나, 통계적으로 유의하지 않은 것으로 나타났다(ß=.155, p=.154). 이는 위험인식이 연구보안준수의도를 높이는 경향이 있지만, 본 연구의 표본에서는 유의한 영향을 미치지 않는다는 것을 의미한다. 따라서 H1(가설1)은 기각되었다.

(2) H2 : 자기통제력은 연구보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 미칠 것이다.

다중회귀분석 결과, 자기통제력은 연구보안준수의도에 부정적인 영향을 미치는 것으로 나타났으며, 통계적으로 유의한 결과를 보였다(ß=-.381, p=.011). 이는 자기통제력이 높은 연구원일수록 연구보안준수의도가 낮아진다는 것을 의미한다. 따라서, 자기통제력이 연구보안준수의도에 위배되며, 이는 부정적인 요소로 인식된다는 것을 알 수 있다. 따라서 H2(가설2)는 기각되었다.

(3) H3 : 조직결속력은 연구보안준수의도에 비례하여, 긍정적인 양(+)의 영향을 미칠 것이다.

다중회귀분석 결과, 조직결속력은 연구보안준수의도에 긍정적인 영향을 미치는 것으로 나타났으며, 통계적으로 매우 유의한 결과를 보였다(ß=.554, p=.000). 이는 조직결속력이 높은 연구원일수록 연구보안준수의도가 높아진다는 것을 의미한다. 따라서 조직결속력이 연구보안준수의도에 중요한 긍정적인 요인이라는 것을 알 수 있다. 따라서 H3(가설3)은 채택되었다.

<표 11> 양적 연구 방법론으로 도출된 연구가설 검증 결과

4.1.5 기각된 H1, H2에 대한 FGI 결과

본 연구에서는 기각된 연구결과에 대한 원인을 분석하기 위한 목적으로 2024년 6월 1일, 약 1시간 동안 질적 연구 방법론인 표적집단면접법(Focus Group Interview, 이하 FGI)을 채택하여, 실행하였다.

한편, 본 연구에서 FGI를 실행한 이유로, 일반적으로 사회과학 연구에서는 FGI의 역할을 연구의 목적과 관련된 유용한 정보를 획득하거나 양적 연구 결과에서 간과할 수 있는 맥락적 정보를 발견하여 이를 보완하는 것으로 언급하고 있는바, 이를 실행의 바탕에 두었다[47, 48].

위 근거에 따라 본 연구에서 FGI를 실시한 인원은 총 5명으로, 앞서 선정하였던 본 연구 대상 중 연구의 전문성이 확보되었다고 볼 수 있는 박사학위 소유자를 대상으로 질의하였다. 우선, 연구의 특성을 고려하여 이들의 ‘연구보안’ 인지의 정도를 평가한 결과 평균 7.6점으로, 이들의 이해도는 전제되었다고 판단하였다.

이러한 FGI 참여자들의 특성은 <표 12>와 같으며, 성비 측면에서는 남성의 비율이 높았으며, 대부분 20대 후반-30대에 분포하였다. FGI가 진행되는 동안 참여자들은 연구 가설에 대한 질문에 제약 없이 자유롭게 의견을 전달해주었다. 더불어 이에 대한 의견 취합의 경우 참여자들의 의견을 고려하여 녹음은 진행하지 않고, 자필 문서로 해당 내용을 요약하는 방식으로 의견을 청취 및 수집하였다.

<표 12> 인터뷰 참여자 특성

4.1.5.1 기각된 H1에 대한 FGI 결과

“위험인식과 연구보안준수의도간의 상관관계는 비례하지만, 인과관계에 대한 영향력은 왜 통계적으로 유의하지 않는가?”

- A : 정부는 물론이고 우리 대학(A 대학교)의 빈번한 R&D 보안 교육과 개정된 규칙으로 인해 종종 ‘보안 피로감’을 느낄 때가 있다. 즉, 위험을 인식하고 있지만, 보안 규칙 준수에 대한 동기부여가 부족할 수 있다.

- B : 동기부여가 확실히 결여되어있다고 판단한다. 위험인식을 행동으로 전환할 수 있는 구체적인 동기부여 전략이 필요한데, 아직 확실히 없는 것 같다.

- C : 이미 연구에 대한 보안 외에도 준수해야 할 법들이 많다. 그렇기 때문에 여러 법과 규정 중 ‘연구 보안’은 굉장히 부차적으로 여겨진다. 특히 연구의 경우, 연구원들이 높은 자율성을 가지고 연구를 수행하는 경향이 있다. 자신만의 철학과 방법을 중요시하면서, 위험인식이 보안 준수 행동으로 직결되지 않을 수 있다. 협업이 중요시되면서도 자율적인 연구환경에서는 보안 규칙이 자신의 연구에 방해가 되는 요소로 작용할 수 있다. 따라서 연구보안에 대한 규정이 엄격하게 여겨질 것이다.

- D : 연구원 개개인의 보안 태도와 신념이 확립이 되어 있지 않은 상태에서, 일부 연구원들은 자신의 연구분야가 보안 위험과 크게 관련이 없다고 생각할 수 있기 때문이다.

- E : 연구원들이 행하는 모든 연구 과정에서 보안 위반 행위에 대해서 엄격한 제재를 가한 사례를 본 적이 없는 것 같다. 이러한 이유로 연구원들의 위험인식이 높더라도 보안 규칙을 준수하지 않을 수 있다고 생각한다.

4.1.5.2 기각된 H2에 대한 FGI 결과

“자기통제력과 연구보안준수의도간의 상관관계와 인과관계는 왜 부정적인 음(-)의 방향과 영향력을 보이는가?”

- A : 자기통제력이 높은 사람들은 자신이 행동을 잘 통제할 수 있다는 자신감이 있을 수 있고, 이러한 자신감이 과도하게 분출된다면 규칙을 위반하더라도 문제를 일으키지 않을 것이라고 믿을 수 있다. 다시 말해, 자신의 능력을 과신한다고 할 수 있지 않을까? 과도하게 신뢰하여 규칙을 소홀히 할 가능성이 있다는 것이다.

- B : 공감한다. 자기통제력이 높은 연구원들은 자신이 위험을 충분히 관리할 수 있다고 생각할 수 있다.

- C : 실제로 자기통제력이 높고, 또는 높을 것이라고 확신하는 연구원들은 보안 규칙이 자신에게 불필요하거나 번거로운 제도라고 생각할 수 있다.

- D : 연구보안 외에도 준수해야 할 규칙이 많은데 -(중략)- 자율성을 존중 받아야 할 연구마저도 특정한 법적 제도나 규칙에 의해 사사건건 통제 받는 것에 거부감이 들 수도 있겠다. 다시 말해, 무언가를 준수해야 한다는 것에 반감을 가질 수 있다.

- E : 연구 산출물과 그 위험에 대한 파장 효과가 공감이 되지 않기 때문일 수도 있겠다. 따라서 이 같은 위험을 겪어보지 않는 이상 과소평가하는 안일한 태도를 가질 수 밖에 없고, 결론적으로는 안일한 태도가 원인이라고 생각한다. 자기통제력이 높은 연구원은 자신이 규칙을 굳이 따르지 않더라도 큰 문제가 없을 것이라고 여길 수 있다는 것이다.

4.1.6 연구 결과 요약

본 연구는 대학 내 연구환경에서 연구자의 연구보안 준수의도에 영향을 미치는 행동적 요인을 혼합 연구 방법론을 통해 분석 및 검토하였다. 이때 도출된 결과는 기존 정보보호 분야에서의 선행연구 결과와 차별되며, 그 결과는 다음과 같다<표 13>.

<표 13> 연구보안과 정보보호의 비교 중심의 연구결과 정리

4.1.6.1 H1: 위험인식과 연구보안준수의도 분석 결과

다중회귀분석과 FGI 결과를 통합하여 살펴본 결과, 위험인식은 연구보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주는 것으로 확인되었으나, 통계적으로 유의하지 않았다. 이는 정보보호 분야에서의 선행연구에서 제시한 “보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주었다”라는 결과와 차별된다.

Herath, T. and Rao, H. R.(2009)는 보호동기이론과 억제이론(Deterrence Theory)을 결합한 연구를 진행하며, 위험인식의 수준이 높을수록 개인의 보안준수 의도가 증가하여, 두 변수 간의 관계가 비례함을 보였다[29].

Ifinedo, P.(2012)는 계획된 행동이론(Theory of Planned Behavior, 이하 TPB)과 보호동기이론을 통합하여, 위험인식이 높을수록 보안준수의도가 강화되는 상관관계를 보임과 동시에, 위험인식이 보안준수의도를 유발하는 동인(Drive)이 된다는 인과관계를 규명하였다[30]. 이는 Vance et al.(2012)에서 언급된 바와 같이, 위험인식이 높을수록 보안준수의도가 촉진된다는 것을 뒷받침한다[28].

위 세 연구와는 차별되는 본 연구의 결과는, 연구자들이 위험을 인식하더라도 보안준수의도로 이어지지 않는 것이다. 이를 FGI 연구 결과와 통합해보면, 보안 피로감, 자율성 중시, 보안 규칙 경시 등의 이유가 위험인식의 영향이 유의하지 않게 나타난 원인으로 도출되었다.

4.1.6.2 H2: 자기통제력과 연구보안준수의도 분석 결과

다중회귀분석과 FGI 결과를 통합하여 살펴본 결과, 자기통제력은 연구보안준수의도에 반비례하여 부정적인 음(-)의 영향을 주는 것으로 확인되었다. 이는 정보 보호 분야에서의 선행연구에서 제시한 “보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주었다”라는 결과와 차별된다.

D’Arcy, J. et al.(2009)은 조직 내 자기통제력이 낮은 구성원들의 경우 보안준수의도 또한 결여되어, 보안규정을 위반할 가능성이 높다는 것을 보여주었다[34]. 이는 Vance et al.(2012)의 연구결과와도 같은 맥락으로, 자기통제력이 높을 때 보안준수의도 또한 증진된다는 것을 방증한다[28].

Liu, J., Zhang, J. and Zhang, J.(2019)는 정보보호와 관련한 보안준수의도에 대한 통제 모델을 검증하면서 자기통제력이 보안준수의도 및 행동을 강화하는 요인임을 증명하였다[35]. 이들은 특히 자기통제력이 높은 구성원들이 보안준수의도를 더욱 쉽게 형성할 수 있는 잠재능력이 있다는 것을 보여주었다.

위 세 연구와는 차별되는 본 연구의 결과는, 자기통제력이 높은 연구자들이 연구보안준수의도에 부정적인 영향을 미친다는 점이다. 이를 FGI 연구 결과와 통합해보면, 자기통제력이 높은 연구자들이 자신의 능력을 과신하고 보안 규정을 번거롭거나 불필요하다고 생각하는 경향이 있다는 점이 주목할만하다.

4.1.6.3 H3: 조직결속력과 연구보안준수의도 분석 결과

다중회귀분석을 통해 가설이 채택되어 FGI를 실시하지 않은 조직결속력의 경우, 연구보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주고 있는 것으로 확인되었다. 이는 정보보호 분야에서의 선행연구에서 제시한 “보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주었다”라는 결과와도 일치한다.

Herath, T. and Rao, H. R.(2009)는 조직 내 보안 준수의도를 이해하기 위한 프레임워크(framework)를 제시하면서, 조직결속력이 보안준수의도에 긍정적인 영향을 미치는 인과관계를 확인하였다[29].

Posey, C., Roberts, T. L., Lowry, P. B., Bennett, R. L. and Courtney, J. F.(2013)은 조직 내 구성원들이 정보자산을 보호하기 위해 다양한 보호 동기화(Synchronization) 행동을 수행한다는 체계적 분류법과 이론을 개발하면서, 조직결속력이 높은 구성원들이 보안준수의도를 더 강하게 가지며, 보안 행동을 적극적으로 실천한다는 결과를 보였다[49].

Goo, J., Yim, M. S., and Kim, D. J.(2013)은 조직결속력이 높은 상태에서의 보안 문화가 개인의 보안준수의도 형성 및 관리에 중요한 요인이 된다는 것을 규명하였다[50]. 즉, 이들은 조직결속력이 높은 환경에서 구성원들의 보안정책준수의도가 증진된다는 결과를 보인 것이다.

위 세 연구와 일치하는 본 연구의 결과는, 조직결속력이 연구보안준수의도에 긍정적인 영향을 미친다는 것을 강력히 지지한다는 점에서 중요한 시사점을 제공한다.

5. 결론

본 연구는 대학 내 연구환경에서 연구보안준수의도에 영향을 미치는 행동적 요인을 분석하기 위해 양적 및 질적 연구 방법론을 통합한 혼합 연구 방법론을 통해 진행하였다.

연구의 목적은 연구자의 행동적 요인으로 설정한 위험인식, 자기통제력, 조직결속력이 연구보안준수의도에 미치는 영향을 검토하는 것으로, 이를 위해 설문조사와 FGI를 통해 데이터를 수집 및 분석 후 결과를 도출하였다.

먼저, 양적 연구 방법론을 통해 진행한 통계분석 과정에서는 A 대학교 공학계열 연구자 103명을 대상으로 설문조사를 실시하여 상관관계 및 다중회귀분석을 통해 각 요인과 연구보안준수의도 간의 상관관계와 인과관계를 확인하였다. 이러한 양적 연구 결과는 다음과 같이 도출되었다.

첫째, 위험인식(H1)의 경우, 연구보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주는 것으로 확인되었지만, 그 영향력은 통계적으로 유의하지 않는 것으로 나타났다. 따라서 본 연구에서는 ‘영향을 미치지 않는다’라고 해석하였다. 이는 연구자들이 보안 위험을 인식하더라도 실제로 보안 규정을 준수하려는 의도가 크게 변화하지 않는다는 것을 의미한다. 해당 결과는 정보보호 관점에서 접근한 선행연구와는 상반된 결과로, 연구보안에 대한 개인의 위험인식이 반드시 보안준수 의도와 직접적으로 연결되지 않을 수도 있다는 것으로 설명할 수 있다[28-30]. 이 같은 결과는 Cram, W. A., Proudfoot, J. G. and D’arcy, J.(2017)와 Ali, R. F., Dominic, P. D. D., Ali, S. E. A., Rehman, M. and Sohail, A.(2021)에서 조직의 보안 문화와 보상관리체계 등과 같은 요인이 더 큰 영향을 미칠 수 있다는 것을 제안한 바 있어, 연구보안에서 위험인식을 제고하기 위한 독창적인 동기부여 요인을 탐색할 필요가 있음을 시사한다[51, 52].

둘째, 자기통제력(H2)의 경우, 연구보안준수의도에 반비례하여 부정적인 음(-)의 영향을 주는 것으로 확인되었다. 즉, 자기통제력이 높을수록 연구보안준수의도가 낮아지는 경향을 보이는 것으로 나타났다. 이는 자기통제력이 높은 연구자들의 경우 보안 규정을 준수하려는 의도가 낮아지는 경향을 보이는 것으로 판단할 수 있다. 해당 결과는 정보보호 관점에서 접근한 선행 연구와는 상반된 결과를 보인다는 점에서 주목할 수 있다[28, 34, 35]. 연구보안에 대응할 수 있는 개인의 자기통제력이 높을수록 보안준수의도 형성 과정에서 발현될 수 있는 피로감이 있으며, 결과적으로 보안준수 행동을 회피하려는 경향이 있다는 결과로 설명할 수 있다[53]. 이 같은 결과는 연구자의 자기통제력과 보안 준수의도를 증대시키기 위해 보안 문화 조성, 명확한 정책의 제시와 홍보와 준수에 대한 보상 제공 등의 행동유도성(Affordance)을 고려한 연구자 중심의 전략 수립이 필요함을 시사한다.

셋째, 조직결속력(H3)의 경우, 연구보안준수의도에 비례하여 긍정적인 양(+)의 영향을 주는 것으로 확인되었으며, 나머지 두 변수와 비교하였을 때, 통계적으로 매우 유의한 결과와 영향력을 보였다. 이 같은 결과는 조직에 대한 결속력이 강한 연구자들이 보안 규정을 준수하는 것이 조직의 성공과 발전에 기여한다고 인식하기 때문에 적극적으로 보안 행동에 임하려는 의도가 높아지는 경향을 보인다고 할 수 있다. 특히, ‘연령이 높은 집단’으로 구분한 30세 이상의 연구자들에게서 조직결속력이 높은 것으로 확인되었다. 이는 오랜 시간 대학 내 연구환경에 몸담아 온 연구자들이 조직에 대한 강한 소속감과 책임감을 가지고 있음을 의미한다. 이 같은 결과는 조직의 보안 문화와 가치를 깊이 이해하고 내재화하며, 조직의 목표와 방향성을 적극적으로 지지하고 준수하는 경향이 있다고 해석할 수 있다[54]. 더불어, 정보보호 관점에서 접근한 선행연구에서 조직결속력이 높은 구성원이 조직의 목표와 가치를 파악하고, 이를 실천하려는 동기 또한 용이하게 부여될 가능성이 더욱 높다는 결과와도 일치한다는 것을 확인할 수 있다. 이를 통해 연구보안과 정보보호 영역 모두 조직결속력이 중요한 역할을 한다는 것을 알 수 있다[29, 49, 50]. 따라서 조직결속력을 증대시키기 위해 대학 내 연구환경에서의 보안 목표를 이해하고, 이를 실천할 수 있는 보안문화 형성을 위해 조직적 차원에서의 적극적인 지원이 필요하다.

다음으로, 질적 연구 방법론을 통해 진행한 FGI 과정에서는, 설문조사 대상이었던 103명 중 학술적 전문성이 확보되었다고 볼 수 있는 박사학위 보유자 5명을 대상으로 진행하였으며, 이때 실시한 FGI는 기각된 연구 결과에 대한 원인 분석과 양적 연구 과정에서 간과할 수 있었던 맥락적 한계를 보완하고, 다양한 정보를 획득하는 것을 목적으로 하였다. 이러한 질적 연구 결과는 다음과 같이 도출되었다.

첫째, 기각된 위험인식(H1)에 대한 인터뷰 결과, 보안 피로감, 자율성 중시, 보안 규칙 경시 등이 언급되었다. 언급된 내용은 모두 위험인식이 높더라도 연구보안준수의도로 이어지지 않는 이유로 제시되었다.

둘째, 기각된 자기통제력(H2)에 대한 인터뷰 결과, 자기통제력이 높은 연구자들이 자신의 능력을 과신하고 보안 규정이 번거롭거나 불필요하다고 생각하는 경향이 있다는 점이 지적되었다.

종합적으로 도출된 연구결과를 살펴보았을 때, 본 연구에서는 대학 내 연구환경에서 연구보안준수의도에 영향을 미치는 행동적 요인들의 중요성을 강조할 수 있었다.

특히, 조직결속력이 연구보안준수의도에 대해 긍정적인 양(+)의 결과와 이에 대한 영향력을 행사한다는 것을 보인 점을 통해, 향후 연구 진행과 제도 혁신 방안 수립에 있어 중요한 고려사항이 될 수 있을 것으로 기대한다. 또한, 위험인식과 자기통제력이 연구보안준수의도에 미치는 부정적인 음(-)의 결과와 영향력의 크기를 통해 연구보안 분야에서 기존 이론들을 재검토하고, 연구모형에 새로운 변수를 추가 투입하거나 수정할 필요성을 제기할 수 있는 기회를 마련하였다고 판단한다.

한편, 본 연구의 한계와 이에 대한 향후 추진 방향은 다음과 같이 제안할 수 있다.

첫째, 본 연구는 ‘A 대학교’를 대상으로 한정한 진행한 표본의 ‘대표성’을 확보한 연구로 자부할 수 있으나, 이는 반대로 연구 대상에 대한 ‘제한성’과 표본수의 ‘불충분성’이 한계로 작용할 수 있다고 판단한다. 따라서 향후 연구에서는 연구의 일반화 가능성을 증대시키기 위해 다양한 대학과 연구기관 등을 대상으로 확장할 필요가 있다는 점을 피력하고자 한다. 구체적으로 양적 연구 방법론에서 위험인식과 자기통제력이 유의한 영향을 미치지 않는 이유를 명확히 증명하기 위해 추가적인 데이터 수집이나 다른 연구기관 및 대학교와의 비교 연구가 필요하다는 것을 제안한다.

둘째, 기각된 연구 결과에 대한 이론 및 연구 설계의 재검토가 필요하다. 특히, 본 연구에서 제시한 연구모형에서의 두 독립변수인 위험인식과 자기통제력의 조절효과(Moderation effect) 분석을 통한 추가적인 연구를 제안한다.

셋째, 질적 연구 방법론을 통한 FGI 결과에서 살펴볼 수 있듯이, 보안 인식 전환을 위한 행동과학적(Behavioral Science) 보안 교육 설계의 필요성을 강조하고자 한다. 이는 자극과 반응 사이의 연관으로 설명할 수 있는 ‘교육(Education)’이 조직결속력을 강화하고, 자기통제력이 높은 연구자들을 대상으로 위험인식을 확실히 제고할 수 있는 효과적인 방안으로서 역할을 수행할 것이라고 확신하기 때문이다[55, 56].

최종적으로, 이에 대한 본 연구의 시사점은 다음과 같다. 첫째, 본 연구는 연구보안 분야를 중심으로 대학 내 연구환경에서의 연구자의 위험인식, 자기통제력, 조직결속력의 중요성을 조명하였다. 특히, 기존 선행연구와는 다르게 위험인식이 연구보안준수의도에 유의한 영향을 미치지 않는다는 결과는 학문적 토론을 촉발시킨다고 판단하는바, 위험인식의 역할을 재검토하고, 연구보안 분야에서 새로운 이론적 접근을 탐구하는 기반을 제공한 점에서 학문적 의의를 갖는다.

둘째, 본 연구는 연구자의 조직결속력이 연구보안준수의도에 긍정적인 영향을 미친다는 점을 강조하여, 이는 ‘대학교’라는 조직 내 결속력을 강화하는 실질적인 전략을 제시하였다고 판단한다. 이에 따라 연구기관은 조직 구성원 간의 연대감을 증진시키기 위한 전략을 개발하는 등 연구보안 준수 행동을 유도할 실무적 의의를 가진다.

셋째, 본 연구는 정책적으로 연구기관이 자율성을 유지하면서도 효과적인 보안 규칙을 마련하는 방안을 제시하였다. 이때 보안 피로감과 보안 규칙 경시 등의 문제를 해결하기 위해, 연구자들이 보안 규정을 용이하게 준수할 수 있도록 규정을 간소화하고, 보안 인식을 제고할 수 있는 교육과 홍보 활동을 병행해야 할 필요가 있음을 파악하였다. 이는 선행연구에서도 연구자 중심의 연구보안 체계를 개선을 위한 전략으로 제안한 정책적 전략을 뒷받침하였다고 볼 수 있다[57, 58]. 이에 대한 정책적 시사점을 통해 보안 정책의 실효성을 높이고, 연구보안 사고를 예방하는 데 중요한 역할을 수행할 수 있는 전략을 제시하였다고 판단한다.

위와 같이, 본 연구에서는 연구보안의 중요성을 재확인하여, 연구자들이 보안 규정을 준수하도록 유도하는 데 있어 다양한 측면에서 유용한 지침을 제공할 것으로 예상한다. 결과적으로, 대학 내 연구환경에서 보다 효과적인 내부 연구보안 체계의 내실화와 더불어 프로그램을 개발하는 데 기여할 것으로 확신한다.