https://pubsonline.informs.org/doi/abs/10.1287/isre.2020.0986?journalCode=isre
논문 명: The Impact of Executives’ IT Expertise on Reported Data Security Breaches
게재 저널: Information Security Research
키워드: Data Security Breaches, IT goverance (ITG), IT experise, upper echelon theory
0. Abstract
Upper Echelon Theory(이하 UET; 상위 계층 이론)에 따르면, Data Security Breaches(이하 DSB; 정보 유출)의 위협은 은 개개인의 경영진이 방어하기 어려움. 이는 top management team(이하 TMT; CEO, CFO, CIO)의 공통된 리더십 책임으로 해결해야하는 문제임.
본 연구에서는 2005년부터 2017년도의 데이터를 사용하여 IT 경험이 있는 CEO와 CFO, 그리고 조직의 TMT에 CIO(정보 담당자)가 DSB에 어떤 영향을 주는지 분석함.
Upper Echelon Theory: 최고관리자들의 과거 경험들, 가치, 그리고 성격과 같은 백그라운드 특성들(background characteristics)을 통해 조직의 결과들을 예측할 수 있다는 관점
1. Introduction
DSB에 대한 여러 Cyber-ditigal task force의 신설과 증권거래위원회의 규제 신설로 보아, 규제 기관들은 기업들의 DSB에 관련된 문제들을 인식하고 있다. 따라서, 기업들의 즉각적인 재정적 손실과 주주 가치 감소라는 자본 시장 관점뿐만 아니라, 최근의 규제 조사는 DSB 위험을 다룰 때 기업을 운영하는 경영진에게도 주요한 주제이다.
DSB 위험은 정보기술 거버넌스(ITG)의 효과적 운영에서 우선순위가 되는 과제임이 명확하다. McKinsey & Company의 인용문에 따르면, 고위 경영진은 글로벌 경제가 여전히 사이버 공격으로부터 충분히 보호받지 못하고 있음을 이해하고 있다. 그들은 그러나 문제를 이해하는 것과 이를 효과적으로 해결하는 것은 매우 다르며, 지속적인 고위 경영진의 지원만이 진전을 보장하고, 궁극적으로 사이버 공격 위험을 완화할 수 있다고 했다. 이 인용문은 최근 설문조사(Dickson 2015, PwC 2015)와 일치하며, 이는 CIO뿐만 아니라 더 광범위한 C-레벨 임원들이 보안 책임을 공유하고 있음을 보여준다. 이러한 책임의 공유는 각 고위 경영진이 자신의 독특한 전문성과 책임을 활용하여 DSB 위험을 관리할 필요가 있음을 의미한다.
2005년부터 2017년까지의 DSB 사례를 분석한 결과, IT 전문성을 가진 CEO는 더 적은 DSB와 연관이 있으며, 일부는 소비자 정보를 포함하는 DSB에 더 중점을 두는 것으로 나타남. IT 전문성을 가진 CFO들이 일반적으로 DSB뿐만 아니라 직원 정보를 포함하는 DSB나 외부에서 유발된 DSB, 그리고 약간의 정도로 소비자 정보를 포함한 DSB를 보고할 가능성이 더 낮음을 시사한다. 최고경영진의 일원으로서 CIO의 존재는 우리가 검토한 모든 유형의 DSB(금융, 직원, 소비자 및 외부)와 유의미하게 연관.이러한 연구 결과는 IV를 통한 2SRI, 대체 변수, 엔트로피 접근법 등등을 통하여 endogeneity 문제를해결하여 robustness를 충족시킴.
보고(report)할 가능성은 “보고 할 일이 없다” ⇒ “데이터 보안 침해 사건 자체가 덜 발생한다” 라는 뜻으로 해석할 수 있음.
해당 연구가 관여한 실증적 기여
- COBIT5(보안 표준 프레임워크 실무 지침서) 실질적 검증
- IT Governance에 대해 규제자들, 이사회, 경영진에게 새로운 인사이트 제공
- 기업이 특정 유형의 침해에 대해 더 높은 위험 노출에 직면할 때, IT 전문성을 가진 특정 임원을 두는 것이 유익할 수 있음
2. Literature Review and Hypothesis Development
2.1. Extant DSB Research
몇몇 연구에 따르면 DSB 위험에 대한 공개(disclosure)는 기업의 주식에 대해 부정적인 영향을 끼친다고 함. 이는 DSB 위험 공개가 더 많은 미래의 DSB를 만들어 낼 가능성이 있음을 의미함. 하지만 다른 연구에서는 DSB 위험 공개가 기업에 긍정적인 영향을 주기도 한다는 결과가 있음. 이러한 상충되는 결과는 시장이 DSB 유형에 따라 책임을 구분하기 때문일 수 있음. 예를들어, 고객 데이터 손실이 발생한 경우 DSB 기업이 직접적인 비용을 부담하지만, 직원 데이터 손실과 관련된 평판 비용은 경험하지 않는다는 사실을 발견함.
⇒ DSB의 문제점, 선행 연구의 상충된 결과의 이유
“최고경영진(TMT) 내 IT 임원들의 지위(즉, 참여 수준, 급여, 보너스, 주식 보상, 및 주식 옵션)는 정보 보안 침해 발생 가능성과 부정적인 연관성을 가진다.” 라는 연구도 있음.
부정적인 결과 → 반비례 관계(TMT 내 IT 임원의 지위가 높을수록, DSB risk는 감소)
⇒ 선행연구와 선행연구에서 사용한 데이터, 이론들
“개별 TMT 임원들(예: CEO, CFO, CIO)은 IT 위험과 전체 비즈니스 위험을 일치시키는 의미 있는 IT 관련 결정을 내릴 위치에 있다. 이들의 이사회 관련 역할 외에 이러한 임원들의 DSB 위험 책임이 다양한 침해 유형과 어떻게 겹치는지에 대해서는 거의 알려져 있지 않다.”
“DSB가 IT 자원의 모니터링 부재를 나타내며, 이는 이사회 수준의 IT 거버넌스 변화를 유발한다는 것을 시사한다. 하지만, 모든 산업에 걸쳐 개별 임원들의 IT 전문성을 조사하는 연구는 여전히 답을 내지 못하고 있다.”
⇒ 선행연구의 한계점, 개별 임원들의 IT 경력과 전문성을 추적하고 이를 DSB에 비교한 연구가 없음
2.2 UET and DSB RIsk
기존 연구: 임원들의 나이, 기능적 경로, 경력 경험, 교육과 같은 배경과 관찰 가능한 특성에 초점, 전략적 의사결정에서 고위 경영진의 권력 역할을 검토
최근 연구: 최근 데이터 보안 침해(DSB) 연구는 CIO를 DSB 위험을 완화하기 위한 IT 거버넌스(ITG)의 핵심 인물로 확인, UET를 통해, 임원들이 서로 다른 배경을 가지고 있으며, 그들의 판단에 영향을 미치는 독특하고 고유한 신념을 가진다는 점이 확인되었다(Carpenter et al. 2004, Jensen and Zajac 2004). 또한, 이러한 임원들 간의 빈번한 상호작용이 IT 관련 프로세스를 개선할 수 있다는 점이 밝혀졌다.
본 연구: 최고경영진(TMT) 임원들의 배경을 주요 IT 거버넌스 역할에 통합하는 방식, 특히, 최고경영진(CEO, CFO, CIO)의 IT 전문성이 기업의 DSB 발생 가능성과 어떻게 연관되어 있는지 분석
2.3 CEO’s Responsibilities Related to DSB Risk
상층부 이론(UET)의 핵심 원칙 중 하나: 최고경영진(TMT) 임원들이 자신의 배경과 경험에 따라 행동
이러한 핵심 원칙의 시작은 CEO로 부터! 기술에 익숙한 CEO를 고용한 기업은 IT에 대한 편안함이 기업 전반에 퍼지는 경향이 있다(Bassellier et al. 2003), 그러나 기존 문헌에서는 CEO의 IT 전문성과 특정 IT 위험의 중요성에 대해 밝혀진 바 없음. Vincent et al.(2017)는 CEO가 IT 리스크 관리 관행을 감독하고 IT 거버넌스를 개선할 수 있는 기업 내 최적의 위치에 있다고 제안했다. → IT 전문성을 가진 CEO가 비-IT 전문성을 가진 동료들보다 기업 전반의 IT 리스크 관리 책임과 정책에서 더 효과적일 가능성이 높다.
Hypothesis 1: IT 전문성을 가진 CEO를 둔 기업은 IT 전문성이 없는 CEO를 둔 기업보다 보고 가능한 DSB(데이터 보안 침해)를 겪을 가능성이 낮다.
2.4. CFOs’ Responsibilities Related to DSB Risk
최고재무책임자(CFO)는 기업의 재무 책임자로서, 효율적이고 효과적인 비즈니스 프로세스를 만들어내는 내부 통제의 통합적 평가의 일환으로 재무 계획 및 통제 위험을 평가할 책임이 있음. 또, CFO는 접근 통제 및 기타 운영 통제를 설정할 책임을 맡고 있으며, IT 전문성을 가진 CFO는 직원 관련 데이터(예: 인구통계, 급여, 복리후생 등)를 관리하는 데 있어 정보 시스템의 이 부분을 보호하기 위해 충분한 자원을 투입할 수 있는 최적의 위치에 있는 사람.
CFO와 CIO 사이의 지식 공유와 이 공유된 지식과 경험은 CFO가 기업의 컴플라이언스와 정보 보안에 대한 IT 통제를 개선하는 데 도움을 줄 수 있다.
IT risk에 대한 통제는 어떤 TMT보다 CFO에 중요 할 수 있다. → 금전적 손해에 대한 책임이 제일 막중함 → IT 전문성을 가진 CFO는 DSB(데이터 보안 침해) 위험을 비즈니스 위험과 조율하여 보안과 관련된 효과적인 내부 통제 가능
Hypothesis 2: IT 전문성을 가진 CFO를 보유한 기업은 IT 전문성이 없는 CFO를 보유한 기업보다 보고 가능한 DSB(데이터 보안 침해)를 겪을 가능성이 낮다.
2.5. CIOs’ Responsibilities Related to DSB Risk
상당한 양의 연구는 CIO(최고정보책임자)가 기업 리더십의 핵심 인물로서 IT 거버넌스(ITG) 프로세스에 영향을 미치고 IT 예산 할당에 직접적인 영향을 미칠 수 있는 중요성을 강조
CIO는 정보 보안 관리자(CISO 등)와 협력하여 IT 예산을 수립할 때 보안 문제를 기업 정책과 일치시키는 더 큰 권한을 가짐
즉 앞서 논의된 상층부 이론(UET)과 관련된 문헌에 일관되게, TMT 내 CIO는 CEO 및 CFO와 협력하여 데이터 보안을 효과적으로 수립할 수 있어야함. TMT의 핵심 ITG 임원으로서 CIO의 종합적인 기술이 보고 가능한 DSB(데이터 보안 침해) 발생 가능성을 가설3과 같이 줄일 것이라고 예측함.
Hypothesis 3: TMT의 일원으로 CIO를 보유한 기업은 CIO가 없는 기업보다 보고 가능한 DSB(데이터 보안 침해)를 겪을 가능성이 낮다.
CIO의 경우 IT경력이 무조건 있고, TMT에 있을 수도, 없을 수도 있으니 가설을 이렇게 세운 듯
3. Method
3.1. Sample and Data Sources
- 8061개의 DSB (2005~2017) 수집 (Privacy Rights Clearinghous; https://privacyrights.org/)
- Privacy Rights Clearinghouse의 DSB 데이터는 관련 연구에서 여러 차례 사용되었다.
- (Sen and Borle 2015, Higgs et al. 2016, Schatz and Bashroush 2016, Martin et al. 2017, Pang and Tanriverdi 2017, Gwebu et al. 2018, Yen et al. 2018).
- Privacy Rights Clearinghouse의 DSB 데이터는 관련 연구에서 여러 차례 사용되었다.
- 7484개의 비상장 기업, 정부 기관을 제외하면 577개 남음
- 이후 몇몇 교차 검증을 통해 502개의 데이터 수집
⇒ 51473개의 panel data, 502개의 DSB 포함
데이터의 완전성과 정확성을 높이기 위해 추가적인 수작업 검색: (1) breach(침해), (2) hack(해킹), (3) data loss(데이터 손실), (4) theft(도난), (5) stole(탈취), (6) compromised(손상), (7) misplaced(분실) 을 Keyword로, 4가지의 DSB 유형 분류
- (a) Financial: 침해에 금융 정보(예: 은행 정보)가 포함된 경우
- (b) Employee: 데이터 손실이 침해된 기업의 직원들과 관련된 경우
- (c) Consumer: 데이터 손실이 침해된 기업의 소비자 데이터와 관련된 경우
- (d) Outside: DSB가 기업 외부의 누군가에 의해 시작된 경우
3.2. Independent Variables
Main Variables
- CEOEXIT (CEO IT Expertise)
- CFOEXIT (CFO IT Expertise)
- CIOTMT (CIO in TMT)
Control Variables
- LnAT (Logarithm of Total Assets) : 총자산의 로그값 (기업 규모)
- ROA (Return on Assets) : 총자산이익률 (기업의 수익성 지표)
- Loss : 해당 연도에 기업이 손실을 기록했는지 여부
- Leverage : 기업의 레버리지 비율 (부채 수준).
- Weak : 내부 통제 약점 여부.
- Zscore : 알트만 Z-점수 (기업의 재무 건전성 및 파산 가능성을 나타냄).
- Big4 : 기업이 "Big 4" 회계법인의 감사를 받았는지 여부
- Foreign : 기업이 외국 소유 기업인지 여부.
- Merger : 해당 연도에 기업이 인수합병(M&A)을 했는지 여부.
- Restructure : 기업 구조조정을 수행했는지 여부.
- Extra (Extraordinary items) : 기업이 특별손익 항목을 기록했는지 여부.
- Automate : 기업이 운영 자동화와 관련된 활동을 수행했는지 여부.
- Transform : 기업이 조직적 변화를 추구했는지 여부.
- HighTech : 기업이 첨단기술(high-tech) 산업에 속하는지 여부.
- CostLeader : 기업이 비용우위 전략을 채택했는지 여부.
- ProductDiff (Product Differentiation) : 기업이 제품 차별화 전략을 채택했는지 여부.
- EarnVol (Earnings Volatility) : 수익 변동성 (기업의 이익 변동 정도).
3.3 Emprical Model Specification
Breach[Financial, Employee, Consumer, Outside]i,t =
α0 + α1CEOEXITi,t + α2CFOEXITi,t + α3CIOTMTi,t
+ α4LnATi,t + α5ROAi,t + α6Lossi,t + α7Leveragei,t
+ α8Weaki,t + α9Zscorei,t + α10Big4i,t + α11Foreigni,t
+ α12Mergeri,t + α13Restructurei,t + α14Extrai,t
+ α15Automatei,t + α16Transformi,t + α17HighTechi,t
+ α18CostLeaderi,t + α19ProductDiffi,t + α20EarnVoli,t + зi,tBreach는 해당 기업이 현재 연도 t에 DSB(데이터 보안 침해)를 보고한 경우 1로 설정되며, 그렇지 않은 경우 0으로 설정
DSB 위험 수준을 더 자세히 분석하기 위해, Breach는 다양한 DSB 유형에 따라 재검토:
- (a) Financial: 금융 데이터 침해.
- (b) Employee: 직원 데이터 침해.
- (c) Consumer: 소비자 데이터 침해.
- (d) Outside: 외부에서 발생한 침해.
- 주요 관심 변수인 세 명의 임원(CEOEXIT, CFOEXIT, CIOTMT)을 현재 연도 t에서 Breach 기업과 Non-Breach 기업 간에 비교하여 분석
본 연구는 CEOEXIT, CFOEXIT, 및 CIOTMT의 계수(α₁, α₂, α₃)가 negative일 것으로 예측하며, 이는 보고된 DSB와 이러한 임원들 간의 negative relation을 나타낸다.
통제변수에 대한 추가 설명
- LnAT, LOA: 더 크고 더 성공적인 기업들이 잠재적인 DSB(데이터 보안 침해)의 대상으로 더 매력적일 수 있기 때문에 통제변수로 설정
- Weak, Foreign, Merger, Restructure, EarnVol, Extra: 내부 통제 환경이 약하거나 운영 구조가 더 복잡한 기업들이 DSB에 더 취약할 수 있기 때문
- Big4: 고품질 감사인(Big 4 회계법인)은 고객 기업에 대한 외부 감시자로 역할하는 경향이 있고, 이는 DSB에 영향을 줄 수도 있음.
- HighTech, Automate, Transform: 기술을 사용할 가능성이 더 높은 산업을 식별