[MIS] 논문 리뷰: The Impact of Executives’ IT Expertise on Reported Data Security Breaches (ISR 2021) [2/2]

4. Results

• 침해 그룹 (Breach group)
  • 데이터 보안 침해(DSB)를 보고한 기업.
• 통제 그룹 (Non-breach group; Control group)
  • 침해를 경험하지 않은 기업.

 

4.1 Descriptive Statistics

산업 수준의 Breach Group 분석

• IT 집약 산업의 기업들은 다른 산업보다 사이버 공격에 더 취약하고 더 높은 위험 감수 성향을 보이지만, 일반적으로 상당한 기술적 역량과 IT 자원을 보유하고 있다. ⇒ IT 집약 산업에 속하지 않은 기업들만을 대상으로 개별 임원들의 IT 전문성을 추가적으로 분석할 필요 有
• IT 비집약 산업에서, DSB가 이미 발생한 기업들이 IT 전문성을 가진 CEO(CEOEXIT), CFO(CFOEXIT), 또는 TMT의 일원으로 CIO(CIOTMT)를 보유할 가능성이 더 낮다는 것을 발견했다.

기업 수준에서의 Breach (control) Group 분석

• 규모가 더 크고, 기업이 회계적으로 손실(loss)을 기록하여 이를 외부에 공개(report)할 가능성이 적다, 치명적인 DSB 발생이 덜함.
  • Non-Breach group에 비해 재무적으로 안정적
  • 외부에 손실을 공개하는 사례가 적음
• Big 4 회계법인을 고용할 가능성이 더 높다.
  • Big4를 고용해 회계 감사를 수행한다 ⇒ 발견되어지지 않았던 취약성이 발견된다의 가능성 때문일 듯
• 해외 운영을 하고 있거나 인수합병(M&A) 활동에 참여할 가능성이 더 높다.
• 자동화 접근 방식을 채택할 가능성이 더 높으며, 특별항목(extraordinary item)을 보고할 가능성이 더 높다.
• Z-score가 더 높고, 부정적인 구조조정 활동을 더 많이 보고한다.

통제 변수와 관련된 결과

• DSB 발생 기업은 비용 우위(cost leadership) 전략보다 제품 차별화(product differentiation) 전략을 더 자주 사용하는 경향
• 침해 기업은 통제 그룹보다 더 변동성이 큰 수익(earnings volatility)을 보였다.

요약: Table 4는 단변량 분석으로 Breach 기업(DSB를 경험한 기업)과 Non-Breach 기업(DSB를 경험하지 않은 기업)의 차이를 확인하기 위한 비교 분석.

4.2 Results from Testing Hypotheses 1–3

IT 집약적 산업은 더 높은 기술적 역량을 보유하고 있어 공격에 신속히 대응할 가능성이 큼. 이에 따라 IT 집약적 산업을 제외하고 분석한 결과(열 1, 열 3)에서 IT 전문성을 가진 CEO(CEOEXIT), CFO(CFOEXIT), CIO(CIOTMT)는 데이터 보안 침해(DSB)의 발생 가능성을 유의미하게 낮춘다는 사실이 발견됨.

가설 1: IT 전문성을 가진 CEO가 있는 기업은 DSB 발생 가능성이 더 낮다.

• CEOEXIT의 계수는 열 1, 3, 4에서 음수로 나타났으며(p < 0.10, p < 0.01, p < 0.05), 이는 IT 전문성을 가진 CEO가 DSB 위험을 효과적으로 완화할 수 있음을 시사한다.

가설 2: IT 전문성을 가진 CFO가 있는 기업은 DSB 발생 가능성이 더 낮다.

• CFOEXIT의 계수는 네 가지 모델 모두에서 음수로 나타났으며(p < 0.05, p < 0.10, p < 0.01), 이는 IT 전문성을 가진 CFO가 기업 내부 통제를 강화하고 DSB 발생 가능성을 줄이는 데 효과적임을 보여준다.

가설 3: TMT(최고경영진)의 일원으로 CIO를 포함하는 기업은 DSB 발생 가능성이 더 낮다.

• CIO가 TMT의 일원으로 포함된 경우(CIOTMT 변수)는 모든 모델에서 음수로 나타났으며(p < 0.001), 이는 CIO가 정보 보안과 관련하여 핵심적인 역할을 한다는 것을 나타낸다.

Fixed-Effect의 적용

Firm-fixed effects를 사용하는 이유는 분석에서 기업 간 차이로 인해 발생할 수 있는 편향을 제거 (본 데이터는 panel data)
기업은 각기 다른 고유 특성(예: 경영 스타일, 조직 문화, 산업 환경, 장기적인 비즈니스 전략 등)을 가지고 있고, 이러한 고유한 특성은 시간이 지나도 변하지 않을 수 있으며, DSB의 발생 가능성에 영향을 미칠 수 있음.

단, 여기서 어떤 방법으로 fixed-effect를 적용시켰는지에 대해서는 추가 분석 필요

TMT의 일원으로 CIO를 보유한 기업은 테스트된 모든 DSB 유형에서 DSB 발생 가능성이 더 낮다라는 일관적인 결과 → CIO가 IT 시스템 보호의 핵심 임원으로서 모든 DSB 위험을 완화하는 데 책임이 있다고 추론할 수 있다.

 

4.3. Additional Analyses

논지: endogeneity 문제(IT 전문성이 높은 임원을 고용한 기업이 처음부터 보안 리스크가 적을 가능성이 있음), reverse causality 문제 해결을 위한 추가 분석법 적용

1. PSM(Propensity Score Matching)
2. Heckman two-stage approach): IMR(Inverse Mills Ratio)
3. IV를 통한 2SRI
4. Entropy balancing

4.4. Robustness Checks

기존 방법 이외에도 변수 측정을 위한 다양한 방법을 사용

• 기존 기준 외 추가 측정 기준
  • 임원이 IT 회사에서 어떤 직책으로든 일한 경험이 있는 경우를 고려하였다.
  • 각 임원의 IT 전문성과 관련된 세부 수준을 통합하여 새로운 변수를 생성하였다:
    • (i) IT 관련 학위(ITDEG),
    • (ii) IT 관련 직업 경험(ITEXP),
    • (iii) IT 회사에서의 근무 경험(ITFIRMEXP).
  • 이러한 기준을 CEO 및 CFO 변수(CEOEXITEXPANDED, CFOEXITEXPANDED)에 포함해 모든 분석을 다시 실행했다. (CIO는 이미 IT 경험 있으니 제외)
    • 대체 측정 변수(CEOEXITEXPANDED 및 CFOEXITEXPANDED)는 유의미하지 않았다.
    • 나만의 해석: IT 업계의 경우 관련 학위가 없더라도 직종 변경이 상대적으로 자유로움, 보안 관련 경력인지 구별이 필요, 변수가 너무 복잡해짐
• CIO 변수의 다른 접근
  • 두 가지 다른 접근법을 사용하여 CIO와 관련된 변수를 확장했다:
    • ITEXEC: CIO가 TMT의 일부는 아니지만 IT 책임자로 표시되는 경우
      • 표 8의 열 2: ITEXEC 변수는 유의미하고 음수(계수 = -1.152, p < 0.01)로 나타났다.
      • TMT가 아니더라도 IT 책임자와 같이 기업의 정보를 관리할 수 있는 위치라면 DSB가 줄어들 가능성이 커진다.
    • CIOTITLES: CIO의 구조적 권한을 나타내는 직함(CTO, CISO 등)의 개수를 집계한 변수.
      • 표 8의 열 3: CIOTITLES 변수는 유의미하고 음수(계수 = -0.621, p < 0.01)로 나타났다.
      • 더 많은 권한이 있을수록 정보 유출이 적다.

 

5. Conclusion

본 연구는 개별 C-suite(최고 경영진) 임원들을 대상으로, 데이터 보안 침해(DSB) 맥락에서 IT 거버넌스(ITG)와 상층부 이론(Upper Echelons Theory, UET)을 발전시키는 데 기여하였다. 또한, 다양한 침해 유형을 테스트한 결과는 기존의 DSB 문헌에도 기여하였다. 특히, 임원들의 IT 전문성과 관련된 연구 결과는 Sen과 Borle(2015)의 보안 지출 문제가 지적한 바와 같이, 보안 지출 증가가 반드시 DSB 위험 완화를 의미하지는 않는다는 점에 대해 직접적으로 대응할 수 있는 ITG 전략을 제안할 수 있다. ⇒ 단순히 기술적인 도구나 인프라에만 투자하는 것이 아니라, IT 전문성을 갖춘 C-Level 리더십과 효과적인 거버넌스가 중요하다는 논문 결과와 연결

실무적 결과

1. COBIT 5 정보 보안 프레임워크(ISACA 2012)의 주요 측면을 실증적으로 테스트
2. 기업 이사회, 경영진, 규제 기관이 IT 리스크 관리를 개선하는 데 관심이 있는 새로운 통찰을 제공
   • IT 전문성을 가진 임원을 찾고 고용하는 것은 비용이 드는 작업이지만, 연구 결과는 이러한 임원이 정보 보안 계획에서 중요한 가치를 가질 수 있음을 시사
   • 특정 침해 유형에 대한 위험 노출이 증가할 경우, IT 전문성을 가진 특정 임원을 보유하는 것이 기업에 이익이 될 수 있음
3. 규제를 고려할 때
   • 원칙적으로 기업은
     • 데이터 침해 사건이 발생하면 이를 공개하고,
     • 규제 기관이 요구하는 수준의 내부 통제와 IT 거버넌스를 갖춰야 한다.
   • SEC 2018이나 법무부의 감사 태스크 포스에서 수행하는 규제를 잘 수행하기 위한 가이드라인이 될 수 있음. 임원들의 IT 전문성을 활용한 IT 거버넌스 중심의 전략적 접근이 가능하기 때문.

 

의문점 및 정리해야하는 점

• IT기업인지 아닌지가 연구 내용에 있는 것 처럼 진짜 중요한 요소인거같은데 왜 서론이나 선행 연구 조사 부분에 없는지?
• COBIT5에 관련된 내용은 너무 뜬금이 없어보인다. 다른 중요한 요소들이 더 있는 것 같은데 왜 이것을 더 강조했는지?
• 사실, 아마도 보안 관련 논문에서는 당연히 그럴 수 밖에 없겠지만 너무 방어자와 기업에서의 관점에서 접근한 감이 없지않아 있다. 공격자 관점에서 연구를 진행 할 방법이나 논문은 없을까?