◈ 논문 정보
•D’Arcy, John, et al. "Too good to be true: Firm social performance and the risk of data breach." Information Systems Research 31.4 (2020): 1200-1223.
◈ 요약
이 논문은 개인정보, 보안과 관련된 내용이며 이를 CSP와 관련지어서 파악해서 굉장히 흥미롭게 읽은 논문이었다. 일반적으로 데이터 유출(data breach)에는 다양한 요소가 영향을 미치기 때문에, 회사 내외부의 다양한 관점에서 접근이 필요하다. 이 연구에서는 CSP(Corporate Social Performance)와 data breach의 관계를 살펴보았으며, 특히 deliberate breach 사례에 집중했다. 우선 이 연구에서 사용한 단어들을 정리하자면 다음과 같다. CSP strength란 이해관계자의 공평한 대우와 사회적 이미지 개선을 위한 기업의 활동을 의미한다. 반면 CSP concern은 사회적으로 무책임하고, 논쟁적이며, 위험한 기업의 활동을 의미한다. 또한, 전략적으로 기업의 이미지를 제고하기 위해서 부정직한 사회적 활동을 하는 peripheral CSP strength를 greenwashing이라고 부른다. 이 연구의 research question은 다음과 같다.
ㆍResearch Question : peripheral CSP strength는 해당 기업이 CSP concern을 나타날 때, 정보 유출의 가능성을 어떻게 변화시킬 것인가
Stakeholder Theory에 따르면, 기업이 행동과 이해관계자들의 관계를 잘 통제할수록 시간이 지남에 따라 더 효과적으로 관리할 수 있게 된다. 이 연구에서 주목한 이해관계자는 종업원과 외부 해커이다. 연구 가설은 다음과 같다.
ㆍH1 : CSP concerns는 데이터 유출과 양의 상관관계가 있을 것이다.
ㆍH2 : Peripheral CSP strengths는 데이터 유출의 양의 상관관계가 있을 것이다.
ㆍH3 : Peripheral CSP strengths는 high CSP concerns이 나타나는 회사에서 데이터 유출과 더 강한 양의 상관관계가 있을 것이다.
이 연구에서는 2005~2010년 KLD 데이터베이스에서 CSP 관련 데이터를 사용했다. 또한 PRC 사례를 참고하여 데이터 유출 여부를 표시했다. 총 구성된 데이터는 매칭된 샘플로 378개의 회사와 189건의 정보유출 사례를 포함하고 있다. 또한 KLD 데이터에는 CSP의 주요 7개 dimension이 포함되어 있다. 이 중에서, community와 environment 유형의 경우 peripheral CSP로, employee / relations / diversity / corporate governance, human rights 유형의 경우 embedded CSP strength로 조작적 정의를 실시했다. 또한 기존 IS 문헌을 참고해서, 기업 단위 분석에서 사용된 통제 변수들을 추가로 다른 데이터셋에서 수집하였다.
분석 방법으로는 time fixed effect를 고려한 OLS 모델과 linear probability 모델을 사용하였다. 위의 식은 가설 1을 검증하기 위한 모델이다.
가설2, 3은 위의 모델로 분석했다. 모델 1과 전반적으로 유사하지만, peripheral / embedded CSP strength를 분리하였고, peripheral strength이 high concern과 관련이 있는지를 파악하기 위한 interaction term도 추가했다.
모델 1의 분석 결과, CSP strength는 유출과 유의미한 양의 관계가 있었지만, CSP concern는 유의미한 관계가 나타나지 않았다(가설 1). 이는 예상과는 반대의 결과인데, 그 원인은 다음과 같이 추론할 수 있다. 우선 해당 기업에 대해서 악의적인 데이터 유출을 시도하는 내/외부 해커의 경우, 기업 자체에 대해서 악의적인 감정을 가지고 있을 가능성이 높다. 따라서 CSP concern은 그들에게 cognitive consistency를 부여하므로, 큰 변화를 야기하지 않는다.
한편, 기업에 안 좋은 인상을 가지고 있는 이해관계자에게는 peripheral CSP strength가 cognitive dissonance를 유발한다. 따라서, 모델 2에서는 peripheral CSP strength는 유의미한 양의 상관관계가 나타났으며, embedded CSP strength는 나타나지 않았다(가설 2). 또한 모델 3에서, peripheral CSP strength는 해당 기업이 CSP concern이 나타날 경우 데이터 유출이 더 많이 나타나는 것을 확인할 수 있었다.
Robustness Check 에서는 내생성과 reverse causality 확인을 위해서 lead variable을 이용하여 분석을 실시했다. 또한 stolen media, accidental disclosure과 같은 unobserved factor의 영향도 분석하였으며 유의하지 않은 결과를 확인했다. Malicious / non-malicious breach를 구분하여 분석을 진행한 결과는 유의했으며, Tobin'q를 이용하여 IT capability를 반영 했을 때에도 메인 분석과 일치하는 결과가 나타났다.
◈ 장점 및 의의
• 논문의 결과가 전반적으로 합리적으로 납득할 수 있으면서, 동시에 counterintuitive한 내용을 제시하였다.
이 논문은 기존 선행 연구에서 CSP 가 nuanced impact를 가지고 있다는 것을 구체적으로 분석했다는 점에서 학술적인 의의가 있다. 또한 이 논문의 결과에서 peripheral CSP strength와 CPS concern이 동시에 나타나는 기업은 data breach의 가능성이 높다는 것을 밝혔다. 즉, 기업 내외부의 이해관계자들은 해당 기업에 대해서 분석할 충분한 분석을 하기 때문에, peripheral CSP의 숨어 있는 의도를 파악할 수 있다는 것을 알 수 있다.
•또한 ESG의 중요성이 점차 커지고 있는 현재 추세를 고려했을 때, 실무적으로도 굉장히 의미 있고 시의 적절한 논문이라고 볼 수 있다. 이 논문의 결과에 따르면, 단순히 CSP를 실시하고 이를 홍보하는 것은 오히려 역효과를 불러일으킬 가능성이 크다.
• CSR을 Data breach와 연관지어서 분석했다는 점에서 주제 자체도 굉장히 흥미로웠다고 생각한다. 추상적으로 생각했을 때, 인위적인 CSR을 하면 해킹에 취약하고 이에 따라서 데이터 유출이 발생할 가능성이 높을 수는 있지만, 이를 실증적으로 검증했다는 점에서 의미가 있다.
◈ 한계점 및 추가 연구 아이디어
• 메인 분석 결과에서 전반적으로 유의성이 낮게 나타났다(5%~10%). 가설 3개가 모두 메인 가설이고, 탑저널인 것을 고려하면 아쉬운 결과이다. 아무래도 Breach 관련 데이터에서 노이즈가 많다는 점과 관련이 있다.
• 방법론적으로 조금 헐렁한 부분이 있다. (lead 변수를 사용하는 부분 등). 통계 검증의 특성 상, robustness check 과정에서 유의하지 않은 결과로, 메인 분석 결과를 유의하다고 주장하는 것에는 한계가 있다.
• 관점에 따라서 논문 결과 자체가 납득이 안 될 수도 있다. greenwashing에 의해서 data breach 가 증가한다는 결과 자체가 확실한 인과관계인지 설명이 안된다. Hacker를 stakeholder 범위에 넣어서 논지를 전개한 것도 설명이 부족하다.
즉, 논문의 스토리는 재미있으나, implication은 부족하다.
댓글