A Study on the Factors Affecting the Intention to Use Zero Trust-based Security Architecture for Remote Work Using Personal Devices YUN, HYE-JOUNG Department of IT Policy and Management Graduate School of Soongsil University Zero Trust is a new security paradigm called ‘Never Trust, Always Verify’, which emerged to overcome the limitations of perimeter-based security. The U.S. federal government experienced a large-scale personal information leakage incident under perimeter-based security, and began zero trust security in 2020 to fundamentally solve the problem. Zero trust denies the concept of a ‘trusted network’ itself, does not fundamentally trust all users, connected devices, and network traffic, and requires constant verification of trust even after authentication. Much research on zero trust security began before and after the announcement of the U.S. federal government's Zero Trust Guide in 2020, but there is still a lack of empirical cases or research cases. The worldwide-spread corona pandemic changed into a corona endemic in 2023, but these days it is easy to see cases that the remote work that became familiar during the corona period is operated entirely or partially. However, organizations are not sufficiently prepared for the remote work environment, and the majority of individuals work remotely using personal devices not provided by the company. This unprepared and uncontrolled remote work environment always poses the possibility of becoming a target for hacking or security incidents. Zero trust security makes companies strengthen security by verifying and authenticating all users and devices accessing the network without trusting them. From this background, this study examines the need to use zero-trust-based security architecture for remote work using personal devices, and utilizes the TOE framework and unified theory of acceptance and use of technology model to study the impact of this architecture on users' intention to use it. The correlation between factors was analyzed. Through literature review, self-efficacy, ubiquity, and job autonomy were derived as characteristics of remote work using personal devices, professionalism, compatibility, and security were derived as zero trust security characteristics, and investment will and management support were derived as organizational characteristics, respectively, and they are independent variables of this thesis. In addition, the independent variables of the integrated technology acceptance model, such as performance expectation, effort expectation, social influence, and promotion conditions, are mediating variables of this thesis. In order to confirm the moderation effect that affects the intention to use zero trust-based security architecture for remote work using personal devices, age, public/private, organizational size, and organizational location (metropolitan area, non-metropolitan area) were composed as moderating variables. The survey was conducted on office workers with remote work experience, and as a result of the empirical analysis, 18 hypotheses out of a total of 26 (excluding moderation effects) were adopted. Among the characteristics of remote work using personal devices, self-efficacy and ubiquity had a significant impact on effort expectations, social influence, and facilitating conditions. Job autonomy had a significant effect on facilitating conditions, but had no effect on effort expectations and social influence. Among the zero trust security characteristics, security and professionalism had a significant impact on performance expectations and social influence, but had no effect on promotion conditions, and compatibility had a significant impact on social impact and promotion conditions, but had no effect on performance expectations. In terms of organizational characteristics, willingness to invest had a significant effect on effort expectations, but had no effect on performance expectations. On the other hand, support from management had a significant effect on performance expectations, but had no effect on effort expectations. In this study, it was confirmed that performance expectations, social influence, and facilitating conditions had a positive effect on intention to use, but effort expectations did not have a significant effect on intention to use. In the moderation effect analysis, it was confirmed that there was a moderation effect in age and organizational size. The academic implications of this study include that it proposed zero trust architecture for a remote work environment using personal devices, that zero trust security research was conducted considering the characteristics of personal devices, and that the UTAUT model was applied to zero trust security to determine correlations of variables. Practical implications include suggesting a method of using different verification methods depending on the access request of the devices when requesting access to an internal system through a personal device in a remote work environment, that zero trust security can be applied to other areas by expanding remote work cases, and that the empirical results and control effect analysis results can be effectively applied to the real environment. After this study, it is expected that follow-up research will be conducted to increase job autonomy while increasing security in order to improve work productivity in a remote work environment. The proportion of personal terminal use cases during remote work is more than 80%, indicating that a large number of remote workers use personal devices. As it is being used widely, it seems that national interest and support for remote work environment security at the government level is needed.

개인 단말기 사용 원격근무를 위한 제로트러스트 기반 보안 아키텍처 사용의도에 영향을 미치는 요인에 관한 연구 윤혜정 IT정책경영학과 숭실대학교 대학원 제로트러스트는 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’라는 새로운 보안 패러다임으로, 경계 기반 보안의 한계 를 극복하고자 출현하였다. 미국 연방정부에서는 경계 기반 보안 하에서 대량의 개인정보 유출 사고를 겪었고, 그에 대한 근원적인 해결을 위해 2020년 제로트러스트 보안을 본격적으로 도입하기 시작하였다. 제로트러 스트는 ‘신뢰할 수 있는 네트워크’ 자체를 부정하며, 모든 사용자, 접속기 기, 네트워크 트래픽에 대해 기본적으로 신뢰하지 않고, 인증 후에도 끊 임없이 신뢰도를 검증하도록 한다. 제로트러스트 보안 관련 연구는 2020 년 미국 연방정부의 제로트러스트 가이드 발표 전후로 많은 연구가 시작 되었으나, 아직 실증 사례나 연구 사례가 많이 부족한 상황이다. 전세계를 강타했던 코로나 팬데믹은 2023년을 기점으로 코로나 엔데믹 으로 전환되었으나, 근무형태는 코로나 기간동안 익숙해진 원격근무가 상시적으로 운영되거나 부분적으로 운영되는 경우를 쉽게 볼 수 있다. 그러나, 조직에서는 원격근무 환경에 대한 충분한 준비가 되지 않았고, 대다수의 개인들은 회사에서 지급하지 않은 개인 단말기를 사용하여 원 격근무를 수행하고 있다. 이렇게 준비가 미비하고 통제되지 않은 원격근 무 환경은 해킹의 표적이 되거나 보안사고의 가능성을 상시 내포하고 있 는 상황이다. 제로트러스트 보안을 통해 기업은 네트워크에 접근하는 모 든 사용자와 디바이스를 신뢰하지 않고, 철저하게 검증하고 인증함으로 써 보안을 강화할 수 있다. 이러한 배경 하에 본 논문에서는 개인 단말기 사용 원격근무를 위한 제로트러스트 기반 보안 아키텍처 도입 필요성을 고찰하고, 동 아키텍처 에 대한 사용자의 사용의도에 미치는 영향 연구를 위해, TOE 프레임워 크와 통합기술수용이론을 활용하여 요인 간의 연관 관계를 분석하였다. 선행연구를 통해, 개인 단말기 사용 원격근무 특성으로 자기효능감, 편재 성, 직무자율성을, 제로트러스트 보안 특성으로 전문성, 적합성, 보안성 을, 조직 특성으로 투자의지와 경영진의 지원을 도출하여 각각 독립변수 로 구성하였다. 또한, 통합기술수용이론의 독립변수인 성과기대, 노력기 대, 사회적영향, 촉진조건을 매개변수로 구성하였다. 그리고 개인 단말기 사용 원격근무를 위한 제로트러스트 기반 보안 아키텍처 사용의도에 영 향을 미치는 조절효과를 확인하기 위하여 연령, 공공/민간, 조직 규모, 조직 위치(수도권, 비수도권)를 조절변수로 구성하였다. 설문은 원격근무 경험이 있는 직장인을 대상으로 진행되었으며, 실증 분석 결과, 총 26개(조절효과 제외)의 연구가설 중 18개의 가설이 채택되 었다. 개인 단말기 사용 원격근무 특성 중, 자기효능감과 편재성은 노력 기대, 사회적영향, 촉진조건에 모두 유의한 영향을 미쳤다. 직무자율성은 촉진조건에는 유의미한 영향을 미쳤으나, 노력기대와 사회적영향에는 영 향을 미치지 못했다. 제로트러스트 보안 특성 중 보안성과 전문성은 성 과기대와 사회적영향에는 유의미한 영향을 미쳤으나, 촉진조건에는 영향 을 미치지 못했으며, 적합성은 사회적영향과 촉진조건에는 유의미한 영 향을 미쳤으나, 성과기대에는 영향을 미치지 못했다. 조직 특성에서 투자 의지는 노력기대에는 유의미한 영향을 미쳤으나, 성과기대에는 영향을 미치지 못했다. 반면, 경영진의 지원은 성과기대에는 유의미한 영향을 미 쳤으나, 노력기대에는 영향을 미치지 못했다. 본 연구에서는 성과기대, 사회적영향, 촉진조건은 사용의도에 긍정적인 영향을 미쳤으나, 노력기대 는 사용의도에 유의한 영향을 미치지 못한 것으로 확인되었다. 조절효과 분석에서는 연령과 조직규모에서 조절효과가 있는 것으로 확인되었다. 본 논문의 학술적인 시사점으로는 개인 단말기를 사용하는 원격근무 환경에 대한 제로트러스트 아키텍처를 제안했다는 점, 개인 단말기 특성 을 고려한 제로트러스트 보안 연구를 하였다는 점, 제로트러스트 보안에 UTAUT 모형을 적용하여 변수 간의 연관관계를 연구하였다는 점을 들 수 있다. 실무적 시사점으로는 원격근무 환경에서 개인 단말기를 통해 내부 시스템 접근 요청시 단말기의 접근 요청 별로 검증 방식을 달리 하 는 방법을 제시하였으며, 원격근무 사례를 다른 영역으로 확대하여 제로 트러스트 보안을 적용할 수 있다는 점, 실증 결과와 조절효과 분석 결과 를 실환경에 유효하게 적용할 수 있다는 점이다. 본 연구 이후, 원격근무 환경에서 업무 생산성 향상을 위해 보안성은 높이되 직무자율성을 높일 수 있는 후속 연구가 이어지길 기대하며, 원 격근무 시 개인 단말기 사용 비중이 80% 이상으로 다수의 원격근무자가 개인 단말기를 사용하고 있는 만큼 정부 차원에서의 원격근무 환경 보안 에 대한 국가적인 관심과 지원이 필요해 보인다. 마지막으로, 제로트러스 트 보안 관련 실효성 있는 방안을 위한 많은 후속 연구를 기대한다.

• 제 1 장 서 론 1
• 1.1 연구의 배경 1
• 1.2 연구의 목적 3
• 1.3 연구의 범위와 방법 6
• 1.4 논문의 구성 6
• 제 2 장 이론적 배경 8
• 2.1 원격근무 보안 8
• 2.1.1 원격근무의 의의 및 원격근무 추이 8
• 2.1.2 원격근무 환경과 보안 기준 10
• 2.1.3 원격근무 단말기 12
• 2.1.3.1 원격근무 단말기 분류 12
• 2.1.3.2 원격근무 단말기 사용 현황 14
• 2.1.4 원격근무 보안 사고 15
• 2.1.4.1 외부인에 의한 침해 16
• 2.1.4.2 내부인에 의한 유출 사고 17
• 2.1.5 원격근무 보안 연구 동향 및 선행 연구 18
• 2.2 제로트러스트 보안 20
• 2.2.1 경계 기반 보안 한계와 제로트러스트 보안 20
• 2.2.2 제로트러스트 보안 추진 경과 23
• 2.2.3 제로트러스트 보안 아키텍처 25
• 2.2.3.1. 정의와 기본원리 25
• 2.2.3.2. 보안 모델과 논리 구성 요소 26
• 2.2.3.3 논리 구성 요소 배치 모델 28
• 2.2.3.4 신뢰도 평가 알고리즘 29
• 2.2.4 제로트러스트 보안 관련 선행 연구 31
• 2.3 개인 단말기 사용 원격근무 제로트러스트 기반 보안 아키텍처 33
• 2.3.1 원격근무 환경 제로트러스트 핵심요소 33
• 2.3.2 원격근무 제로트러스트 기반 아키텍처 35
• 2.3.3 단말기 접근 분류 및 개인 단말기 원격 접근 정책 36
• 2.3.4 개인 단말기 접근 검증 39
• 2.3.4.1 에이전트를 통한 개인 단말기 검증 방식 41
• 2.3.4.2 에이전트 없는 접근 요청 시 개인 단말기 검증 방식 42
• 2.3.5 원격근무 시 개인 단말기 접근에 대한 보안 신뢰도 평가 44
• 2.4 연구모형에 관한 선행연구 47
• 2.4.1 기술․조직․환경(TOE) 프레임워크의 개념 47
• 2.4.2 기술․조직․환경(TOE) 프레임워크 관련 연구 49
• 2.4.3 통합기술수용이론(UTAUT) 50
• 2.4.4 TOE 및 UTAUT 통합연구 사례 53
• 2.5 서비스 특성 관련 선행 연구 55
• 2.5.1 개인 단말기 사용 원격근무 특성 연구 57
• 2.5.1.1 자기효능감 57
• 2.5.1.2 편재성 57
• 2.5.1.3 직무자율성 58
• 2.5.2 제로트러스트 보안 특성 연구 59
• 2.5.2.1 전문성 59
• 2.5.2.2 적합성 60
• 2.5.2.3 보안성 61
• 2.5.3 조직 특성 62
• 2.5.3.1 투자의지 62
• 2.5.3.2 경영진의 지원 63
• 제 3 장 연구모형 및 가설 설정 65
• 3.1 연구모형 65
• 3.2 연구가설 67
• 3.2.1 원격근무 특성과 매개변수와의 관계 67
• 3.2.1.1 자기효능감과 매개변수와의 관계 67
• 3.2.1.2 편재성과 매개변수와의 관계 68
• 3.2.1.3 직무자율성과 매개변수와의 관계 69
• 3.2.2 제로트러스트 보안 특성과 매개변수와의 관계 71
• 3.2.2.1 전문성과 매개변수와의 관계 71
• 3.2.2.2 적합성과 매개변수와의 관계 72
• 3.2.2.3 보안성과 매개변수와의 관계 73
• 3.2.3 조직 특성과 매개변수와의 관계 74
• 3.2.3.1 투자의지와 매개변수와의 관계 74
• 3.2.3.2 경영진의 지원과 매개변수와의 관계 75
• 3.2.4 매개변수와 사용의도와의 관계 76
• 3.3 변수의 조작적 정의 77
• 3.3.1 변수의 조작적 정의 77
• 3.3.2 측정항목 79
• 3.3.2.1 개인 단말기 사용 원격근무 특성의 측정항목 79
• 3.3.2.2 제로트러스트 보안 특성의 측정항목 80
• 3.3.2.3 조직 특성의 측정항목 81
• 3.3.2.4 매개변수의 측정항목 82
• 3.3.2.5 종속변수의 측정항목 83
• 3.3.2.6 조절변수의 측정항목 84
• 제 4 장 실증분석 85
• 4.1 자료 수집 및 분석방법 85
• 4.2 인구통계학적 분석 86
• 4.3 정규성 검정 88
• 4.3.1 기술통계 정규성 검정 88
• 4.3.2 Shapiro-Wilk 정규성 검정 91
• 4.4 구조방정식 분석 92
• 4.4.1 외부모형 평가 93
• 4.4.1.1 신뢰도 평가 95
• 4.4.1.2 타당도 평가 100
• 4.4.1.3 상관관계 분석 103
• 4.4.2 내부모형 평가 105
• 4.4.2.1 경로분석 결과 105
• 4.4.2.2 모형설명력 평가 108
• 4.4.2.3 모형적합도 평가 108
• 4.5 연구가설의 검증 결과 109
• 4.5.1 독립변수와 성과기대 간의 관계 109
• 4.5.2 독립변수와 노력기대 간의 관계 111
• 4.5.3 독립변수와 사회적영향 간의 관계 113
• 4.5.4 독립변수와 촉진조건 간의 관계 115
• 4.5.5 매개변수와 사용의도 간의 관계 116
• 4.6 조절효과 검정 및 분석 결과 118
• 4.6.1 연령에 따른 조절효과 분석 119
• 4.6.2 직장 규모에 따른 그룹 간 비교분석 121
• 제 5 장 결 론 123
• 5.1 연구 결과 123
• 5.2 연구의 시사점 125
• 5.2.1 학술적 관점 125
• 5.2.2 실무적 관점 126
• 5.3 연구의 한계 및 향후 연구 방향 127
• 참고문헌 129
• 부 록 161