정보화의 빠른 진전과 더불어 정보화의 역기능 역시 비례하여 확산되고 있으며 그 피해는 막대한 것으로 추정되고 있다. 하지만 현재까지 개인정보 유출의 피해규모에 대한 연구와 자료가 미흡한 실정이기 때문에 이로 인한 국가적 피해규모를 계량화하는 작업에 많은 현실적 어려움이 존재하고 있다. 만약 피해액의 규모를 제대로 산출하여 보안정책 수립에 참고한다면 경제적으로나 사회적으로 미치는 사고 영향의 심각성을 정확히 파악할 수 있으며, 결과적으로 유출사고 대응에 필요한 기업 그리고 정부의 노력과 비용의 크기~에 대한 의사결정을 할 수 있기 때문에 체계적인 경제적 피해규모를 파악하는 일은 매우 필요한 과제라고 판단된다. 이에 본 연구는 일본 네트워크 보안협회 등 해외 유수 연구들의 방법론과 새로운 접근법들을 참고하여, 개인정보 유출사고의 피해실태를 파악하기 위한 정보의 수집과 이의 정량적 분석의 개념적 틀을 제시하고자 한다. 또한 비교적 데이터가 부족한 국내의 환경에서도 정책적 지표로서 의미 있는 피해액을 측정함으로써 개인정보 유출 피해를 막기 위한 다양한 정책기획의 기반자료로 활용될 수 있기를 기대한다.
정보화의 빠른 진전과 더불어 정보화의 역기능 역시 비례하여 확산되고 있으며 그 피해는 막대한 것으로 추정되고 있다. 하지만 현재까지 개인정보 유출의 피해규모에 대한 연구와 자료가 미흡한 실정이기 때문에 이로 인한 국가적 피해규모를 계량화하는 작업에 많은 현실적 어려움이 존재하고 있다. 만약 피해액의 규모를 제대로 산출하여 보안정책 수립에 참고한다면 경제적으로나 사회적으로 미치는 사고 영향의 심각성을 정확히 파악할 수 있으며, 결과적으로 유출사고 대응에 필요한 기업 그리고 정부의 노력과 비용의 크기~에 대한 의사결정을 할 수 있기 때문에 체계적인 경제적 피해규모를 파악하는 일은 매우 필요한 과제라고 판단된다. 이에 본 연구는 일본 네트워크 보안협회 등 해외 유수 연구들의 방법론과 새로운 접근법들을 참고하여, 개인정보 유출사고의 피해실태를 파악하기 위한 정보의 수집과 이의 정량적 분석의 개념적 틀을 제시하고자 한다. 또한 비교적 데이터가 부족한 국내의 환경에서도 정책적 지표로서 의미 있는 피해액을 측정함으로써 개인정보 유출 피해를 막기 위한 다양한 정책기획의 기반자료로 활용될 수 있기를 기대한다.
Damage caused by private information breach causes serious problems and huge social losses. In order to make a better policy that prevents society from suffering from the damage, we have to know about the actual size of damage. So it is needed to develop a quantitative model of private information b...
Damage caused by private information breach causes serious problems and huge social losses. In order to make a better policy that prevents society from suffering from the damage, we have to know about the actual size of damage. So it is needed to develop a quantitative model of private information breach that helps catching the more accurate size of damage. In our study, we suggest a method which calculate not only the costs of damage from firms' perspective but also those from individual and social perspectives. In this process, we refer to methods adopted by JNSA(Japan Network Security Association) and Ponemon Research Institue and modify it with considering our current situation. Also we try to make a new model by using new methods(web traffic analysis, survey, indirect comparison, etc.) and verify it with theories and methods from econometrics, cost accounting and theory of producer.
Damage caused by private information breach causes serious problems and huge social losses. In order to make a better policy that prevents society from suffering from the damage, we have to know about the actual size of damage. So it is needed to develop a quantitative model of private information breach that helps catching the more accurate size of damage. In our study, we suggest a method which calculate not only the costs of damage from firms' perspective but also those from individual and social perspectives. In this process, we refer to methods adopted by JNSA(Japan Network Security Association) and Ponemon Research Institue and modify it with considering our current situation. Also we try to make a new model by using new methods(web traffic analysis, survey, indirect comparison, etc.) and verify it with theories and methods from econometrics, cost accounting and theory of producer.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
비록 유출사고를 포함하지 않고 침해사고에 한정된 연구라는 한계가 있지만 향후 유사한 상황이 발생할 시 그 피해를 정량화하여 경제적 손실을 측정하고 이를 예방하기 위한 대책 수립에 활용할 수 있게 되었다는 점에서 의미가 있다. 또한 보안사고의 피해실태를 정확하게 파악하기 위한 착안점을 찾고, 보안사고 위기관리에 필요한 정보를 체계적으로 수집할 수 있는 틀을 확보하였다.
본 연구는 이러한 맥락에서 개인정보 유출사고가 발생하는 경우 민간 기업의 실질적 손실비용과 이를 복구하기 위한 비용을 측정하는데 그치지 않고, 나아가 고객의 손실과 사회적 파급 효과 등의 경제적 피해규모를 정량적으로 산출할 수 있는 모형을 수립함으로써, 향후 유사한 상황이 발생할 시 그 피해를 정량화하여 경제적 손실을 측정하고 이를 예방하기 위한 대책 수립에 활용하는 것을 목적으로 하고 있다. 여기서 말하는 모형이란 유출 사고의 발생으로부터 시스템 복구 및 업무 정상화와 법적 보상에 이르기까지 사태의 흐름을 현실에 입각해 재현함으로써, 그 과정에서 발생할 수 있는 각종 손실을 다면 적으로 파악 · 산출하는 구조를 말한다.
본 연구를 수행하는 도중 데이터의 부족으로 인해 보다 정확한 모델을 확립하고, 국내 적용 가능성을 생각해 보는데 어려움이 있었다. 예를 들어, 상당수의 유출사고에 대하여 유출 내용과 유출 건수를 파악할 수 없는 경우가 매우 많았다.
본 연구에서는 개인정보 침해사고 중 개인정보 유출과 누출로 인한 피해를 기업뿐만 아니라 사용자의 피해까지도 고려해 산출하는 방법을 제시하였다. 이 과정에서 미국 포 네몬 연구소와 일본 JNSA의 방식을 참고했지만 이를 국내 여건에 맞게 수정하고 나아가 트래픽 분석과 설문 조사 결과, 다양한 지표를 이용한 간접비교 등의 방식을 추가적으로 시도했다.
본 연구에서는 단순히 설문조사를 통해 얻은 결과를 그대로 가져다 피해액을 산출하는 것만으로는 정확도가 떨어질 위험이 있기에 이를 검증하고자 각 항목마다 다양한 방식의 산출 대안을 마련한 후 이를 설문 결과와 비교 · 조정함으로써 보다 정확한 값을 얻을 수 있도록 몇 가지 방법을 제안하고자 한다.
본 연구에서는 직접 산출이 가능한 직접 비용을 중심으로 개인정보유출 피해액을 산출하고자 한다. 또한 명시적 직접 비용만을 다룬 기존의 연구에서 한 단계 더 나아가 산출이 어려운 간접비용과 잠재적 비용을 고려하였다.
즉, 모형의 구축은 유출사고의 발생, 사고의 영향, 사고에의 대응 및 복구, 법적 보상 그리고 사회적 파급 효과 등을 분석하여 전체적인 피해를 간결하게 표현하는 것이다. 이러한 작업을 통하여 유출사고의 피해실태를 정확하게 파악하기 위한 착안점을 찾고, 유출사고 위기관리에 필요한 정보를 체계적으로 수집할 수 있는 틀을 확보하고자 한다.
가까운 일본의 경우 개인정보 유출 사고가 일어나면, 이를 미디어를 통해 공표하는 것이 법제화되어 있어 실제 어떤 정보가 유출되었는지 매우 세세한 부분까지 JNSA가 데이터화하여 보유하고 있음에 비해, 국내의 경우 피해액 산출에 이용할 데이터를 찾기가 매우 어려운데다 실제 일어난 사건들이 알려지지 않고 간과되는 일이 빈번하게 현재도 일어나고 있는 것으로 예상된다. 이에 본 연구에서는 일과성으로의 이번 추정에 그치지 않고, 앞으로 데이터를 모으고, 유출사고에 관한 정보와 그 심각성을 보다 많은 사람에게 알림으로써 사회적 공감대를 형성하고 모두의 인식을 개선해야함을 주장하고자 한다. 또한, 국가수준의 적극적 실행을 위한 보안정책 상의 관련 내용 제정의 필요성도 제기한다.
추가적으로 개인정보 유출사고의 영향이 클 것으로 예상되는 관련 사업 파급효과와 기업의 법적 비용 · 벌금 및 보상 받지 못한 고객의 손실까지 산출의 범위를 확대함으로써 보다 정확한 산출액을 도출하려 한다.
제안 방법
피해액 산출에 있어 JNSA의 피해액 산출요소는 보상받지 못한 개인의 정보 가치와 기업이 실제 보상한 법적 보상금으로 이는 정보자체 가치의 손실에 초점을 두고 있다. 개인정보 유출로 인해 보상받지 못한 개인의 손실과 법적보상금 지불로 인한 기업의 손실 두 측면에서의 피해를 포괄하여 산출한다. 반면 포네몬 연구소의 피해액 산출요소는 대응인건비, IR 대응비용, 수익 손실, 기업이 실제 보상한 법적보상금으로 구성되어 있으며 이는 기업 손실에 중점을 두고 있다.
결과적으로 본 연구에서 측정하는 피해액은 포네몬 보고서에서 산출한 기업 중심의 피해액과 JNSA 보고서에서 산출한 유출된 정보 자체의 가치를 모두 고려한 후 이러한 피해가 관련 산업에 미치는 파급효과까지 측정하였다고 볼 수 있다.
그러나 2010년 보고서에서는 그 타당성에 관한 의문이 제기되고 산정이 어렵다고 평가되는 직접 복구비용, 기회비용 등의 사고비용과 관련된(과거 보고서의 섹션 1에 해당) 부분을 제외하였다. 그리고 섹션 2의 적정 법정 보상액 산정에 관한 부분의 경우 판사의 판결에 따라 보상 판결액이 바뀌는 등 추정과 실제가 차이가 발생하는 문제점이 있다는 점 등을 고려해서 유출된 정보의 기본 가치액을 추정하는 원론적 형태로 모델의 방향을 수정하였다[28]. 또한 2003년도 보고서에서 잠시 시도되었던 주가를 이용한 피해액 산출 방법은 그 예측의 타당성 여부에 대한 문제점으로 현재는 사용하지 않고 있다.
실제 포네몬의 연구는 기업의 손실분을 대상으로 하고 있으며, JNSA가 측정한 정보 가치는 유출로 인해 개인이 받는 피해라고 볼 수 있다. 따라서 기업과 개인 모두의 피해를 동시에 측정할 때 두 사례를 참고하고 적절히 통합하는 방법을 사용하였다. 이를 위에서 제시한 손실액 다이어그램을 이용해 요소별로 비교해서 정리하면 <표 5>와 같다.
본 연구에서는 직접 산출이 가능한 직접 비용을 중심으로 개인정보유출 피해액을 산출하고자 한다. 또한 명시적 직접 비용만을 다룬 기존의 연구에서 한 단계 더 나아가 산출이 어려운 간접비용과 잠재적 비용을 고려하였다. 추가적으로 개인정보 유출사고의 영향이 클 것으로 예상되는 관련 사업 파급효과와 기업의 법적 비용 · 벌금 및 보상 받지 못한 고객의 손실까지 산출의 범위를 확대함으로써 보다 정확한 산출액을 도출하려 한다.
또한 보상받지 못한 개인의 정보가치는 실제 법적 보상을 받지 못한 개인들의 피해액의 총합으로 추정하고자 하며, 산업파급효과는 산업 연관표의 유발계수를 이용하여 측정한다.
본 연구에서는 자신에 관한 정보의 수집 · 이용 · 공개 · 제공 등을 본인이 통제할 수 있는 권리인 자기정보통제권이 침해되었을 경우를 의미하는 개인정보 침해사고 중에서 악성코드 감염, 해킹, 서비스 방해 등의 공격행위에 의해 개인정보가 외부로 내보내지는 개인정보 유출과 조직내부에서 개인정보가 새어나가는 개인정보 누출을 논의의 범위로 한정한다.
위에서 언급한 예상 목록 도출을 위해 본 연구에서는 포네몬 연구소, 인포메이션 쉴드(Information Shield Inc.) 등의 보안 전문 연구소와 기업에서 발행한 보고서를 수집 · 정리함으로써 예상 요소들을 도출하였다.
본 연구에서는 개인정보 침해사고 중 개인정보 유출과 누출로 인한 피해를 기업뿐만 아니라 사용자의 피해까지도 고려해 산출하는 방법을 제시하였다. 이 과정에서 미국 포 네몬 연구소와 일본 JNSA의 방식을 참고했지만 이를 국내 여건에 맞게 수정하고 나아가 트래픽 분석과 설문 조사 결과, 다양한 지표를 이용한 간접비교 등의 방식을 추가적으로 시도했다. 이는 기존 모델이나 다른 연구 논문들과 비교하여 우리 실정에 적합한 피해 규모의 측정을 시도하였다는 점에서 큰 특징을 가진다고 할 수 있으며, 이로 인해 개인정보 유출사고로 인한 피해를 더욱 객관적으로 측정할 수 있도록 기존의 방법을 개선하였다고 판단된다.
이에 따라 개인정보 유출사고로 인해 발생할 수 있는 모든 가시적인 비용과 비가시적인 비용을 명시적/잠재적/간접/직접의 기준에 따라 분류했으며 그 결과는 아래의 과 같다.
대상 데이터
또한 이 보고서들을 하나로 모아 비교 분석한 ‘Global Cost of Data Breach’라는 보고서도 함께 내놓고 있는데 이는 보안 환경과 경제 규모에 따른 국가들의 피해액을 체계적으로 비교·분석하는 자료로 활용되고 있다. 이들이 조사하는 대상은 2009년 기준으로 전 세계 18개 산업에 걸친 130여 개의 기업에 이른다.
피해액 산출을 위한 요소들을 도출했으면 이를 측정할 수 있는 자료 수집을 위한 각 요소별 세부식이 필요하다. 이를 위해 실제 측정이 이루어지고 있는 포네몬 연구소[29], 인포메이션 쉴드(Information Shield Inc.)[26]등의 보안 전문 연구소와 기업에서 발행한 보고서를 참고했다.
이론/모형
개인정보 유출사고의 피해유형과 발생된 피해요소에 대한 개념적인 정의 및 구분은 Gordon and Loeb의 연구를 활용한다[24]. Gordon and Loeb은 피해유형인 비밀성, 가용성, 무결성의 상실에 따른 피해 발생 비용을 직접비용(Direct Costs)과 간접비용(Indirect Costs), 명시적 비용(Explicit Costs)과 잠재적 비용(Implicit Costs)으로 구분하여 정의하였다<그림 1>.
본 연구에서는 비밀성과 완결성이 상실된 개인정보 유출사고 피해액을 산출하기 위해 Gordon and Loeb의 개념적인 정의 중 비용적인 부분만을 고려한 선행연구의 방법을 정량적 모델 개발의 시작점으로 활용한다[5]. 이에 따라 개인정보 유출사고로 인해 발생할 수 있는 모든 가시적인 비용과 비가시적인 비용을 명시적/잠재적/간접/직접의 기준에 따라 분류했으며 그 결과는 아래의 <표 1>과 같다.
위의 다이어그램에서 제안한 피해요소를 구성하기 위해 본 연구에서는 미국의 포네몬 보고서[29]와 일본 JNSA의 연구[28]를 참고했다.
이를 위해 에서 제시한 변형된 Gordon and Loeb의 프레임워크를 다양한 요소들을 도출하고 분류하기 위한 기준으로 활용하고자 한다.
성능/효과
마지막으로 관련 항목과 관련된 각계 전문가와의 심층 인터뷰를 통해 결과값의 타당성을 한 번 더 검증 · 조정하는 작업을 추가로 수행하여 정확성을 더 높일 수 있다.
후속연구
본 연구는 피해규모 수치 그 자체보다는 설문과 상대적 비교 분석 등의 기법을 이용한 산출 방법론을 제시했다는데 의의를 두고 있으며, 이를 적용한 개인정보 유출관련 피해액 산출 작업을 통하여 향후 체계적인 개인정보 유출관련 피해액 산출 모델을 더욱 확립해 나갈 수 있을 것으로 기대한다. 향후 제도적 보완과 이에 의한 데이터 질의 향상과 함께 산출 피해액은 더욱 정확하고 정교하게 추정될 수 있을 것으로 예상된다.
본 연구는 피해규모 수치 그 자체보다는 설문과 상대적 비교 분석 등의 기법을 이용한 산출 방법론을 제시했다는데 의의를 두고 있으며, 이를 적용한 개인정보 유출관련 피해액 산출 작업을 통하여 향후 체계적인 개인정보 유출관련 피해액 산출 모델을 더욱 확립해 나갈 수 있을 것으로 기대한다. 향후 제도적 보완과 이에 의한 데이터 질의 향상과 함께 산출 피해액은 더욱 정확하고 정교하게 추정될 수 있을 것으로 예상된다.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보의 이용 증가의 장단점은 무엇인가?
하지만, 개인정보의 이용 증가는 과금, 서비스 제공 목적 달성 등 순기능을 활성화하는 양의 효과를 가지는 반면, 제 3자에 의한 정보 시스템 침해를 통한 개인정보의 유출과 이의 부정적 용도로의 사용이나 정보 소유 기업 자체에 의한 정보 소유권의 남용으로 인해 심각한 부의 효과를 발생시키고 있다.
개인정보 유출 사건의 예로 어떤 것들이 있는가?
예를 들어, 2008년 중국 해커에 의해 발생한 옥션 개인정보 유출 사건으로 약 1,800만명의 개인 정보가 유출되었으며, 2010년에는 신세계를 비롯한 25개 사이트의 약 2,500만 명의 개인 정보가 유출되는 등 엄청난 규모의 개인정보 유출 사건이 계속해서 발생하고 있다. 이렇게 유출된 정보는 스팸, 보이스 피싱, 텔레마케팅 등에 이용되고 있으며 이로 인해 수많은 소비자들이 피해를 겪고 있는 실정이다.
개인정보 유출의 피해규모에 대해 체계적인 경제적 피해규모를 파악하는 일이 필요한 관제로 판단되는 이유는 무엇인가?
하지만 현재까지 개인정보 유출의 피해규모에 대한 연구와 자료가 미흡한 실정이기 때문에 이로 인한 국가적 피해규모를 계량화하는 작업에 많은 현실적 어려움이 존재하고 있다. 만약 피해액의 규모를 제대로 산출하여 보안정책 수립에 참고한다면 경제적으로나 사회적으로 미치는 사고 영향의 심각성을 정확히 파악할 수 있으며, 결과적으로 유출사고 대응에 필요한 기업 그리고 정부의 노력과 비용의 크기~에 대한 의사결정을 할 수 있기 때문에 체계적인 경제적 피해규모를 파악하는 일은 매우 필요한 과제라고 판단된다. 이에 본 연구는 일본 네트워크 보안협회 등 해외 유수 연구들의 방법론과 새로운 접근법들을 참고하여, 개인정보 유출사고의 피해실태를 파악하기 위한 정보의 수집과 이의 정량적 분석의 개념적 틀을 제시하고자 한다.
한국정보보호진흥원 전략기획팀, "개인정보의 경제적 가치 분석 고찰", 정보보호 Issue Report, 2007.
한국정보보호진흥원, "컴퓨터 해킹, 바이러스 피해액 산출방법 연구", 2002.
한국정보보호진흥원, "인터넷 침해사고 피해액 산출모형 개발에 관한 연구", 2006.
한국정보보호진흥원, "2007년 정보보호실태조사", 2007.
한국정보보호진흥원, "2008년 정보보호실태조사", 2008.
한국정보보호진흥원, "2009년 정보보호실태조사", 2009.
한국정보보호진흥원, "2003년도 개인 인터넷 이용자의 정보화 역기능 실태조사 보고서", 2003.
Anita, D. and Amico, D., "What does a Computer Security Breach Really Cost?," Secure Decision, a division of Applied Visions, Inc., 2000.
Butler, S. A., " Security Attribute Evaluation Method : A Cost-Benefit Approach," Proceedings of the 24th International Conference on Software Engineering, ACM, 2002.
CIC Security Working Group, "Incident Cost Analysis and Modeling Project," 1998.
CnetNews.com, "Counting the cost of Slammer," (www.news.com/2100-1001-982955.html), 2003.
Congressional Research Service, "The Economic Impact of Cyber-Attacks," 2004.
Farahmand, F., Navathe, S. B., Sharp, G. P., and Enslow, P. H., "Assessing Damages of Information Security Incidents and Selecting Control Measures, a Case Study Approach," Workshop on the Economics of Information Security, 2005.
Gordon, L. A. and Loeb, M. P., "Managing Cybersecurity Resources : A Cost-Benifit Analysis," 2006.
Howard, J. D., "An Analysis of Security Incidents On the Internet 1989-1995," 1997.
Information Shield Inc., "Privacy Breach Impact caculator," (hhttp://www.informationshield.com/privacybreachcalc.html)
JNSA, "情報セキュリティインシデントに?する 調査報告書," 2003.
JNSA, "情報セキュリティインシデントに?する 調査報告書," 2010.
Ponemon Institute, "Fifth Annual US Cost of Data Breach, January 2010," (http://www.ponemon.org/data-security), 2010.
Smith, D. M., "The Cost of Lost Data," The George L. Graziadio School of Business and Management Report, Pepperdine University, 2003.
Tech//404, "Data Loss Cost Calculator," http://www.tech-404.com/calculator.html).
USENIX Association, "Incident Cost Analysis and Modeling Project II," 2000.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.