[논문]정보보호 투자와 침해사고의 인과관계에 대한 실증분석

신일순; 장원창; 박희영

doi:10.13089/jkiisc.2013.23.6.1207

문제 정의

특히 본 연구에서는 정보보호 투자 효과에 대해, 인과관계를 이중차분법(Difference-in-Differences)을 이용하여 살펴보는 것을 주제로 삼고 있다. 그 이유는 첫째, 위에서 언급한 정보보호 분야의 특이성에 따라 정보보호 투자가 침해사고의 건수를 감소시킬 것이라는 일반적인 인과관계에 대한 믿음이 과연 실제 데이터에 의해 지지되는지를 살펴보고자 함이다. 둘째, 역시 정보보호 데이터의 특이성 때문에 정보보호 투자를 수행하지 않은 기업과 침해사고를 경험하지 않은 기업이 전체 샘플에서 대다수로 나타나고 있어, 일반적인 실증분석 방법과 차별화하여 이러한 특징을 적절히 통제하는 실증적인 방법이 필요하기 때문이다.
마지막으로, 역의 인과관계, 즉 정보보안 침해사고에 대한 경험이 사후적으로 정보보호 투자비율을 증가시키는 성향이 어떠한 업종에서 현저하게 나타나는지를 살펴보도록 한다. 통제변수를 제외하고 총 8개 서비스업의 업종별로 식(10)을 추정한 결과는 Table 7.
먼저 통상적인 인과관계의 분석에 대해 살펴보자. 이중차분법을 이용하는 경우 위의 식 (7)과 같은 회귀식을 구성하는데, 만일 사용되는 데이터가 본 연구의 경우와 같이 균형 패널(balanced panel)이면 이를 차분하여 다음과 같이 회귀식을 설정할 수 있다.
본 연구에서는 이러한 방법 중에서 이중차분법(Difference-in-Differences)을 이용하여 정보보호 투자의 효과 및 정보보호 투자와 침해사고의 인과관계를 살펴보고자 하였다. 이중차분법을 간단히 설명하면 다음과 같다.
본 연구에서는 첫 번째 문제를 우리나라에서 지속적으로 이루어지고 있는 정보보호 관련 기업조사, 즉 한국인터넷진흥원의 “기업의 정보보호 실태조사”의 원자료를 이용하여 해결하고자 하였고, 두 번째 문제는 원자료를 패널데이터로 재구성하여 인과관계 분석에 적절한 이중차분법을 이용하여 분석하고자 하였다.
본 장에서는 기업의 정보보호 투자와 정보보안 침해사고에 대한 데이터가 존재하는 경우를 상정하고, 일반적인 실증분석을 행할 경우에 어떠한 문제점이 발생하는지를 살펴보기로 한다. 편의상 정보보호 투자의 정보보안 침해사고에 대한 효과를 분석하기 위해 N 개 기업의 데이터가 있는 경우를 상정하자.
본 연구에서는 위의 원자료를 이용하여 한 가지 추가적인 과정을 거쳐서 필요 변수를 추출하였다. 이미 설명한 것처럼 본 연구에서는 정보보호 투자 및 정보보안 침해사고를 두 가지 주요한 변수로 삼고, 통상적인 인과관계 및 역의 인과관계를 이중차분법으로 살펴보고자 한다. 그런데 [9]에 따르면, 이중차분법을 이용하는 경우 처리변수(treatment variable)와 누락변수(omitted variable)간 상관관계(correlation)로 인해 추정결과가 왜곡될 가능성을 고려하여 처리변수의 선택에 유의하여야 한다는 점을 지적하고 있다.
이에 따라 본 연구에서는 민간 기업만을 대상으로(전체 기업 중에는 회사외 법인 및 국가기관/지방자치단체도 포함되어 있음) 하고, 서비스업만을 대상으로(전체 기업 중에는 농수산업, 제조업, 건설업 등이 포함되어 있음) 하며, 기업 규모를 종업원 수 기준으로 10∼250명인 경우로 제한하여 분석하고자 한다.

가설 설정

본 장에서는 기업의 정보보호 투자와 정보보안 침해사고에 대한 데이터가 존재하는 경우를 상정하고, 일반적인 실증분석을 행할 경우에 어떠한 문제점이 발생하는지를 살펴보기로 한다. 편의상 정보보호 투자의 정보보안 침해사고에 대한 효과를 분석하기 위해 N 개 기업의 데이터가 있는 경우를 상정하자. 이에 부가하여 만일 기업 i(∈[1, N]) 가 정보보호 투자를 수행하였다면 X_i= 1 로, 투자를 하지 않았으면 X_i = 0 으로 나타내며, 정보보호 투자를 수행한 기업의 수를 N₁, 그렇지 않은 기업의 수를 N₀ 이라고 하자.

제안 방법

본 연구에서는 위의 원자료를 이용하여 한 가지 추가적인 과정을 거쳐서 필요 변수를 추출하였다. 이미 설명한 것처럼 본 연구에서는 정보보호 투자 및 정보보안 침해사고를 두 가지 주요한 변수로 삼고, 통상적인 인과관계 및 역의 인과관계를 이중차분법으로 살펴보고자 한다.
또한, 기업 자체의 특징에 대한 변수가 소수에 불과하다는 데이터의 한계로 인해 중요하지만 누락되는 변수가 존재할 가능성이 있다. 이러한 문제를 우회하기 위해 본 연구에서는 [10]의 방법과 같이 처리변수 이외의 측면에서 처리집단과 통제집단의 표본을 유사하게 조정하는 방법을 선택하였다. 이를 좀 더 자세히 살펴보기 위해 정보보호 투자 및 정보보안 침해사고에 대한 기본적인 통계치를 소개하면 다음과 같다.
이중차분법의 추정 결과를 통상적인 실증방법과 비교하기 위해 먼저 특정 연도의 정보보안 침해 건수를 피설명변수로 하고 정보보호 투자를 주요한 설명변수로 하는 통상적인 회귀식의 추정 결과를 살펴보면 다음과 같다(Table 4. 참고).
일례를 들어 경찰이 늘어나면 범죄가 줄어들 것인지를 분석하기 위해 지역별로 범죄발생 건수( Yi )와 경찰의 수(Xi ) 및 그 지역의 특성을 나타내는 정보(Zi)를 수집하여 자료로 모았다고 하자.
정보보호의 측면에서도 이러한 편의가 실제로 발생하는지를 살펴보기 위해 정보보호 투자 및 침해사고에 대한 우리나라의 데이터를 이용하여 간단한 OLS로 추정해 보도록 한다. 실증분석을 위한 회귀식은 식 (1)과 식 (5)이며, 정보보안 침해사고에 대한 정보보호 투자의 효과를 분석하는 회귀식 추정의 결과는 다음과 같다.

대상 데이터

본 연구에서 사용한 데이터는 Korea Internet and Security Agency(2010)의 “A Survey of 2010’s Information Security(Firm)”의 원자료(raw data)이다.
그런데 이러한 정보보호 투자 효과에 대한 실증 분석의 어려움과 특이성에도 불구하고, 국내의 경우 상당 기간에 걸쳐 한국인터넷진흥원에서 “기업의 정보보호 실태조사”를 수행하여 왔다. 이 조사는 패널데이터(panel data)의 특성을 가지지는 않지만¹⁾, 다른 나라에서 쉽게 조사되지 않는 정보보호에 대한 여러 가지 내용을 설문 방법을 통해 비교적 다수(2010년의 경우 6,000개 이상)의 기업들에 대해 체계적으로 조사한 자료이다. 특히 이 조사의 항목 중에는 정보보호 투자 및 침해 현황에 대한 내용을 포함하고 있고, 매우 흥미롭게도 투자 및 침해 건수의 전년 대비 증가율에 대한 데이터가 있기 때문에 이를 이용하면 두 기간에 걸친 패널데이터로 재구성할 수 있다.

이론/모형

특히 본 연구에서는 정보보호 투자 효과에 대해, 인과관계를 이중차분법(Difference-in-Differences)을 이용하여 살펴보는 것을 주제로 삼고 있다. 그 이유는 첫째, 위에서 언급한 정보보호 분야의 특이성에 따라 정보보호 투자가 침해사고의 건수를 감소시킬 것이라는 일반적인 인과관계에 대한 믿음이 과연 실제 데이터에 의해 지지되는지를 살펴보고자 함이다.

성능/효과

5) 위의 추정결과에 따르면, 정보보호 투자를 더 많이 할수록 정보보안 침해사고의 건수가 “오히려 유의미하게 증가”한다는 결론이 도출되며, 이러한 양의 관계는 다른 통제변수를 포함시키더라도 큰 변화가 없는 것으로 나타난다.
4% 정도 더 높다는 의미이다. 다시 말해 내생성을 통제한 이후에 유의미한 분석 결과를 기준으로 판단하면, 정보보호 투자가 정보보안 침해사고를 줄이는 효과를 가지는 것보다 침해사고를 경험한 기업이 사후적으로 정보보호 투자 비율을 증가시키는 것으로 보는 것이 적절한 해석인 것으로 판단할 수 있다. 이러한 결과는 모형 (1)과 모형 (2)에서도 일관적으로 나타나고 있으며, 모형 (2)의 추정 결과에서 규모가 큰 기업에서 정보보안 침해사고가 더 많이 증가하는 것으로 추정되었다는 점에서 직관에 부합하는 것으로 볼 수 있다.
⁷⁾ 이러한 데이터의 특징은 많은 기업이 0의 데이터 값(투자하지 않거나 경험하지 않은 경우)을 가지기 때문에 통상적인 실증분석을 하는 경우에 문제가 발생할 가능성이 있음을 의미한다. 두 번째 특징은 종업원 수를 기준으로 할 때, 기업 규모가 큰 기업이 정보보호 투자를 수행할 가능성이 높고, 동시에 정보보안 침해사고를 경험할 가능성이 높다는 것이다. 즉 전체 기업을 대상으로 분석할 경우에는 [9]에서 제기된 것처럼 처리집단과 통제집단에 처리 변수이외의 내생적인 차이가 존재할 가능성이 높게 된다.
둘째, 이러한 결과가 나타나는 이유인 내생성을 보정하기 위해 패널 데이터를 구성하고 분석의 대상이 되는 표본을 제약하였으며, 이중차분법을 이용하여 분석한 결과는 통상적인 분석결과와 상당히 다른 것으로 나타났다. 즉, 통상적인 인과관계인 정보보호 투자가 정보보안 침해사고에 미치는 영향은 더 이상 유의미하지 않은 것으로 분석되었고, 반대로 역의 인과관계, 즉 침해사고를 경험한 기업이 정보보호 투자를 증가시킨다는 가설은 유의미하게 데이터에 의해 입증되는 것으로 나타났다.
에 따르면 종업원 수가 10∼250명인 민간 서비스업을 대상으로 하는 경우, 46%가 정보보호 투자를 수행하였으며, 17%만이 정보보안 침해사고를 경험한 것으로 나타난다. 또한 정보화 지출 대비 정보보호 지출은 평균 1.6% 수준으로 매우 적은 것으로 나타나며, 평균 침해건수도 연간 1건 미만인 것으로 나타난다.
셋째, 업종별로 역의 인과관계를 분석한 결과, 정보보호에 매우 민감하기 때문에 다른 업종에 비해 과감한 사전적인 투자를 수행하는 것으로 인식되고 있는 금융/보험업의 경우, 오히려 침해사고의 발생에 따라 사후적으로 정보보호 투자를 수행하고 있는 대표적인 업종으로 나타났다.
이러한 결과는 기타 통제변수를 포함한 모형 (2)에서도 유사하게 나타나고 있으므로 비교적 강건한 결과로 해석할 수 있다. 이 결과를 Table 4.와 비교하면, 내생성을 적절하게 다루어 추정한 회귀분석의 결과 그렇지 않은 경우에 정보보호 투자가 오히려 유의미하게 정보보안 침해사고 건수를 증가시키는 것으로 분석되었던 것에 비해 정보보호 투자가 정보보안 침해사고 건수에 유의미한 영향을 미치지 않는 것으로 분석되고 있는 것으로 변화하는 것을 알 수 있다. 따라서 자연스럽게 생각할 수 있는 다음 문제는 과연 정보보호 투자가 정보보안 침해사고에 영향을 미친다는 통상적인 인과관계가 아니라, 이와 반대의 방향으로 정보보안 침해사고가 정보보호 투자에 영향을 미치는지에 대한 것이며, 이에 따라 역의 인과관계에 대한 실증분석의 필요성이 대두된다.
이러한 결과는 모형 (1)과 모형 (2)에서도 일관적으로 나타나고 있으며, 모형 (2)의 추정 결과에서 규모가 큰 기업에서 정보보안 침해사고가 더 많이 증가하는 것으로 추정되었다는 점에서 직관에 부합하는 것으로 볼 수 있다. 이상의 실증분석의 결과를 요약하면, 정보보호관련 기업 활동의 특징 및 내생성을 적절히 고려하여 이중차분법으로 분석할 경우에 통상적인 인과관계로 볼 수 있는 정보보호 투자가 침해사고를 줄인다는 효과에 대해서는 실증적인 근거를 발견하기 어려웠던 반면, 그 역의 인과관계, 즉 침해사고를 경험한 기업이 정보보호 투자에 적극적이라는 가설이 어느 정도 데이터에 의해 입증되는 것으로 해석할 수 있다.
에서 특정적으로 나타나는 것은 모형 (1) 및 모형 (2)에서 공통적으로 정보보안 침해사고를 경험한 기업이 유의미하게 정보보호 투자를 증가시키는 것으로 분석된다는 점이다. 이에 대한 추정계수를 해석하면, 정보보안 침해사고를 경험한 기업이 그렇지 않은 기업에 비해 평균적으로 0.07%p 정도 정보화 지출 대비 정보보호 지출을 더 수행한다는 의미이고, 이를 다시 환산하면 정보보안 침해사고를 경험한 기업의 경우 그렇지 않은 기업에 비해 정보화 지출 대비 정보보호 지출이 4.4% 정도 더 높다는 의미이다. 다시 말해 내생성을 통제한 이후에 유의미한 분석 결과를 기준으로 판단하면, 정보보호 투자가 정보보안 침해사고를 줄이는 효과를 가지는 것보다 침해사고를 경험한 기업이 사후적으로 정보보호 투자 비율을 증가시키는 것으로 보는 것이 적절한 해석인 것으로 판단할 수 있다.
둘째, 이러한 결과가 나타나는 이유인 내생성을 보정하기 위해 패널 데이터를 구성하고 분석의 대상이 되는 표본을 제약하였으며, 이중차분법을 이용하여 분석한 결과는 통상적인 분석결과와 상당히 다른 것으로 나타났다. 즉, 통상적인 인과관계인 정보보호 투자가 정보보안 침해사고에 미치는 영향은 더 이상 유의미하지 않은 것으로 분석되었고, 반대로 역의 인과관계, 즉 침해사고를 경험한 기업이 정보보호 투자를 증가시킨다는 가설은 유의미하게 데이터에 의해 입증되는 것으로 나타났다.
실증 분석의 결과는 다음과 같다. 첫째, 실증연구자들이 행하기 쉬운 통상적인 실증분석을 사용하여 정보보호 투자의 효과를 분석하면, 정보보호 투자를 많이한 기업이 오히려 정보보안 침해건수가 유의미하게 더 높은 것으로 나타나 상식에 위배되는 결론이 도출되는 것을 알 수 있었다.
일반적으로 기업의 정보보호 투자는 다른 투자와 구별되는 두 가지 특징을 가진다. 첫째, 정보보호관련 기업 정보의 민감성 때문에 정보보호 투자 및 정보보안 침해 사고에 대한 데이터를 입수하기가 매우 어려우며, 둘째, 수익 창출의 수단이 되는 일반적인 투자와 달리 정보보호 투자는 기본적으로 위험 감소의 효과를 가진다. 이러한 특징에 따라 현실적으로 정보보호 투자의 실증적, 계량적 연구가 매우 드물게 이루어져 왔으며, 정보보호 투자를 선제적으로 늘리는 것이 어려울 것이라는 예측을 할 수 있다.
에서 모형 (1)은 독립변수로 정보보호 투자만을 사용한 경우이며, 모형 (2)는 기타 기업 특성 변수를 통제변수로 추가한 것이다. 추정 결과에 따르면, 정보보호 투자를 수행한 기업에서 오히려 유의미하게 정보보안 침해사고 건수가 증가하는 것으로 나타난다. 즉, 연구자가 실증분석 방법의 선택에 있어 충분한 주의를 기울이지 않고 통상적인 방법을 사용하는 경우 정보보호 투자의 효과가 예상과는 반대의 방향으로 나타남을 알 수 있다.
에서 제시되는 결과를 통해 판단하면, 전체 서비스업 중에서 숙박/음식업 및 금융/보험업에서 역의 인과관계가 매우 유의미하고 현저하게 나타나고 있는 것을 발견할 수 있다. 특히 금융/보험업의 경우 정보보호에 매우 민감하기 때문에 다른 업종에 비해 과감한 사전적인 투자를 수행하는 것으로 인식되고 있음에도 불구하고, 본 연구의 분석에 따르면 침해사고에 따라 가장 사후적으로 정보보호 투자를 수행하고 있는 업종으로 나타나고 있어 기존의 통상적인 인식과는 매우 다른 결과를 보여주고 있다.

핵심어	질문	논문에서 추출한 답변
	이중차분법을 이용하여 분석한 실증결과는 어떠한가?	이중차분법을 이용하여 분석한 실증결과는 다음과 같다. 첫째, 정보보호투자가 침해사고를 줄인다는 통상적인 인과관계에 대해서는 유의미한 실증적인 근거를 발견하기 어려웠던 반면, 역의 인과관계, 즉 침해사고가 많은 기업이 정보보호 투자를 증가시킨다는 가설은 유의미하게 데이터에 의해 입증되는 것으로 나타났다. 둘째, 정보보호에 매우 민감하기 때문에 다른 업종에 비해 과감한 사전적인 투자를 수행하는 것으로 인식되고 있는 금융/보험업의 경우, 실증분석에 따르면 오히려 침해사고의 발생에 따라 사후적으로 정보보호 투자를 수행하고 있는 대표적인 업종으로 나타났다.
	정보보호 투자의 정량적 효과를 실증적으로 분석하기 위해서 무엇이 필수적인가?	특히 정보보호 투자의 정량적 효과를 실증적으로 분석하기 위해서는 정보보호 투자에 대한 데이터 및 침해사고 건수, 피해액 등 정보보호 투자의 효과를 나타내는 데이터의 존재가 필수적이다. 그러나 정보보호 투자 및 침해에 대한 데이터가 필연적으로 가질 수밖에 없는 정보의 민감성 때문에, 외부 연구자가 특정 기업으로부터 데이터를 수집하는 것이 매우 어려운 것이 사실이다.
	사회전반으로 정보보호의 중요성이 증가하게 된 배경은 무엇인가?	인터넷의 확산과 네트워킹의 일상화가 진행되면서 사회 전반적으로 정보보호(information security)의 중요성이 증가하고 있다. 특히 치열해지는 경쟁 환경에서 자신의 비즈니스를 지속적이고 안정적으로 수행하는 것이 기업의 경쟁우위 확보의 전제 조건이라는 점을 고려할 때 기업의 위험관리차원에서 정보보호의 필요성이 높아지고 있다[1].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

정보보호 투자와 침해사고의 인과관계에 대한 실증분석
Information Security Investment and Security Breach: Empirical Study on the Reverse Causality 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

질의응답

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

정보보호 투자와 침해사고의 인과관계에 대한 실증분석 Information Security Investment and Security Breach: Empirical Study on the Reverse Causality 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

질의응답

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

신일순 (6) 장원창 (3)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

정보보호 투자와 침해사고의 인과관계에 대한 실증분석
Information Security Investment and Security Breach: Empirical Study on the Reverse Causality 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper