[논문]사이버정보보호의 경제적 효과분석: 국가적 피해액 산정을 중심으로

신진

doi:10.13089/jkiisc.2013.23.1.089

초록
AI-Helper

최근 여러 차례의 DDoS공격 및 정보유출사태에서 보듯이 사이버공간에 대한 의존성이 높아지고 있다. 산업기밀유출, 사이버 테러, 개인정보유출의 문제 뿐 아니라 국가 간의 사이버 전쟁의 우려가 커지는 등 잠재적 피해범위와 규모도 커지고 있다. 그러므로 이에 대한 대비는 개인과 기업의 이익뿐만 아니라 국가의 안보, 나아가 세계평화와 직결될 만큼 중요성이 커지고 있다. 따라서 사이버정보보호체계의 확립이 시급하며 이를 위하여 사이버피해에 대한 체계적 이해가 필요하다. 따라서 사이버공간의 피해액 추정 방법을 정리하고 이를 바탕으로 정보 보호 대책을 수립하는 것은 중요한 국가적 과제라 할 수 있다. 정보보호의 경제적 효과에 대한 분석은 국가 정보보호 정책을 수립하는 기초적인 자료가 될 것이다. 우리나라의 사이버범죄에 의한 잠재적 피해액은 산정기준에 따라 큰 폭의 차이를 보이지만 대략 10조원에서 40조원 정도의 범위에 있다고 추정해 볼 수 있다.

Abstract ▼ AI-Helper

Recent DDoS attacks and private informations leaked show that everyday life is interwoven with cyberspace and we are becoming more vulnerable to cyber attacks. Therefore, a systematic understanding of cyber damage structure is very important and damage loss estimation method should be developed to e...

Recent DDoS attacks and private informations leaked show that everyday life is interwoven with cyberspace and we are becoming more vulnerable to cyber attacks. Therefore, a systematic understanding of cyber damage structure is very important and damage loss estimation method should be developed to establish solid cyber security protection system. In this study, economic loss caused by cyber attacks are surveyed based on the analysis of existing studies and try to develop a reasonable methods to estimate economic effects of cyber security protection in Korea. Potential economic loss of Korea by cyber attacks may be situated between 10 billion and 40 billion dollars. But more sophisticated system should be established to estimate economic effects of cyber protection for proper policy decision making.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 데이터 수집상의 현실적인 제약을 인정하고 미국이 사이버보안법(Cybersecurity Act)이나 사이버정보공유 및 보호법(CISPA)의 제정 등과 관련하여 주요 근거로 자주 언급하고 있는 노턴사이버범죄보고서(2011)의 계산방식을 원용하여 우리나라 사이버범죄의 경제적 피해를 추정해보고자 한다. 그런데 아쉽게도 우리나라의 경우는 노턴 보고서에 포함되어 있지 않고 또한 각국의 개별적 데이터도 제공되지 않고 있으므로, 우선 24개국의 경제규모와 우리나라의 경제규모를 비교하고 인터넷 사용자수를 비교하여 우리나라 사이버범죄의 경제적 피해를 시험적으로 계산해보고자 한다.
본 연구에서는 데이터 수집상의 현실적인 제약을 인정하고 미국이 사이버보안법(Cybersecurity Act)이나 사이버정보공유 및 보호법(CISPA)의 제정 등과 관련하여 주요 근거로 자주 언급하고 있는 노턴사이버범죄보고서(2011)의 계산방식을 원용하여 우리나라 사이버범죄의 경제적 피해를 추정해보고자 한다. 그런데 아쉽게도 우리나라의 경우는 노턴 보고서에 포함되어 있지 않고 또한 각국의 개별적 데이터도 제공되지 않고 있으므로, 우선 24개국의 경제규모와 우리나라의 경제규모를 비교하고 인터넷 사용자수를 비교하여 우리나라 사이버범죄의 경제적 피해를 시험적으로 계산해보고자 한다.
그러나 우리나라의 경우 아직 사이버피해에 대한 정확하고 포괄적인 데이터가 마련되어 있지 않다. 이에 본고는 외국의 자료에 비추어 우리의 경우를 추정해보고자 한다.

가설 설정

여기서 사이버범죄의 피해액은 국내총생산액(GDP)과 인터넷사용자수에 비례한다고 가정한다. 각국의 사이버 범죄 피해양상은 얼마간 다를 수밖에 없으나 충분한 데이터가 확보되지 않은 상황에서 경제규모와 사이버범죄의 피해 사이에는 정비례관계가 존재한다고 가정하여도 큰 무리가 없을 것으로 판단된다.

제안 방법

여기서 ‘사이버범죄(cyber crime)'의 범위는 ‘금전적인 이익을 위하여 행하는 불법행위’로 인터넷이나 전자시스템을 사용하여 개인, 기업, 정부가 사용하는 정보와 서비스에 무단 접속하거나 공격하는 행위를 의미한다. 이 연구에서는 이제까지 이해가 부족했던 영국의 개인들에 대한 명의도용과 온라인 사기, 기업에 대한 지적재산침해, 산업스파이 및 강탈(extortion), 정부에 대한 재정적 사기(fiscal fraud)를 포함한 범죄행위에 초점을 맞추었다. 사이버범죄 행위자는 외국의 정보관련 기관, 대규모범죄조직에서 기업, 개인 및 소규모 기회주의자 그룹에 이른다.

대상 데이터

조사대상 성인의 수는 동일한 대표성을 확보하기 위하여 각국에 500명 기준으로 가중치가 배정되었다. 조사대상 24개국은 호주, 브라질, 캐나다, 중국, 프랑스, 독일, 인도, 이탈리아, 일본, 뉴질랜드, 스페인, 스웨덴, 영국, 미국, 벨기에, 덴마크, 네덜란드, 홍콩, 멕시코, 남아공, 싱가포르, 폴란드, 스위스, 아랍에미레이트연방으로 한국은 포함되지 않았다[6].
조사대상 성인의 수는 동일한 대표성을 확보하기 위하여 각국에 500명 기준으로 가중치가 배정되었다. 조사대상 24개국은 호주, 브라질, 캐나다, 중국, 프랑스, 독일, 인도, 이탈리아, 일본, 뉴질랜드, 스페인, 스웨덴, 영국, 미국, 벨기에, 덴마크, 네덜란드, 홍콩, 멕시코, 남아공, 싱가포르, 폴란드, 스위스, 아랍에미레이트연방으로 한국은 포함되지 않았다[6].

이론/모형

우리나라의 인터넷의존도가 높으므로 사이버 범죄의 피해액도 경제규모로만 비교 추정한 경우보다는 클 것으로 판단되나 인터넷 사용자수로 비교한 것 보다는 어느 정도 낮은 수준에 있을 것으로 예측하는 것이 합리적일 것이다. 국내총생산액은 세계은행(World Bank)의 2010년 경상가격기준을 사용하였으며 인터넷사용자수는 미국 중앙정보국(CIA)의 World Fact Book(2009년 기준)을 따랐는데 이는 최신의 수치이다. 따라서 노턴보고서의 추정치를 기준으로 비교해본다면 [표 10]과 같이 우리나라의 사이버 범죄 피해액은 년간 80억 달러에서 122억 달러 사이에 있다고 볼 수 있을 것이다.
이는 각국별로 ‘지난 12개월의 피해자 수 × 1인당 평균 사이버 범죄의 경제적 비용’의 산식을 활용하여 계산되었다.

후속연구

한편 잠재적 직접비용은 현재 발생하지는 않았으나 발생할 가능성이 있는 보상책임 관련 비용을 들 수 있으며 잠재적 간접비용은 피해방지를 못하여 발생하는 이미지 손상과 그에 따른 기업 가치 또는 주가의 하락을 들 수 있다. 여기서 매출이익의 감소, 생산효율의 저하 등은 미래가치의 현가화를 통한 일종의 수익접근법적 분석을 하게 될 것이다. 웜바이러스 공격에 의한 피해액 측정을 위해 Weaver & Paxson(2004)는 피해를 생산성 손실, 복구시간, 데이터 손실, 시스템 손상 등 네 가지 요소로 구분하고 피해액을 산정하였다[9][10].
그러나 당하고 나면 너무 늦은 것이니 사전에 대책을 마련하는 것이 무엇보다 절실하다 할 것이다. 이번 연구를 바탕으로 향후 사이버보안의 경제적 효과와 적절한 자원배분에 관한 연구가 치밀하게 진행되어야 할 것으로 사료된다.
현장연구를 통하여 정보의 손실, 절도, 기업 활동 방해, 수익손실, 자산, 공장 및 장비의 파괴로 인한 직간접비용과 사이버보호를 위한 투자의 기회비용을 알아내야 한다. 이에 더하여 탐지와 조사, 감염, 회복 및 사후대응에 소요되는 비용도 파악할 필요가 있다.
일정규모 이상의 기업의 경우에는 제도적으로 보고하도록 의무를 부과하고 소규모 기업 또는 개인의 경우 일정한 패널을 구축하여 정기적으로 피해규모를 추계할 필요가 있다. 피해액을 산정한 후 그 피해를 방지하기 위한 대책이 마련되고 추진될 경우 얻을 수 있는 경제적 편익을 추정하기 위한 모델이 마련될 수 있을 것이다.
향후 정밀한 추정을 위해서는 우리나라 자체의 기초 데이터를 체계적으로 수집하고 그것을 바탕으로 실제 피해액과 잠재적 피해액을 정확하게 산정하는 모델을 수립해야 한다. 우리나라에서도 국가사이버안전관리규정에 의하여 중앙행정기관, 지방자치단체 및 공공기관은 소관 정보통신망에 대한 사이버공격정보를 수집, 분석 및 대응할 수 있는 자체 보안관제센터를 운영하도록 하고 있다.

질의응답

핵심어	질문	논문에서 추출한 답변
	사이버 시스템은 어떻게 나누어 볼 수 있는가?	사이버 시스템은 [표 1]과 같이 크게 시스템 자체, 기록된 정보, 시스템의 운용 인력으로 나누어 볼 수 있다. 정보 시스템은 컴퓨터, 소프트웨어, 기록 매체, 통신기기 및 네트워크, 그리고 시스템 구성도 등으로 구성되어 있다.
	사이버 범죄 형태의 피해자가 개인의 경우에는 어떤 피해들을 받는가?	사이버 범죄 형태는 피해자가 정부나 기업인가 또는 개인인가에 따라 얼마간 다른 양상을 보인다. 개인의 경우는 명의도용에 의한 피해가 크며, 온라인 사기와 사기성 또는 가짜 백신 등 사기성 소프트웨어에 의한 피해가 주종을 이루고 있다.
	정보 시스템은 어떻게 구성되어 있는가?	사이버 시스템은 [표 1]과 같이 크게 시스템 자체, 기록된 정보, 시스템의 운용 인력으로 나누어 볼 수 있다. 정보 시스템은 컴퓨터, 소프트웨어, 기록 매체, 통신기기 및 네트워크, 그리고 시스템 구성도 등으로 구성되어 있다. 네트워크는 정보기간네트워크와 단위 네트워크, 공공성 네트워크와 민간 네트워크로 분류할 수 있다[1].

참고문헌 (13)

정보보안대책추진회의결정(情報セキュリティ對策推進會議決定), 情報セキュリティポリシ？に關するガイドライン, 2000.
2012 국가정보보호백서, 방송통신위원회.행정안전부.지식경제부, 2012년 5월.
THE COST OF CYBER CRIME, A Detica report in partnership with the Office of cyber security and information assurance in the cabinet office, 2011.
Second Annual Cost of Cyber Crime Study: Benchmark Study of U.S. Companies, Ponemon Institute(C) Research Report, August 2011
Norton Cybercrime Report 2011, http: //www.symantec.com
http://data.worldbank.org/indicator/NY.GDP.MKTP.CD, World Bank,
정보보호의 경제적 분석 연구 동향, 정보보호 이슈보고서 2008-8호, 한국정보보호진흥원, 2008년 10월.
유진호, 지상호, 송혜인, 정경호, 임종인, 인터넷 침해사고에 의한 피해손실 측정, 정보화정책 제15권 제1호, pp. 3-18, 2008년 봄.
Lawrence A. Gorden and Martin P. Loeb, Managing Cybersecurity Resources: A Cost-Benefit Analysis, McGraw-Hill, 2006.
Weaver N. and Paxson, V. , "A Worst-Case Worm," Third Annual Workshop on Economics and Information Security, May 2004.
World Fact Book 2011, CIA
국가정보원, "국가사이버안전관리규정," 대통령훈령 제291호, 2012.1..2, 일부개정
행정안전부, "정보통신기반보호법," 법률 제9708호, 2009.8.23 시행

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

사이버정보보호의 경제적 효과분석: 국가적 피해액 산정을 중심으로
Economic Analysis on Effects of Cyber Information Security in Korea: Focused on Estimation of National Loss 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

후속연구

질의응답

참고문헌 (13)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

사이버정보보호의 경제적 효과분석: 국가적 피해액 산정을 중심으로 Economic Analysis on Effects of Cyber Information Security in Korea: Focused on Estimation of National Loss 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

후속연구

질의응답

참고문헌 (13)

이 논문을 인용한 문헌

저자의 다른 논문 :

신진 (8)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

사이버정보보호의 경제적 효과분석: 국가적 피해액 산정을 중심으로
Economic Analysis on Effects of Cyber Information Security in Korea: Focused on Estimation of National Loss 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper