현재 우리나라의 인터넷과 IT인프라는 세계 최고 수준을 유지하고 있다. 그러나 그 이면에는 보안사고, 특히 개인정보 유출 사고가 빈번히 발생하고 있다. 개인정보 유출 사고 발생 시 해당 기업은 부정적 영향을 받게 되며, 이를 방지하기 위해 정보보호 업체의 다양한 보안 솔루션을 사용하고 있다. 따라서 개인정보 유출 사고 발생 시 발생 기업은 물론 기업에 보안 솔루션을 제공하는 정보보호 업체에도 영향을 미칠 것으로 생각된다. 이에 본 논문에서는 개인정보 유출 사고 발생 시 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 가설을 세워 검증하였다. 그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 상승하였으며, 사고 규모, 사고 발생 업종에 따른 차이는 통계적으로 유의하지 않았고, 정보보호 업체의 업태 구분에 따른 차이가 존재하였다.
현재 우리나라의 인터넷과 IT 인프라는 세계 최고 수준을 유지하고 있다. 그러나 그 이면에는 보안사고, 특히 개인정보 유출 사고가 빈번히 발생하고 있다. 개인정보 유출 사고 발생 시 해당 기업은 부정적 영향을 받게 되며, 이를 방지하기 위해 정보보호 업체의 다양한 보안 솔루션을 사용하고 있다. 따라서 개인정보 유출 사고 발생 시 발생 기업은 물론 기업에 보안 솔루션을 제공하는 정보보호 업체에도 영향을 미칠 것으로 생각된다. 이에 본 논문에서는 개인정보 유출 사고 발생 시 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 가설을 세워 검증하였다. 그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 상승하였으며, 사고 규모, 사고 발생 업종에 따른 차이는 통계적으로 유의하지 않았고, 정보보호 업체의 업태 구분에 따른 차이가 존재하였다.
Currently Internet and IT infrastructure of Korea has maintained the world's highest levels. But in another aspect, security incident, especially personal information breaches occur frequently. As personal information leakage happened, the companies will be negatively affected. And to prevent this, ...
Currently Internet and IT infrastructure of Korea has maintained the world's highest levels. But in another aspect, security incident, especially personal information breaches occur frequently. As personal information leakage happened, the companies will be negatively affected. And to prevent this, they have implemented to use a variety of security solutions from information security vendors. Therefore we set up hypotheses that the companies experienced personal information leakage as well as information security companies providing security solutions will be affected by the leakages. So this paper verify hypotheses about the impact of the value of information security companies, through analysing stock price fluctuation of the companies. We found that the stock price of information security companies has increased as personal information leakage happened. And differences according to leakage volumes and types of business are not statistically significant. But there are significant differences according to business classification of information security companies.
Currently Internet and IT infrastructure of Korea has maintained the world's highest levels. But in another aspect, security incident, especially personal information breaches occur frequently. As personal information leakage happened, the companies will be negatively affected. And to prevent this, they have implemented to use a variety of security solutions from information security vendors. Therefore we set up hypotheses that the companies experienced personal information leakage as well as information security companies providing security solutions will be affected by the leakages. So this paper verify hypotheses about the impact of the value of information security companies, through analysing stock price fluctuation of the companies. We found that the stock price of information security companies has increased as personal information leakage happened. And differences according to leakage volumes and types of business are not statistically significant. But there are significant differences according to business classification of information security companies.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
기존의 연구는 대체로 개인정보 유출 사고 대상 기업에 대한 주가 변화를 통해 개인정보 유출 사고가 사고 기업에 미치는 영향에 대한 연구를 하였다. 그러나 본 논문에서는 개인정보 유출 사고가 정보보호업체의 주가에 미치는 영향에 대해 실증 분석 하여 보안사고가 보안업체에 미치는 영향을 연구하고자 한다.
본 연구는 개인정보 유출 사고로 인한 시장 가치 변화를 기존의 유출 대상 기업이 아닌 정보보호 업체를 대상으로 하는 새로운 시각으로 분석을 시도했다는 의미를 갖는다. 개인정보 유출에 따른 정보보호업체에 대한 주가가 상승했다는 것은 정보보호업체의 가치가 상승했다는 것과 같은 의미로 볼 수 있다.
정보보호 기업 역시 기술적 보안 솔루션을 제공하는 업체와 관리적 보안 솔루션을 제공하는 업체로 구분할 수 있을 것이다. 이에 따라 보안 업체의 업태(영업이나 사업의 실태) 구분 별로 개인정보 유출 시 주가 변동에 어떤 차이가 있는지를 분석하고자 한다. 상장되어 있는 정보보호 기업은 IT서비스와 소프트웨어, 전자장비와 기기, 통신장비 등으로 등록되어 있었고, IT서 비스, 소프트웨어, 장비의 세 개 업태로 구분하여 다음과 같은 가설을 설정하였다.
따라서 개인정보 유출 사고 발생 시 발생 기업은 물론 기업에 보안 솔루션을 제공하는 정보보호 업체에도 영향을 미칠 것으로 생각된다. 이에 본 논문에서는 개인정보 유출 사고 발생 시 기업에 보안 솔루션을 제공한 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 분석하고자 한다.
가설 설정
H2. 개인정보 유출 규모가 클수록 정보보호업체의 주가는 상승할 것이다.
H4-1. 개인정보 유출 사고 발생 시 IT서비스 업체의 주가는 상승할 것이다.
H4-2. 개인정보 유출 사고 발생 시 소프트웨어업체의 주가는 상승할 것이다.
H4. 개인정보 유출 사고 발생 시 정보보호업체의 업태 구분에 따라 주가 변동에 차이가 있을 것이다.
H1. 개인정보 유출 사고 발생 시 정보보호업체의 주가는 상승할 것이다.
H4-3. 개인정보 유출 사고 발생 시장비 업체의 주가는 상승할 것이다.
제안 방법
가설 검증에 앞서 정보보호 기업 24개의 개인정보 유출 사고에 대한 주가 변동률을 확인한 후 특이값을 제거하여 사고 외적인 요소를 배제하기 위한 작업을 하였다. 그 결과 주가변동률이 타 기업보다 크며, 그 원인이 사고 외적인 요소(합병으로 기업의 성격 변화, 감자 및 유증, 정치적 이슈 등)였던 I, O, X 세개 기업을 제외하였다.
개인정보 유출 사고 발생 시 정보보호 업체의 업태에 따라 주가에 어떠한 차이가 있는지를 확인하였다. 세 업태에 의한 정보보호 업체의 주가 평균, 표준편차는 다음과 같다.
개인정보 유출 사고 보도일인 사건 공시일을 기준으로 전후 3영업일을 이벤트 윈도우로 정의하였고, 추정 및 사후 윈도우를 각각 이벤트 윈도우 전/후 1주일(5영업일)로 정의하였다.
개인정보 유출 사고가 정보보호 업체의 주가에 영향을 주는지를 검증하였다.
개인정보 유출 시 개인정보 유출 기업의 업종이 정보보호 업체의 주가에 어떠한 영향을 미치는지를 검증하였다.
개인정보 유출 시 유출 규모가 정보보호 업체의 주가에 어떠한 영향을 미치는지를 검증하였다. 유출 규모에 따른 정보보호 업체의 주가 평균, 표준편차는 다음과 같다.
그리고 이러한 21개 기업의 분석을 위해 IT서비스, 소프트웨어, 장비의 세 개 업태로 구분하였다.
본 논문에서는 개인정보 유출 사고 발생 시 사고 발생 기업이 아닌 기업에 보안 솔루션을 제공하는 정보보호 업체에 초점을 맞추어 개인정보 유출 사고가 정보보호 업체의 가치에 어떠한 영향을 주는지를 주가 변동률을 통해 분석하였다.
주가는 개인정보 유출 사고의 보도일 기준 전/후 일주일간의 종가를 기준으로 분석하였다. 보도일이 거래되지 않는 날인 경우 그 다음 거래일을 기준으로 하였다.
통계 검증을 위해 개인정보 유출 사고 발생 보도에 따른 유출 규모를 ‘100만 미만, 100만 이상 1000만 미만, 1000만 이상’의 3개 그룹으로 분류하고, 유출 기업의 업종을 ‘공공, 의료, 금융, 일반’의 4개 그룹으로 분류하여 평균 주가 변동률을 다음과 같이 정리하였다.
대상 데이터
개인정보 유출 사고는 2011년부터 2014년까지 4개년도의 보도매체를 통해 조사하였다. 그 중 개인정보 유출 규모가 나타나있지 않은 사고를 제외하고 첫 보도 날짜를 기준으로 하였다.
기준) 중 정보보호와 직접적 관련이 없는 기업을 제외한 정보보호 관련 상장 기업 25개를 대상으로 하였다. 또한 이 중 2014년도 11월 상장되어 분석이 의미 없는 업체를 제외하고 24개의 코스닥및 코스피에 상장되어 있는 기업을 대상으로 하였다.
이들 기업은 외적인 요소로 인하여 타 기업보다 변동률이 최대 ±20배 차이가 났다. 이에 따라 24개 기업 중 세 개의 기업을 제외하고 21개 기업으로 분석하였다.
정보보호 기업은 KISIA의 191개 회원사(2015.7.8.기준) 중 정보보호와 직접적 관련이 없는 기업을 제외한 정보보호 관련 상장 기업 25개를 대상으로 하였다. 또한 이 중 2014년도 11월 상장되어 분석이 의미 없는 업체를 제외하고 24개의 코스닥및 코스피에 상장되어 있는 기업을 대상으로 하였다.
데이터처리
유출 규모에 따라 주가 변동에 차이가 있는지를 알아보기 위해 ANOVA를 실시하였고 F값이 1.316, 유의확률은 0.279로 유의수준 0.05에서 유의미한 차이는 보이지 않았다.
이론/모형
보도일이 거래되지 않는 날인 경우 그 다음 거래일을 기준으로 하였다. 그리고 개인정보 유출 사고에 대한 주가 변동률은 Event-study 방법론(특정 사건의 공시일을 중심으로 일정기간 동안의 초과 수익률을 추정하고 통계적 유의성을 검정하는 절차[12])을 적용하고, 상장주식에 대한 가치 손실 계산 방법을 차용하여 산정하였다. 그 방법은 다음과 같다.
성능/효과
100만 미만의 개인정보 유출 시 정보보호 업체는 평균 0.27% 상승하였으며, 100만 이상 1000만 미만의 경우 0.34% 하락하였고, 1000만 이상의 경우 0.37%상승하는 양상을 보였다.
개인정보 유출 사고 시 각 정보보호 기업의 평균 주가 변동률은 [Table 5]와 같으며 전체 평균 주가 변동률은 0.13%로 개인정보 유출 사고는 정보보호 업체의 가치를 상승시키는 것으로 나타났다. 이는 개인정보 유출 사고를 겪은 기업의 주가 변동과는 반대의 결과를 보이는 것이며, 개인정보 유출 사고로 인해 해당 사고 기업은 가치가 하락하며, 보안 솔루션을 제공하는 정보보호 업체의 가치는 상승한 것으로 풀이할 수 있다.
그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 평균 0.13% 상승하였다. 이는 개인정보 유출 사고 발생 시 사고 발생 기업이 주가가 하락한다는 기존의 결과와는 반대의 양상이며, 사고로 인해 정보보호에 대한 인식이 향상되어 수요가 증가한 결과로 풀이할 수 있다.
김정연(2013)[2]은 2010년 이후 발생한 개인정보 유출 사례가 기존의 주가 변동과 다른 패턴을 보이는지를 재무학의 사건연구 방식을 이용하여 개인정보 유출 시 주가 변화폭과 기존 주가 변동과의 차이를 검증하는 방식으로 분석하였다. 그 결과 개인정보 유출 사례에서는 음의 영향을 미치는 것으로 나타났다. 남상훈(2006)[3]은 NBA(Negative Base Approach)와 PBA(Positive Base Approach) 방식으로 간접 손실비용 중 보안 Event가 기업 주가에 미치는 영향을 분석하였고, 그 결과 보안사고 발생 후 주가는 이벤트 이전보다 이벤트 이후 3.
S(2005)[5]는 소프트웨어의 취약점 노출이 해당 소프트웨어 업체의 주가에 어떠한 영향을 미치는지를 조사하였다. 그 결과 소프트웨어 취약점이 노출되었을 때 해당 기업은 평균적으로 0.6%의 손실을 보았다.
또한 유출 규모와 유출 기업의 업종에 따라서는 유의미한 차이를 보이지 않았다. 그러나 유출 규모가 100만 이상 1000만 미만인 경우와 공공에서 사고 발생 시 정보보호 업체의 주가가 하락하는 결과가 나타났다. 이는 너무 적지도 너무 많지도 않은 유출 건수와 공공의 유출 사고가 사회 전반적으로 부정적인 영향을 주는 것으로 해석할 수 있다.
업종에 따라 주가변화에 차이가 있는지를 알아보기 위해 ANOVA 를 실시한 결과 네 업종의 평균차이에 대한 F값이 0.656, 유의확률은 0.584로 유의 수준 0.05에서 유의한 차이는 보이지 않았다.
정보보호 업체가 IT서비스 업태에 종사하는 경우 개인정보 유출 사고 발생 시 평균 0.49% 의 주가가 상승하였고, 소프트웨어 업태에 종사하는 경우 평균 0.16%의 주가가 상승하였으며, 장비 업태에 종사하는 경우 평균 0.19% 하락하는 결과를 확인하였다.
그리고 정보보호 업체의 업태에 따라서는 유의미한 차이를 보였다. 정보보호 업체를 IT서비스, 소프트웨어, 장비의 세 개 업태으로 구분하여 분석한 결과 IT서비스, 소프트웨어 업체에서는 개인정보 유출 사고 발생 시 각각 평균 0.49%, 0.16%의 주가 상승률을 보였으나 장비 업체는 평균 0.19%의 주가가 하락하였다. 이는 개인정보 유출 사고가 장비에 해당 하는 물리적 조치에서 문제를 찾기보다는 IT서비스, 소프트웨어와 같은 기술적 조치에서 문제를 찾을 수있기 때문으로 분석할 수 있다.
정보보호 업체의 업태에 따라 주가변화에 차이가 있는지를 ANOVA로 확인하였으며, F값은 5.295, 유의확률은 0.016으로 유의수준 0.05에서 유의한 차이를 보였다.
후속연구
그러나 상장되어 있는 정보보호 업체의 수가 적어 연구의 표본이 충분하지 않았다는 점과 주식 시장의 특성상 개인정보 유출 사고 외의 변수가 존재함에도 불구하고 충분히 고려하지 않았다는 점이 본 연구의 한계로 볼 수 있다. 향후 이러한 한계점을 고려하여 개인정보 유출 사고와 주가변동과의 실증적인 연관성 연구를 추가할 예정이다.
그러나 상장되어 있는 정보보호 업체의 수가 적어 연구의 표본이 충분하지 않았다는 점과 주식 시장의 특성상 개인정보 유출 사고 외의 변수가 존재함에도 불구하고 충분히 고려하지 않았다는 점이 본 연구의 한계로 볼 수 있다. 향후 이러한 한계점을 고려하여 개인정보 유출 사고와 주가변동과의 실증적인 연관성 연구를 추가할 예정이다.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보가 유출된 기업은 어떤 악영향을 받는가?
이렇게 유출된 개인정보는 당사자인 개인으로 하여금 피싱, 스미싱, 파밍 등의 표적이 되도록 하여 추가 피해를 주게 된다. 또한 개인정보가 유출된 기업은 매출 감소, 주가하락, 기업에 대한 부정적 이미지 형성은 물론 CEO에게까지 법적 책임을 물을 수있게 되어 역시 추가적인 부정적 영향을 받게 된다. 이를 방지하기 위해 정부에서는 ISMS, PIMS 등과 같은 인증 제도를 두어 최소한의 보안 장치를 마련하도록 하고 있으며, 기업에서는 이를 위해 기업내 관리적인 제도 마련과 함께 기술적, 물리적인 다양한 보안 솔루션을 도입하여 사용하고 있다.
유출된 개인정보는 피해 당사자에게 어떤 피해를 입히는가?
이렇게 유출된 개인정보는 당사자인 개인으로 하여금 피싱, 스미싱, 파밍 등의 표적이 되도록 하여 추가 피해를 주게 된다. 또한 개인정보가 유출된 기업은 매출 감소, 주가하락, 기업에 대한 부정적 이미지 형성은 물론 CEO에게까지 법적 책임을 물을 수있게 되어 역시 추가적인 부정적 영향을 받게 된다.
보안 이벤트는 정보보호 업체의 가치에 어떤 영향을 끼치는가?
이에 본 논문에서는 개인정보 유출 사고 발생 시 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 가설을 세워 검증하였다. 그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 상승하였으며, 사고 규모, 사고 발생 업종에 따른 차이는 통계적으로 유의하지 않았고, 정보보호 업체의 업태 구분에 따른 차이가 존재하였다.
참고문헌 (12)
NIA, National Informatization White Paper, Oct. 2014.
JeongYeon Kim, "Analyzing Effects on Firms' Market Value of Personal Information Security Breaches," The Journal of Society for e-Business Studies, 18(1), pp. 1-12, Feb. 2013.
SangHoon Nam, "(An)Empirical Study on the Impact of Security events to the Stock Price in the Analysis method of Enterprise Security Investment Effect," Doctor's Thesis, Korea Univ., Feb. 2006.
TaeHwan Kim, "The Change of Firms' Stock Price Patterns caused by Personal Information Security Breaches," Master's Thesis, Snagmyung Univ., Feb. 2015.
Telang. Rahul and Wattal. Sunil, "Impact of software vulnerability announcements on the market value of software vendors - an empirical investigation," Workshop on the Economics of Information Security(WEIS), 2005.
Kyumoon Jung, "93% of adult men and women, anxious leaked personal information," boannews, 2. 28. 2014. (available: http://www.boannews.com/media/view.asp?idx39990)
Hosung Kim, "2016 PERSONAL INFORMATION PROTECTION ACT technical and administrative protection measures," PASCON, Oct. 2015.
Gemalto, "Findings of 2014/2015 Breach Level Index," Feb. 2015.
Ettredge, Michael, Richardson, Vermon J. and Scholz, Susan, "The Presentation of Financial Information at Corporate Web Sites," International Journal of Accounting Information Systems, Vol. 2, No. 3, pp. 149-168. Sep. 2001.
Cavusoglu, Huseyin, Mishra, Birendra and Raghunathan, Srinivasan, "The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers," International Journal of Electronic Commerce, Vol. 9, No. 1, pp. 70-104, 2004.
Young Ok Kwon and Byung-Do Kim, "The Effect of Information Security Breach and Security Investment Announcement on the Market Value of Korean Firms," Information Systems Review, 9(1), pp. 105-120, Apr. 2007.
Hyung-Chan Jung, "Small Sample Size Problems and the Power of the Test in the Event Study Methodology," Korea Journal of Financial Studies, 35(3), pp. 107-140, Jun. 2006.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.