한국은 단기간에 IT강국으로 급성장함에 따라 사이버 폭력, 개인정보 유출, 사이버 테러 등 사이버상의 각종 부작용이 새로운 사회적 문제로 대두되고 있다. 특히 안전한 사이버 생활의 기본이 되는 개인정보 유출에 대한 심각성은 전 세계적으로 심각한 문제로 부각되고 있다. 이와 관련하여 개인정보 유출에 따른 피해비용 규모의 추정이 필요한데 이와 관련한 연구는 국내에서는 아직 미흡한 상황이다. 이에 본 연구에서는 개인정보 유출에 따른 피해비용 산출 모델을 실거래 평균값 기반, 개인 인식 가치 기반, 보상금액 기반, 타 국가 기반의 네 가지 방식을 제시한다. 그리고, 2007년부터 2016년까지의 뉴스와 보고서 등의 자료를 분석하여 10년간의 개인정보 유출사건을 수집하여 피해비용을 추정하였다. 추정에 활용한 사건의 수는 65건이고 총 개인정보 유출 건수는 약 4억 3천만 건에 이른다. 추정결과 2016년의 개인정보 유출로 인한 피해비용은 최소 74억에서 최대 220조로 추산되었으며 10개년도 평균은 연간 약 107억에서 307조로 추산 되었다. 또한 개인정보 유출로 인한 추정 피해액이 3년 주기로 상승하는 특이점을 발견할 수 있었다. 앞으로 본 연구를 통해 개인정보 유출로 인한 피해비용을 조금 더 정확하게 측정할 수 있는 지표를 마련하고 그 피해비용을 줄일 수 있는 방안 마련의 지표로 사용되기를 기대한다.
한국은 단기간에 IT강국으로 급성장함에 따라 사이버 폭력, 개인정보 유출, 사이버 테러 등 사이버상의 각종 부작용이 새로운 사회적 문제로 대두되고 있다. 특히 안전한 사이버 생활의 기본이 되는 개인정보 유출에 대한 심각성은 전 세계적으로 심각한 문제로 부각되고 있다. 이와 관련하여 개인정보 유출에 따른 피해비용 규모의 추정이 필요한데 이와 관련한 연구는 국내에서는 아직 미흡한 상황이다. 이에 본 연구에서는 개인정보 유출에 따른 피해비용 산출 모델을 실거래 평균값 기반, 개인 인식 가치 기반, 보상금액 기반, 타 국가 기반의 네 가지 방식을 제시한다. 그리고, 2007년부터 2016년까지의 뉴스와 보고서 등의 자료를 분석하여 10년간의 개인정보 유출사건을 수집하여 피해비용을 추정하였다. 추정에 활용한 사건의 수는 65건이고 총 개인정보 유출 건수는 약 4억 3천만 건에 이른다. 추정결과 2016년의 개인정보 유출로 인한 피해비용은 최소 74억에서 최대 220조로 추산되었으며 10개년도 평균은 연간 약 107억에서 307조로 추산 되었다. 또한 개인정보 유출로 인한 추정 피해액이 3년 주기로 상승하는 특이점을 발견할 수 있었다. 앞으로 본 연구를 통해 개인정보 유출로 인한 피해비용을 조금 더 정확하게 측정할 수 있는 지표를 마련하고 그 피해비용을 줄일 수 있는 방안 마련의 지표로 사용되기를 기대한다.
As Korea is rapidly becoming an IT powerhouse in the short term, various side effects such as cyber violence, personal information leakage and cyber terrorism are emerging as new social problems. Especially, the seriousness of leakage of personal information, which is the basis of safe cyber life, h...
As Korea is rapidly becoming an IT powerhouse in the short term, various side effects such as cyber violence, personal information leakage and cyber terrorism are emerging as new social problems. Especially, the seriousness of leakage of personal information, which is the basis of safe cyber life, has been highlighted all over the world. In this regard, it is necessary to estimate the amount of the damage cost due to the leakage of personal information. In this study, we propose four evaluation methods to calculate the cost of damages due to personal information leakage according to average real transactions value, personally recognized value, compensation amount basis, and comparison to similar countries. We analyzed data from 2007 to 2016 to collect personal information leakage cases for 10 years and estimated the cost of damages. The number of cases used in the estimation is 65, and the total number of personal information leakage is about 430 million. The estimated cost of personal information leakage in 2016 was estimated to be at least KRW 7.4 billion, up to KRW 220 billion, and the 10 year average was estimated at from KRW 10.7 billion to KRW 307 billion per year. Also, we could find out the singularity that the estimated damage due to personal information leakage increases every three years. In the future, this study will be able to provide an index that can measure the damage cost caused by the leakage of personal information more accurately, and it can be used as an index of measures to reduce the damage cost due to personal information leakage.
As Korea is rapidly becoming an IT powerhouse in the short term, various side effects such as cyber violence, personal information leakage and cyber terrorism are emerging as new social problems. Especially, the seriousness of leakage of personal information, which is the basis of safe cyber life, has been highlighted all over the world. In this regard, it is necessary to estimate the amount of the damage cost due to the leakage of personal information. In this study, we propose four evaluation methods to calculate the cost of damages due to personal information leakage according to average real transactions value, personally recognized value, compensation amount basis, and comparison to similar countries. We analyzed data from 2007 to 2016 to collect personal information leakage cases for 10 years and estimated the cost of damages. The number of cases used in the estimation is 65, and the total number of personal information leakage is about 430 million. The estimated cost of personal information leakage in 2016 was estimated to be at least KRW 7.4 billion, up to KRW 220 billion, and the 10 year average was estimated at from KRW 10.7 billion to KRW 307 billion per year. Also, we could find out the singularity that the estimated damage due to personal information leakage increases every three years. In the future, this study will be able to provide an index that can measure the damage cost caused by the leakage of personal information more accurately, and it can be used as an index of measures to reduce the damage cost due to personal information leakage.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
개인기준으로는 실제 지하시장에서 거래되는 개인정보의 실거래가격과 개인입장에서의 보상받지 못한 개인정보 가치(개인 인식 가치)를 사용하여 개인정보 유출에 따른 피해비용을 산출하고자 한다. 또한 기업 기준에서는 실제로 소송이 진행 되어 배상한 보상금액을 기준으로 하여 산출하고, 국가 기준으로는 타국가의 1인당GDP 대비, 인터넷 사용자 수 대비, 인구 수 대비하여 한국의 개인정보 유출 피해비용을 추정한다.
따라서 본 연구에서는 선행연구들의 한계를 보완한 방법으로 10년간 한국에서 발생한 실제피해유출 사고들의 데이터를 수집하여 분석하고자 하며 다양한 기준(개인기준, 기업기준, 국가기준)과 방법으로 개인정보 유출로 인한 피해비용을 추정함으로서 이러한 선행연구들의 한계점을 보완하고자 하였다.
특히 개인정보에 대한 범위가 단순 이름, 주민등록, 주소지 등에서 지문, 홍채, GPS 기록 등 그 범위가 점점 넓어짐에 따라 그 중요도는 더욱 증가하고 있는 추세이다. 따라서 본 연구의 목적은 개인정보 유출로 인한 피해비용을 추정할 수 있는 모델을 수립하고 수립한 모델을 통해 개인정보 유출로 인한 개인, 기업, 국가 기준에서의 피해비용을 추정하고 더 나아가 추정 피해비용을 통해 우리나라의 개인정보 유출로 인한 사고의 심각성을 파악하는 것에 그 초점을 맞추었다.
본 연구에서는 개인정보 유출로 인한 사회적 피해비용을 산출하는 방법을 선행연구를 바탕으로 개인, 기업, 국가 총 세 가지 기준에서 네 가지 산출 모델을 제시하고자 한다. 또한, 실제 개인정보 유출사고 데이터를 2007년부터 2016년까지의 뉴스와 보고서 등의 자료를 분석하여 10년간의 개인정보 유출사건을 수집하여 개인정보 유출로 인한 사회적 비용을 추정하고자 한다.
본 연구는 사이버 역기능과 개인정보, 개인정보 유출 피해비용 산출에 관한 선행연구를 분석하여 사이버 역기능과 개인정보를 정의하고 이에 따른 개인정보 피해비용 산출 모델을 수립하였다. 피해비용 산출 모델은 실거래 평균값 기반, 개인 인식가치 기반, 보상금액 기반, 타 국가 기반 추정 등 총 네 가지 방식으로 수립하였다.
본 연구에서는 개인정보 유출로 인한 사회적 피해비용을 산출하는 방법을 선행연구를 바탕으로 개인, 기업, 국가 총 세 가지 기준에서 네 가지 산출 모델을 제시하고자 한다. 또한, 실제 개인정보 유출사고 데이터를 2007년부터 2016년까지의 뉴스와 보고서 등의 자료를 분석하여 10년간의 개인정보 유출사건을 수집하여 개인정보 유출로 인한 사회적 비용을 추정하고자 한다.
제안 방법
개인정보 유출로 인한 사회적 피해비용 산출 모델은 개인, 기업, 국가 기준으로 네 가지 모델을 통하여 각각의 방법으로 개인정보 유출로 인한 사회적 피해비용 추정액의 최소치와 최대치를 산출하고자 한다.
국가 기준 피해비용 산출 방식은 타 국가를 기반으로 산출하였으며 IBM에서 진행한 Ponemon보고서를 활용하였다. 국가 별로 개인정보 유출로 인한 1건당 피해비용을 정리하였고 해당 국가들의 1인당 GDP와 인구 수, 인터넷 이용자 수를 한국과 비교하여 각각 순위를 매긴 후 순위의 합산이 가장 적은 국가인 이탈리아를 한국과 가장 유사한 국가로 선정하여 1인당 GDP와 인구 수, 인터넷 이용자 수에 비례하여 한국의 개인정보 유출로 인한 피해비용을 산출 진행하였다.
기업 기준의 피해비용 산출방식인 보상금액 기반 방식은 기업의 실제 보상금액과 추정 보상금액의 합계로 산출하였다. 실제 보상액은 개인정보 유출로 인한 건당 보상액에 실제 보상받은 인원의 수를 곱하여 산출하였으며 추정 보상액은 개인정보 유출로 인한 건당 추정 보상액에 추정 보상인원을 곱하여 산출하였다.
실거래 평균값 기반은 개인정보의 건당 실제 거래액을 해당 연구의 평균값인 250원으로 적용하여 실제 유출건수(N)에 개인정보의 건당 실제 거래액(Vr)을 곱하여 개인정보의 유출 피해비용을 산출하였다. 또한 개인인식 가치 기반방식은 실제 유출건수(N)에 건당 개인이 인식하는 개인정보의 가치(Vp)를 곱하여 개인정보의 유출비용을 산출하였다.
이러한 3원칙을 기본으로 하여 정보유출에 따른 피해발생비용을 직접비용(direct costs)과 간접비용(indirect costs)으로 구분 하고 있다. 또한 피해발생비용을 명시적 비용(explicit costs)과 잠재적 비용(implicit costs)으로 구분하여 정의하였다.
마지막으로 D방식인 타 국가 기반 방식은 2016년에 보고된 Ponemon[20]보고서를 사용하였기 때문에 2016년의 피해비용만 추정하였다. 타 국가 기반 방식은 우리나라와 1인당 GDP, 인구수, 인터넷 이용자 수가 가장 비슷한 나라인 이탈리아를 선정하여 이탈리아의 개인정보 유출로 인한 피해비용 대비 우리나라의 피해비용을 추정하였다.
마지막으로 D방식인 타 국가 기반 산출 방식은 IBM에서 진행한 ‘Ponemon 2016 Cost of Data Breach Study: Global Analysis’ 보고서의 국가 별 개인정보 유출로 인한 피해액을 가지고 한국의 개인정보 유출로 인한 피해액을 추정한다.
한국의 1인당 GDP와 인구 수, 인터넷 이용자 수를 각각 이탈리아의 값으로 나눈 후 데이터 유출로 인한 건당 피해비용을 곱하여 각각의 단위비용을 산출하여 진행하였다. 마지막으로 조정된 단위 비용을 한국의 2016년 개인정보 유출건수에 곱하여 한국의 개인정보 유출로 인한 총 피해비용을 산출하였다.
본 연구에서는 개인정보 유출로 인한 피해비용을 개인 기준에서는 실거래 평균값 기반과 개인인식 가치 기반 두 가지 방식으로 산출 진행하였다. 실거래 평균값 기반은 개인정보의 건당 실제 거래액을 해당 연구의 평균값인 250원으로 적용하여 실제 유출건수(N)에 개인정보의 건당 실제 거래액(Vr)을 곱하여 개인정보의 유출 피해비용을 산출하였다.
국립재난안전연구원[15]에서 조사한 “개인정보유출과 조류독감의 간접피해비용 추정기법 연구”에서 개인정보가 지하시장에서 거래되는 실제 금액은 50원에서 500원이라고 조사된 바가 있다. 본 연구에서는 개인정보의 건당 실제 거래액을 해당 연구의 평균값인 250원으로 적용하여 실제 유출건수(N)에 개인정보의 건당 실제 거래액(Vr)을 곱하여 개인정보의 유출 피해비용을 산출하였다.
본 연구에서는 기존의 선행연구를 바탕으로 개인정보를 크게 인적사항, 신체정보, 의료정보, 금융정보, 사회정보, 통신정보 등 여섯 개의 유형으로 분류하였다. 세부내용으로는 기본 성명, 주민등록번호, 신용카드 및 통장계좌번호 뿐만 아니라 요즘 문제가 되는 지문, 홍채, 유전자 정보, GPS 등을 포함시켜 분류하였다.
본 연구에서는 기존의 선행연구를 바탕으로 사이버 역기능을 크게 개인과 기업으로 대분류 하고 개인적 차원에서는 미디어중독, 유해콘텐츠, 사이버폭력, 권리침해, 판단장애, 인터넷사기, 사이버범죄/테러로 중분류 한다. 기업 차원에서는 사이버범죄/테러와 권리침해로 중분류 하였고 이에 따른 소분류로는 게임중독, 명예회손, 저작권 침해, 보이스피싱, 개인정보 유출 등으로 분류하였다.
본 연구에서는 해당 선행연구들의 연구 결과를 바탕으로 개인이 인식하는 개인정보의 가치(WTA)의 평균값을 7,101,819원로 계산하고 해당 금액에 화폐가지를 적용하여 개인정보의 유출 피해비용을 산출하였다.
본 연구에서는 기존의 선행연구를 바탕으로 개인정보를 크게 인적사항, 신체정보, 의료정보, 금융정보, 사회정보, 통신정보 등 여섯 개의 유형으로 분류하였다. 세부내용으로는 기본 성명, 주민등록번호, 신용카드 및 통장계좌번호 뿐만 아니라 요즘 문제가 되는 지문, 홍채, 유전자 정보, GPS 등을 포함시켜 분류하였다. 본 연구에서 정의한 해당 분류의 세부 내용은 다음 [표 3]과 같다.
본 연구에서는 개인정보 유출로 인한 피해비용을 개인 기준에서는 실거래 평균값 기반과 개인인식 가치 기반 두 가지 방식으로 산출 진행하였다. 실거래 평균값 기반은 개인정보의 건당 실제 거래액을 해당 연구의 평균값인 250원으로 적용하여 실제 유출건수(N)에 개인정보의 건당 실제 거래액(Vr)을 곱하여 개인정보의 유출 피해비용을 산출하였다. 또한 개인인식 가치 기반방식은 실제 유출건수(N)에 건당 개인이 인식하는 개인정보의 가치(Vp)를 곱하여 개인정보의 유출비용을 산출하였다.
본 연구에서 산출한 보상금액 기반 피해비용은 총 보상금액을 의미하며 이 값은 실제 보상금액과 추정 보상금액의 합계로 산출하였다. 실제 보상액은 개인정보 유출로 인한 건당 보상액에 실제 보상받은 인원의 수를 곱하여 산출하였으며 추정 보상액은 개인정보 유출로 인한 건당 추정 보상액에 추정 보상인원을 곱하여 산출하였다. 추정 보상액은 실제 보상액들의 평균 값으로 산출하였으며 추정 보상인원은 2014년 기준으로 서울 중앙지법에 접수된 카드사 정보유출에 따른 추정 소송비율인 0.
우선 해당 보고서를 바탕으로 국가 별로 개인정보 유출로 인한 1건당 피해비용을 정리하였고 해당 국가들의 1인당 GDP와 인구 수, 인터넷 이용자 수를 한국과 비교하여 각각 순위를 매긴 후 순위의 합산이 가장 적은 국가인 이탈리아를 한국과 경제적 환경과 인터넷 환경이 가장 유사한 국가로 선정하였다. 한국의 1인당 GDP와 인구 수, 인터넷 이용자 수를 각각 이탈리아의 값으로 나눈 후 데이터 유출로 인한 건당 피해비용을 곱하여 각각의 단위비용을 산출하여 진행하였다.
마지막으로 D방식인 타 국가 기반 방식은 2016년에 보고된 Ponemon[20]보고서를 사용하였기 때문에 2016년의 피해비용만 추정하였다. 타 국가 기반 방식은 우리나라와 1인당 GDP, 인구수, 인터넷 이용자 수가 가장 비슷한 나라인 이탈리아를 선정하여 이탈리아의 개인정보 유출로 인한 피해비용 대비 우리나라의 피해비용을 추정하였다. 타 국가 기반 방식의 추정 결과 우리나라의 개인정보 유출로 인한 피해비용은 1인당 GDP대비 약 4조 7330억으로 추정 되었으며 인구수 대비 약 4조 2610억으로 나타났다.
본 연구는 사이버 역기능과 개인정보, 개인정보 유출 피해비용 산출에 관한 선행연구를 분석하여 사이버 역기능과 개인정보를 정의하고 이에 따른 개인정보 피해비용 산출 모델을 수립하였다. 피해비용 산출 모델은 실거래 평균값 기반, 개인 인식가치 기반, 보상금액 기반, 타 국가 기반 추정 등 총 네 가지 방식으로 수립하였다. 데이터는 2007~2016년 까지 실제로 대한민국에서 발생한 개인정보 유출 사례와 Ponemon[20]보고서의 11개국 개인정보 유출 건당 평균 피해비용 데이터를 수집하여 활용하였다.
신진[14]의 연구에 따르면 사이버범죄로 인한 국가적 피해비용을 Ponnemon 보고서로 조사된 국가들의 GDP대비, 인터넷 이용자 수를 대비하여 한국의 사이버범죄로 인한 국가적 피해비용을 추정한 바있다. 하지만 본 연구에서는 단순히 국가의 GDP 규모나 인터넷 규모룰 다른 국가와 비교하지 않고 1인당 GDP와 인구 수, 인터넷 이용자 수가 가장 유사한 국가를 선정하여 해당 국가 대비 한국의 개인정보 유출로 인한 피해비용을 추정 하였다.
우선 해당 보고서를 바탕으로 국가 별로 개인정보 유출로 인한 1건당 피해비용을 정리하였고 해당 국가들의 1인당 GDP와 인구 수, 인터넷 이용자 수를 한국과 비교하여 각각 순위를 매긴 후 순위의 합산이 가장 적은 국가인 이탈리아를 한국과 경제적 환경과 인터넷 환경이 가장 유사한 국가로 선정하였다. 한국의 1인당 GDP와 인구 수, 인터넷 이용자 수를 각각 이탈리아의 값으로 나눈 후 데이터 유출로 인한 건당 피해비용을 곱하여 각각의 단위비용을 산출하여 진행하였다. 마지막으로 조정된 단위 비용을 한국의 2016년 개인정보 유출건수에 곱하여 한국의 개인정보 유출로 인한 총 피해비용을 산출하였다.
D방식인 타 국가 기반 산출 방식은 2016년에 IBM에서 진행한 ‘Ponemon 2016 Cost of Data Breach Study: Global Analysis’ 보고서의 자료를 활용하였다. 해당 보고서에서는 총 11개국(United States, United Kingdom, India, Brazil, Germany, France, Japan, Australia, Canada, Italy, South Africa)의 383개 회사를 인터뷰를 통해 10개월 간 조사를 진행하여 데이터 유출의 경제적 영향을 계량화하여 제시하였다. 해당 연구에서는 직접비용으로 법의학 전문가 참여비용 + 법률 회사의 고용 비용 + 피해자의 신원 보호서비스 제공 비용 + 그 외 경비 지출 비용으로 분류하였으며 간접비용으로는 데이터 유출 해결 중에 소비 시간 + 노력 + 조직 리스크 + 영업권 손실 + 고객이탈 가능성으로 분류하였다.
해당 보고서에서는 총 11개국(United States, United Kingdom, India, Brazil, Germany, France, Japan, Australia, Canada, Italy, South Africa)의 383개 회사를 인터뷰를 통해 10개월 간 조사를 진행하여 데이터 유출의 경제적 영향을 계량화하여 제시하였다. 해당 연구에서는 직접비용으로 법의학 전문가 참여비용 + 법률 회사의 고용 비용 + 피해자의 신원 보호서비스 제공 비용 + 그 외 경비 지출 비용으로 분류하였으며 간접비용으로는 데이터 유출 해결 중에 소비 시간 + 노력 + 조직 리스크 + 영업권 손실 + 고객이탈 가능성으로 분류하였다. 보고서의 결과로는 기업의 평균 데이터 유출 비용은 약 4백만 달러였으며 분실 또는 도난으로 인한 지불비용은 평균 158달러로 밝혀졌다.
대상 데이터
D방식인 타 국가 기반 산출 방식은 2016년에 IBM에서 진행한 ‘Ponemon 2016 Cost of Data Breach Study: Global Analysis’ 보고서의 자료를 활용하였다.
피해비용 산출 모델은 실거래 평균값 기반, 개인 인식가치 기반, 보상금액 기반, 타 국가 기반 추정 등 총 네 가지 방식으로 수립하였다. 데이터는 2007~2016년 까지 실제로 대한민국에서 발생한 개인정보 유출 사례와 Ponemon[20]보고서의 11개국 개인정보 유출 건당 평균 피해비용 데이터를 수집하여 활용하였다. 본 연구의 프로세스는 [그림 1]과 같다.
따라서 개인정보유출에 대한 데이터는 ‘DB암호화 최신동향 및 보안기술 분석 보고서’와 한국 방송통신위원회, 금융감독원 자료와 금융감독원 전자공시시스템, 뉴스를 바탕으로 직접 수집하였다.
본 연구에서는 국립재난안전연구원[15]에서 연구한 “개인정보유출과 조류독감의 간접피해비용 추정기법 연구”에서 개인정보가 지하시장에서 거래되는 건당 거래액인 250원에 본 연구에서 조사한 실제 개인정보 유출건수를 곱하여 그 피해액을 추정한다.
따라서 개인정보유출에 대한 데이터는 ‘DB암호화 최신동향 및 보안기술 분석 보고서’와 한국 방송통신위원회, 금융감독원 자료와 금융감독원 전자공시시스템, 뉴스를 바탕으로 직접 수집하였다. 수집기간은 2007년부터 2016년까지 총 10년으로 하였고 총 수집 사건 수는 65건이며 대표적인 사건으로는 2014년 카드 3사의 개인정보 유출을 들 수 있다.
수집된 데이터의 내용으로는 사건의 발생년도, 사건명, 기업명, 기업규모, 임직원 수, 총 유출건수, 그리고 개인을 상대로 보상이 진행 되었을 시 발생한 실제 보상액 등이다.
이론/모형
개인정보 유출 데이터 수집은 직접수집방법을 이용하였다. 개인정보 유출이 기업과 개인의 입장에서 모두 민감한 부분으로 공공기관이나 논문 및 보고서에서 몇 년간의 데이터를 수집해 놓은 경우는 찾기 힘들다.
국가 기준 피해비용 산출 방식은 타 국가를 기반으로 산출하였으며 IBM에서 진행한 Ponemon보고서를 활용하였다. 국가 별로 개인정보 유출로 인한 1건당 피해비용을 정리하였고 해당 국가들의 1인당 GDP와 인구 수, 인터넷 이용자 수를 한국과 비교하여 각각 순위를 매긴 후 순위의 합산이 가장 적은 국가인 이탈리아를 한국과 가장 유사한 국가로 선정하여 1인당 GDP와 인구 수, 인터넷 이용자 수에 비례하여 한국의 개인정보 유출로 인한 피해비용을 산출 진행하였다.
개인정보 유출 사고로 인해 개인이 받은 실제 보상액을 조사하고 보상받지 못한 경우에는 해당 보상액을 추정하여 그 피해액을 추정한다. 국립재난안전 연구원[15], JNSA[19], 개인정보협회[17]등의 연구에서 사용한 방식이다.
실제 보상액은 개인정보 유출로 인한 건당 보상액에 실제 보상받은 인원의 수를 곱하여 산출하였으며 추정 보상액은 개인정보 유출로 인한 건당 추정 보상액에 추정 보상인원을 곱하여 산출하였다. 추정 보상액은 실제 보상액들의 평균 값으로 산출하였으며 추정 보상인원은 2014년 기준으로 서울 중앙지법에 접수된 카드사 정보유출에 따른 추정 소송비율인 0.78%(2014, 국민재난연구원)에 따라 산출하였다.
성능/효과
B방식인 개인 인식 가치 기반 추정결과 2009년 최소 약 9,733억에서 2014년 최대 약 1,524조로 추정되었다. 개인 인식 가치 기반의 10개년도 총 추정 액은 약 3,073조로 나타났으며 전체 방법의 추정방식 중 가장 높은 추정금액을 보였다.
네 가지 방식의 개인정보 유출 피해비용 산출 모델을 적용해 본 결과 실거래 평균값 기반 방식이 최소 추정 액으로 나타났고 그 다음 보상금액 기반 방식, 타 국가 기반방식, 마지막으로 개인인식 가치 기반 방식이 최대 추정액으로 나타났다.
해당 연구에서는 직접비용으로 법의학 전문가 참여비용 + 법률 회사의 고용 비용 + 피해자의 신원 보호서비스 제공 비용 + 그 외 경비 지출 비용으로 분류하였으며 간접비용으로는 데이터 유출 해결 중에 소비 시간 + 노력 + 조직 리스크 + 영업권 손실 + 고객이탈 가능성으로 분류하였다. 보고서의 결과로는 기업의 평균 데이터 유출 비용은 약 4백만 달러였으며 분실 또는 도난으로 인한 지불비용은 평균 158달러로 밝혀졌다.
본 연구의 산출결과 2007-2016년까지의 개인정보 유출건수는 총 약 4억3천만 건이었으며 개인정보 유출의 최다 발생 시기는 2014년으로 약 2억 건의 유출 사고가 발생하였다.
세 번째로 C방식인 보상금액 기반 방식은 기업이 개인정보 유출로 인해 개인에게 실제로 보상해주는 금액이 개인정보의 가치를 대변할 수 있으므로 개인정보 유출로 인한 실제 보상금액을 개인정보의 가치로 보고 개인정보 유출로 인한 피해비용을 산출한다. 추정방식은 유출건수에 실제 보상액을 곱하여 산출한다.
피해비용 추정결과 A방식인 실거래 평균값 기반은 2009년 최소 약 375만원에서 2014년 최대 약 5,234만원으로 추정되었다. 실거래 평균값 기반의 10개년도 총 추정 액은 약 1,073억으로 나타났으며 과소 추정될 것이라는 예상과 맞게 전체 방법의 추정방식 중 가장 낮은 추정금액을 보였다.
피해비용 추정결과 A방식인 실거래 평균값 기반은 2009년 최소 약 375만원에서 2014년 최대 약 5,234만원으로 추정되었다. 실거래 평균값 기반의 10개년도 총 추정 액은 약 1,073억으로 나타났으며 과소 추정될 것이라는 예상과 맞게 전체 방법의 추정방식 중 가장 낮은 추정금액을 보였다.
후속연구
어느 방식이 더 정확도가 높고 타당한 가에 대한 것을 전문가나 일반인을 대상으로 인식 조사 등의 향후 연구가 필요하다. 또한, 추후 개인정보 유출로 인한 피해비용은 사회적 비용으로 그 범위를 넓혀 예방 비용, 기회비용 등을 나누어 산출할 수 있을 것으로 기대되며 개인정보의 중요도를 나누어 조금 더 정확하고 구체적인 피해비용 산출이 가능할 것으로 기대한다.
본 연구의 한계점은 10년간 이슈가 된 개인정보 유출 사건을 수집하였으나 실제 유출이 되어도 기사화 되지 않은 사건이나 소규모의 사건은 모두 다루어지지 못했다는 한계점이 존재한다. 또한 산출 모델 수립 과정에서 보상금액 기반 산출 방식은 실제로 보상이 이루어진 사례가 극히 드문 관계로 대부분 추정으로 산출할 수밖에 없었다는 한계점이 존재한다.
본 연구에서 제시한 4가지 방식은 그 관점에 따라 비용 산출이 다르게 나올 수 있고 그 범위를 보여주는데 의의가 있다고 볼 수 있다. 어느 방식이 더 정확도가 높고 타당한 가에 대한 것을 전문가나 일반인을 대상으로 인식 조사 등의 향후 연구가 필요하다. 또한, 추후 개인정보 유출로 인한 피해비용은 사회적 비용으로 그 범위를 넓혀 예방 비용, 기회비용 등을 나누어 산출할 수 있을 것으로 기대되며 개인정보의 중요도를 나누어 조금 더 정확하고 구체적인 피해비용 산출이 가능할 것으로 기대한다.
질의응답
핵심어
질문
논문에서 추출한 답변
Gordon and Loeb이 제시한 정보보안의 3원칙은 무엇인가?
Gordon and Loeb[18]은 정보보안의 3원칙을 기밀성 (confidentiality), 무결성(integrity), 가용성(availability)으로 제시하였다. 이러한 3원칙을 기본으로 하여 정보유출에 따른 피해발생비용을 직접비용(direct costs)과 간접비용(indirect costs)으로 구분 하고 있다.
정보보안의 3원칙을 기본으로 하여 정보유출에 따른 피해발생비용은 어떻게 구분할 수 있는가?
Gordon and Loeb[18]은 정보보안의 3원칙을 기밀성 (confidentiality), 무결성(integrity), 가용성(availability)으로 제시하였다. 이러한 3원칙을 기본으로 하여 정보유출에 따른 피해발생비용을 직접비용(direct costs)과 간접비용(indirect costs)으로 구분 하고 있다. 또한 피해발생비용을 명시적 비용(explicit costs)과 잠재적 비용(implicit costs)으로 구분하여 정의하였다.
정보보호법에서 정의하는 개인정보의 구성요소는 무엇인가?
인터넷을 이용할 때나 웹사이트에 회원가입 할 때 등 가상세계에서 서비스를 제공 받으려면 개인정보를 입력하는 것이 보편화 되어 있다. 정보보호법에서 정의하는 개인정보의 구성요소는 ①살아있는 개인(사망/실종, 법인 제외), ②특정 개인과의 관련성(개인 정체성과 관련: 설명, 주민번호, 생일, 주소 등이 해당되며 개인이 알아볼 수 없는 특정 대학의 해당연도 졸업생의 취업률 등을 제외), ③ 식별 가능성(다른 사람과 구분되고 다른 정보와 결합하여 구분되는 경우여야 하며 통계적으로 변환되어 개인을 식별할 수 없는 경우 제외) 등 3가지로 정의하고 있다[15]. 또한 개인정보보호위원회[16]에서는 개인정보를 다음 [표 2]와 같이 분류하고 있다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.