정보보호 이슈보고서 2008-8호 정보보호 이슈보고서 정보보호의 경제적 분석 연구 동향 소 속 한국정보보호진흥원 정책개발단 전략기획팀 담당자 민경식 팀장 / 송혜인 연구원 전 화 02-405-5146 전자우편 shi@kisa.or.kr 1
정보보호 이슈보고서 송혜인 민경식 연구원/전략기획팀 shi@kisa.or.kr 팀장/전략기획팀 kyoungsik@kisa.or.kr 정보보호 이슈보고서는 정보보호와 관련된 기술 사회문화 경제현황을 분석 하고 이를 토대로 정책대안을 제시함으로써 정보보호 정책수립 기초자료로 활용하기 위해 작성된 보고서입니다. 본글의 내용은 필자의 개인적 견해로서 한국정보보호진흥원의 공식입장과는 무관합니다. 2
요 약 o 정보화 사회가 진행될수록 정보보호의 중요성도 증가하고 있으며, 증대되는 중요성에 대한 관심은 정보보호 문제에 대한 사회경제적 분석으로 나타남 - 정보보호의 문제란 단순히 암호나 보안 프로토콜 등과 같은 보안기술의 실패에 기인하는 것이 아닌, 인간행동 및 이러한 행동을 유발하는 유인체계의 문제에 의한 문제로, - 정보보호의 실패는 기술적인 수단의 문제가 아니라 평범한 사람들이 컴퓨터를 사용하면서 겪게 되는 사기 및 정보 유출과 같은 사건에서 시작되는 것이며, 이러한 사기, 개인정보 탈취 등을 발생시키는 사회 경제적 유인체계에 대한 분석이 진행되고 있음 o 정보보호의 경제성 분석과 관련된 연구는 다양한 주제아래 이루어지고 있으며, 본 보고서에서는 이러한 국내외 관련 연구 현황을 조사하고 분석함으로써 현재 정보 보호의 경제성 관련 분석연구의 동향을 파악하고 향후 연구에 대한 방향성을 제시하고자 하였음 - 즉 국내 정보보호의 경제성 분석 연구 현황을 개관하고, 국제적으로 진행되고 있는 연구들을 주제별로 사이버 공격에 의한 피해액 산출, 프라이버시 경제성연구, 정보 보호 비용 및 투자가치에 대한 연구 등으로 나누어 분석함 o 우리나라의 현황 상 정보보호만을 위한 예산항목이 별도로 구성되어있지 않고 IT 예산의 일부로 포함되기 때문에 구체적인 예산책정의 근거를 찾기 어렵고, 정보 보호를 위한 방안을 제시하기 어려운 면이 존재함 o 그러나 이러한 고찰을 통하여 정보보호의 경제적 분석 및 접근의 필요성을 명확히 하고, 국가 및 기업조직별 수준에 맞는 적절한 정보보호 정책의 입안 및 현실적인 정보보호를 달성할 수 있는 방안을 마련할 수 있을 것으로 전망함 3
목 차 I. 정보보호의 경제적 분석의 필요성 5 II. 정보보호의 경제적 분석 관련 국내외 연구 동향 6 1. 국내 연구 동향 6 1) 정보보호 경제성의 기초적 분석 6 2) 인터넷 침해사고로 인한 피해액 산출 연구 7 3) 정보보호 투자효과 측정 연구 8 4) 국가정보보호수준 평가지수 산출 9 2. 해외 연구 동향 11 1) 학제 간 연구 11 2) 정보보호 주제별 연구 13 (1) 프라이버시 경제성 연구 13 (2) 정보보호 비용 및 투자가치 연구 16 (3) 정보보호를 위한 효과적 인센티브 모델링 연구 21 (4) 사이버 공격에 의한 피해액 산출 24 Ⅲ. 시사점 29 < 참고자료 > 30 4
I. 정보보호의 경제적 분석 필요성 o 정보화 사회에서 유비쿼터스 사회로 옮겨가는 현재, 정보는 여전히 그 이동의 중심에 위치하고 있으며 정보의 이동성(Mobility)이 증가함에 따라 정보보호에 대한 관심도 크게 증가 - 90년대 중후반에 시작된 정보보호에 대한 관심은 주로 정보를 보호하기 위한 기술적 방법에 집중됨 - 그러나 시간이 지날수록 인간 행동의 중요성이 기술적 중요성을 뛰어넘게 되고, 이에 따라 정보보호의 적정한 투자 수준, 정보 공유의 문제, 정보유출사고로 인한 사회 경제적 파급효과 분석, 정보보호를 위한 유인체계 연구 등 다양한 경제학적 접근이 이루지게 되었음 o 즉 정보보호의 실패는 기술적 결함보다 사회ㆍ경제적 동기에 의존하며, 정보보호는 기술적 문제가 아니라 문화의 문제라는 인식의 전환이 이루어지고 이에 따라 정보보호와 경제적 문제가 가지는 복잡한 상호 연계성에 대하여 주목하게 됨 - 특히, 정보보안의 체계에서 가장 취약한 고리로 간주되는 인간의 심리적 측면을 이용하여 조직의 네트워크에 침투하는 사회 공학적 공격 1) 에 대한 관심이 매우 높아짐 o 또한 전자적 형태를 지닌 정보가 경제 전반에 큰 변혁을 가져왔던 만큼, 다양한 원인으로 발생하는 정보보호의 실패와 그로 인한 경제적 손실의 사회적 파급력은 매우 막강할 수 있음 o 따라서 정보보호 실패의 원인에 대한 인식의 전환과 정보가 가지는 사회경제적 중요성이 더욱 증대되어 가고 있는 시점에서, 정보보호의 문제와 경제적 연관성이 어떻게 해석되고 접근되어야 하는지에 대한 논의가 필요함 1) 사회공학적 공격이란 인적요소, 즉 사람들 간의 관계 및 사기에 의한 공격방법을 의미한다. 대표적으로 피싱(Pishing), Dumpster Diving, Shoulder surfing 등이 포함되며, 이러한 사회공학적 공격을 방지하 기 위한 가장 좋은 방법은 사회공격의 희생자가 될 수 있는 가능성 및 피해에 대한 위험을 지속적으로 교육하는 보안교육이다. 5
Ⅱ. 정보보호의 경제성 분석 관련 국내외 연구 동향 1. 국내 연구 동향 o 개인 및 기업의 정보보호의 중요성에 대한 인식수준이 과거에 비해 매우 높아 짐에 따라 2), 정보자체가 가지는 경제적 가치에 대한 연구가 2000년을 전후 하여 꾸준히 진행되고 있음 - 국내의 정보보호의 경제적 측면에 대한 연구는 해외연구에 비해 체계적이지 않는 편이라고 할 수 있으나, 한국정보보호진흥원 및 관련 학회를 중심 으로 다양한 주제를 통한 분석이 시도되고 있음 1) 정보보호 경제성의 기초적 분석 o 정보보호와 경제성의 상관성에 관한 기초적인 분석연구로는 신일순(2005) 3) 의 연구를 들 수 있음 - 신일순은 정보보호 및 그 문제에 대한 경제학적 의미를 개괄하는 것을 목적으로, - 정보보호를 위한 경제학적 분석의 기초개념으로 경제적 유인성, 네트워크의 외부성, 비대칭정보, 비대칭적 정보와 정보보호, 가격차별과 개인정보 등으로 구분하여 정보보호와 경제학적 분석 시도 [표 1] 정보보호와 경제학적 분석의 기초개념 구분 경제적 유인성 네트워크 외부성 비대칭적 정보 가격차별과 개인정보 내용 정보보호로 인한 위험을 관리하고 방지할 수 있는 경제주체에게 책임이 부과되어야 한다는 주장 하나의 네트워크에 속한 사람이 많아질수록 그 네트워크의 가치가 증가하는 현상 비대칭적인 정보는 정보가 한쪽에만 존재하고 다른 쪽에는 존재하지 않는 상황 정보보호기술이 발전함에 따라 개인정보에 대한 보호와 침해가 동시에 가능해졌음에도 불구하고 현재까진 개인정보의 침해가 강화보다는 훨씬 폭넓게 관철되며 사회적으로 문제되는 현상 2) 2007 정보보호 실태조사 (한국정보보호진흥원)에 따르면 조사 대상 기업의 92.2%가 일반 사무직원 대상의 정보보호 기초교육 을 실시하고 있는 것으로 나타났으며, 개인의 경우 96.5%의 응답자가 정 보보호에 대해 중요하게 생각 한다 라고 응답해 기업과 개인 모두 정보보호의 중요성에 대한 인식수 준은 매우 높다고 할 수 있다. 3) 신일순, 정보보호의 경제학적 의미에 관한 소고, Information security review 제 1호 pp27-40 6
2) 인터넷 침해사고로 인한 피해액 산출 연구 o 최근 들어 국내외 기업들이 바이러스ㆍ해킹 등의 정보화 역기능으로 인한 피해가 증가하게 됨에 따라, 정보보호의 실패로 인한 경제적 손실 규모의 파악에 대한 관심이 증가 o 이러한 경제적 손실 규모 산출 연구로는 한국정보보호진흥원에서 발간된 인터넷 침해사고 피해액 산출모형개발에 관한 연구(2006) 4) 이 대표적으로, o 동 연구는 인터넷 침해사고로 인한 사회경제적 손실액의 측정을 위해국가 전반의 실질적 손실비용과 이를 복구하기 위한 비용에 대해 실태조사를 수행하여 손실비용과 복구비용의 주요 변인들을 파악하고, o 통계적 분석을 통해 경제적 피해규모를 산출할 수 있는 모형을 수립함으로써 향후 동일한 상황이 발생할 시 적절한 대응방안을 수립하는 데 기여하는 것을 목적으로 함 - 특히 바이러스 및 해킹 등 다양한 원인으로 발생하는 인터넷 침해사고로 인한 피해비용을 가시성에 따른 직/간접적 피해 및 유발되는 피해의 성격에 따른 기대손실과 추가비용으로 분류하여 구체적인 피해를 산출함 [그림 1] 직-간접적 피해 요소의 분류(한국정보보호진흥원, 2006) 4) 자세한 논의는 인터넷 침해사고 피해액 산출모형 개발에 관한연구, 한국정보보호진흥원, 2006 참조 7
3) 정보보호 투자효과 측정 연구 o 피해규모 산출과 연결되는 맥락에서, 이러한 피해를 예방하고 정보자산을 보호 하기에 적절한 정보보호 투자비용 요인과 효과측정에 관한 연구 진행 o 정보보호 투자에 소요되는 비용 분석 연구인 투자비용 연구 및 효과 측정 연구는 상대적으로 측정이 용이한 편으로, - TCO를 통해 정보보호에 대한 비용 산정 시 하드웨어의 가격뿐만 아니라 기술 지원 및 유지, 지원인력 등의 가시적 비용과 비가시적 비용을 모두 고려하여 보다 효과적으로 비용을 산정하는 방법을 제시한 5) 김정덕, 박정은(2003)의 TCO(Total cost of Ownership)을 이용한 연구가 있으며, - 정보보호 투자 성과를 정보보호관련 사고 감소, 자산 손실건수 감소, 비지니스 기회손실 감소, 타사 경쟁 시 손해감소, 이미지 실추 건수 감소, 사고 발생 시 신속한 처리 등으로 구분하고 측정 항목화 한 선한길(2005) 6) 의 연구가 있음 o 정보보호의 투자비용 분석에 대한 연구 이외에 정보보호투자효과의 상관관계에 대한 연구도 다수 진행됨 - 기업 보안이벤트가 주식가격에 미치는 영향을 통해 정보보호의 투자효과를 분석하고 정보보호 투자로 인해 예측되는 경제가치 창출에 대한 효과를 정량적으로 관리하는 연구방법 7) 및, - 산업연관 분석을 이용해 정보보호산업의 연구개발투자가 미치는 효과를 국내 산업 생산유발효과와 부가가치 유발효과, 수입유발효과, 고용창출효과로 나누어 직접효과와 간접효과로 나누어 경제 기여도를 분석한 연구 8) 도 진행됨 - 그 외, 정보보안 사고에 따른 기업의 손실과 보안투자로 인한 수익을 기업 시장가치의 변화를 이용하여 정량적으로 측정한 연구 9) 도 진행되고 있음 5) 김정덕, 박정은(2003), TCO기반 정보보호 투자수익률에 대한 연구, 한국디지털정책학회 창립학술대회 pp 251-261 6) 선한길(2005), 국내기업의 정보보호정책 및 조직 요인이 정보보호성에 미치는 영향, 한국경영학정보학회 춘계학술대회, pp 1087-1095 7) 남상훈(2005), 기업 정보보호 투자효과 분석방법에서 보안 이벤트가 주식가격에 미치는 영향 실증연구, 고려대학교 박사학위 논문 8) 박성욱, 윤종민(2006), 산업연관분석을 이용한 정보보호산업의 연구개발투자에 대한 경제 기여도, 한국 기술혁신학회 춘계학술대회 8
4) 국가정보보호수준 평가지수 산출 o 국가의 정보보호 수준을 경제적학적인 방법론을 사용하여 계량적으로 평가 하기 위한 국가정보보호지수 수준평가에 관한 연구 10) 가 한국정보보호 진흥원을 중심으로 진행되고 있음 o 정보화 수준평가란 정보화와 관련하여 장차 필요한 정책적, 행정적 조치를 취하려는 목적으로 분석적인 방법을 체계적으로 적용함으로써 정보화의 과정이나 결과를 이해하는 활동을 의미하는 것으로, o 국가의 정보보호정책을 효과적으로 추진하기 위해서는 국가의 정보보호수준을 객관적으로 평가할 수 있는 체계수립이 필요하지만, 현재는 세계적으로 합의된 정보보호 측정기준이 없어 객관적인 정보보호수준 측정과 국가 간 비교가 불가능한 실정 o 이에 따라, 한국정보보호진흥원에서는 효율적인 정보보호정책 수립을 위한 기초 자료로 활용하기 위해 국가사회 전체 및 각 부문(정부, 기업, 개인)별 정보보호 수준을 한 눈에 파악할 수 있는 지수 산출연구 수행 정부 정보화 역기능지수 정보화 역기능 수준 정보보호 부문별 기반지수 정보보호 NISI 정보보호 환경지수 정보보호 기반수준 지수 개인 기업 [그림 2] 국가정보보호지수 프레임워크 9) 권영욱, 김병도(2007) 정보보안사고와 사고관련 방지 관련 투자가 기업가치에 미치는 영향, Information System Review, Vol.9., No.1, pp 105-120 10) 국가정보보호수준 평가지수 산출연구와 관련하여. 한국정보보호진흥원은 정경호, 민경식(2004), 국가 정보보호수준 평가방법 및 평가지수 개발, 국가 정보보호수준 평가지수 모델개발 및 활용에 관한 연 구(2005), 07년 국가정보보호수준 평가지수 산출과 시사점(2008), 국가정보보호수준 평가지수 산출과 국제화 추진에 관한 연구(2006.12)등과 같은 다수의 연구 결과를 내놓고 있다. 9
o 한국정보보호진흥원에서 추진하고 있는 국가정보보호 수준평가 연구는 지수 산출을 위해 지표체계를 정보보호기반(T), 정보보호환경(E), 정보화역기능(N) 3개로 분류 - 정보보호 기반지수는 시스템과 데이터보호를 측정 - 정보보호 환경지수는 전문 인력 비율, 정보보호 관련 예산 비율 측정 - 정보화역기능 지수는 해킹, 바이러스, 개인정보침해비율 등을 측정 [표 2] 국가 정보보호지수의 구성 구분 분류 세부지표 백신보급률 패치보급률 PKI 보급률 정보보호 기반 Firewall 시스템 보급률 정보보호 IDS 시스템 보급률 수준지수 보안서버 설치률 정보보호 관련 예산 비율 정보보호 환경 정보보호 전문인력 비율 국민의 보안의식 수준 비율 정보화 역기능 수준 정보화역기능 해킹 바이러스 신고비율 개인정보 침해비율 스팸메일 수신비율 o 정보보호지수는 정보보호수준지수과 정보화 역기능 수준지수으로 나누어 측정 - KISA 모델에서는 정보보호 수준 측정에 있어 순기능 부분과 역기능 부분 으로 나누어 측정하고, 두 지수의 움직임을 통해 정보보호 정책 효과의 유효성을 평가하는 방식을 채택 11) 11) 07년 국가정보보호수준 평가지수 산출과 시사점, KSIA 정보보호 이슈리포트, 2008-02, 10
2. 해외 연구 동향 1) 학제 간 연구 o 국내에서 다양한 주제를 통한 경제적 분석연구가 진행되고 있는 한편, 해외 에서는 특정 경제학자들 및 몇몇 보안전문가들을 중심으로 정보보호에 대한 포괄적인 학제 간 연구가 진행되고 있음 o 이중 특정 경제학자와 시큐리티 전문가들을 중심으로 포괄적인 학제 간 연구가 진행되고 있으며 이러한 연구로는 WEIS가 대표적 - 2002년 UC Berkely에서 시작된 WEIS(Workshop on the Economics of Information Security) 12) 는 정보보호기술의 특성만이 아닌 경제 원리에 입각한 접근방법으로 정보보호시장의 특성을 연구하고 정보보호 투자의 효과측정 방법, 정책 및 관리의 경제성, 특히 주요 이슈가 되고 있는 프라이버시의 경제성 등의 주제를 가지고 정보보호의 흐름을 연구하고 있음 o WEIS에서 활동하는 주요 연구자들은 Jean Camp, Ross Anderson, Hal R. Varian, Carl Shapiro 등의 학자들로, 각각의 주된 연구 영역은 다음과 같음 (1) Jean Camp 관련 연구 내용 [표 3] Jean Camp의 관련 연구 내용 소속 Professor of Computer Science at Indiana University Economics of Security 연구자 연구 분야 Economics of security Identity in the Network Privacy and Digital Surveillance Trust in the Network 연구내용 정보호호에 대한 적절한 투자수준을 결정하고 위험에 대한 평가 연구 네트워크상에서 식별의 정도 및 투자 수준 결정에 대한 연구 프라이버시 강화를 위한 메커니즘평가 방법 개발 및 디지털 감시를 위한 기준 분석 연구 컴퓨터 보안 메커니즘에 대한 신뢰성 테스트 방법 연구 12) http://infosecon.net/index.php 11
(2) Ross Anderson 관련 연구 내용 [표 4] Ross Anderson의 관련 연구 내용 소속 Professor of University of Cambridge Computer Laboratory 연구자 연구분야 The topology of covert conflict Trust Computing 연구내용 네트워크 분석을 통한 공격과방어 전략 에 대한 게임이론 적용 연구 소스코드 공개를 통한 공격자와방어자 의 행동 전략의 경제성연구 (3) Hal. R Varian 관련 연구 내용 [표 5] Hal. R Varian 의 관련 연구 내용 소속 Professor of the School of Information, and the Department of Economics at the UC Berkeley 연구자 연구 분야 Economic Incentives in Software Design Effect of the Internet on Financial Markets Markets for Information Goods Versioning Information Goods Differential Pricing and Efficiency 연구내용 소프트웨어를 독점으로 공급하기 위해 사용하는 인센티브 방법 연구 미래 사이버 시장의 발전에 대한 현재 인 터넷 시장이 취해야 할 가이드라인 제시 정보를 재화로 사고파는 정보 시장에 대한 방향 제시 버저닝(versioning)을 이용한 정보보호 상품 시장에 대한 연구 원거리 통신과 정보 산업에서 발견되는 범위의 경제를 넓히기 위한 효과적인 가격 정책 설정에 대한 연구 (4) Carl Shapiro 관련 연구 내용 [표 6] Carl Shapiro 의 관련 연구 내용 소속 Professor of Business Strategy at the Haas School of Business at the UC Berkeley 연구자 연구분야 Technology Transitions with Network Externalities Technological Competition and International Trade Signals of Product Quality Technology Transitions with Network Externalities 연구내용 네트워크 외부성을 통한 기술의 발전 연구 보안 기술을 통한 경쟁과 국내 산업 발달에 관한 연구 시그널을 통한 상품 품질 결정에 대한 연구 12
2) 정보보호 주제별 연구 o 정보보호 관련 주제별로 크게 WEIS를 중심으로 진행되고 있는 정보보호 관련 연구와 보안사고로 인해 발생하는 경제적 손실 측정 연구 13) 로 대별 o 먼저, WEIS에서 다루고 있는 주제는 매우 광범위하나, 주요 연구주제로는 (1)프라이 버시 경제성 연구, (2)정보보호의 비용 및 투자가치 연구, (3)정보보호를 위한 효과적 인센티브 모델링 연구 등이 있음 (1) 프라이버시 경제성 연구 : 유비쿼터스 시대로 전환이 이루어짐에 따라 다양한 기술과 정보공유의 범위 확대로 점점 더 프라이버시 보호의 요구가 증대되고 있으며, 이러한 이유로 프라이버시의 문제나 프라이버시에 대한 합리적 가치의 문제 등 다양한 주제로 연구가 진행 되고 있음 14) 구분 프라이버시 세부 주제 1. 프라이버시의 합리적 가치에 대한 의사결정 2. 개인 프라이버시 가치 요소의 식별모델 연구 3. 레몬마켓에서의 프라이버시 정책 시그널 4. 프라이버시 마켓형성의 요인 분석 5. 실험적 경제학과 심리학을 이용한 위치정보에 대한 프라이버시 가치 산정 6. 시장 특성에 따른 프라이버시 보호 수준의 연구 7. PPISS시스템을 이용, 프라이버시 위험제거를 통한 신용 증대 연구 13) 자세한 내용은 본고 (4) 사이버 공격으로 인한 피해액 산출에서 다루고 있음 14) 프라이버시와 개인정보는 엄격히 말하면 서로 다른 개념이나 WEIS에서 진행되고 있는 프라이버시 관련 연구에서는 개인정보와 구분하지 않고 사용하고 있는 듯하다. 그러나 2장의 목적은 국외 연구동 향을 소개하는 것이므로 WEIS의 용어를 그대로 차용하였다. 프라이버시와 개인정보의 개념, 개인정 보의 경제적 가치에 관한 자세한 내용은 개인정보의 경제적 가치에 관한 분석 (채승완 외, KISA 정보보호 이슈리포트 2007-03, 2007.3)을 참조하기 바란다. 13
o 프라이버시 침해에 대한 분석은 원래의 개인적 권리의 침해 및 개인사생활 차원의 피해라는 의미에서, 이러한 침해로 인한 초래되는 경제적 손실에 대한 분석으로 확대되고 있음 o 현재의 환경이나 기술이 프라이버시의 노출과 밀접한 관련을 가지는 특성상 프라이버시가 갖는 의미는 오늘날 더욱 높은 가치를 가지게 되었으며, 이를 반영하듯 최근 앞 다투어 다루고 있는 프라이버시 경제성 연구가 진행됨 o 프라이버시의 경제적 측면에 관한 다양한 주제들에 대한 주요 논점은 크게 3 가지로 구분이 되는 경향을 보임 - 첫째, 프라이버시로부터 야기되는 손실의 측면과 - 둘째, 반대로 프라이버시에 대한 정보소유자의 역설적 태도, - 셋째, 개인의 의사결정의 기준으로 작용할 수 있는 요인으로서의 프라이버시 의 문제가 그러한 세 가지 논점임 o 첫째, 프라이버시로부터 야기 되는 손실 15) 은 개인적 측면이 아닌 기업의 측면 에서 더 큰 의미를 가지는 것으로, 개인의 프라이버시 16) 와 관련된 개인정보의 충분 한 논의 없는 수집이나 사용은 이를 활용하는 조직에게 오히려 시장에서 신뢰를 잃어버릴 수 있는 위협을 제공함 - 즉, 시장에서에서 가장 중요한 자산은 기업과 개인(시민, 소비자, 종업원)간의 관계이며 이러한 관계는 기업이 개개인의 사적인 정보를 적절하게 사용할 것 이라는 개인의 신뢰를 바탕으로 함 - 이러한 신뢰는 개인 정보의 적절한 사용으로 구체화되어지기 때문에 개인 정보 사용에 대한 논의 없는 수집이나 사용은 개인정보를 사용하는 조직에게 그에 15) The Privacy Value, Peter E. Sand, 2005. 16) 프라이버시와 개인정보는 흔히 혼용되어 사용되는 용어로, 학자 및 관련 규범에 따라 다양하게 정의되고 있다. 프라이버시가 처음 미국에서 등장했을 당시 프라이버시란 혼자 있을 권리라는 소극적 개념으로 해석되던 권리로 해석되었으며, 1890년 워렌 및 브렌다이스 판례에서 최초로 프라이버시 권리를 인정한 이래, 개인이 사회에서 살아가기 위해서는 사회로부터 간섭받지 않는 비밀 영역이 있어야 함이 인정 되고 이러한 의미에서 개인은 자기에 관한 개인정보를 자신이 통제할 수 있어야 한다는 권리가 인정 되었다. 여기에서 개인정보를 통제하는 권리란 남에게 알리고 싶지 않은 사적인 개인정보와 관련하여 개인정보의 수집, 개인정보의 이용ㆍ관리 등 각각의 분야에 있어서 정보주체에 의한 자기정보 통제권 이 포함된다. 14
따른 위험을 가져올 수 있음 - 그러므로 조직은 새로운 프레임워크를 통해 개인정보의 명확한 식별과 수집 및 사용의 일관성을 알아야 하며 프라이버시의 질서가 존재하는 프레임워크를 제공하고 프라이버시의 지불비용에 대한 이해를 높여야 함 o 둘째, 개인정보 소유가가 프라이버시에 대해 가지는 역설적 가치 17) 에 대한 측면에 대한 연구로, 이는 프라이버시를 중요하게 생각하는 반면 스스로 쉽게 노출하는 정보소유자의 프라이버시에 대한 역설적 가치에 대한 연구 한국정보보호진흥원 o 즉, 각 개인은 개인정보를 제공하고 무료로 대가를 받는 수많은 이벤트에 개인 정보를 제공하곤 하며, 프라이버시가 가장 가치 있다고 주장하는 사람들조차도 실질적으로는 프라이버시에 대한 가치를 두고 있지 않는 측면에 초점을 맞춤 o 따라서 개인은 자신이 제공하는 정보의 가치보다 그로부터 얻는 가치가 크다고 기대될 경우 자신의 개인정보를 제공하는 것이 합리적이며, 이때의 교환가치가 효과적인 기대가치의 값이라고 생각하게 됨 17) The Paradoxical Value of Privacy, Paul Syverson, 2003. 15
(2) 정보보호의 비용 및 투자가치 연구 : 정보보호의 표준적인 분석기반을 마련하기 위해 정보보호의 투자에 대한 타당 성과 효과를 측정해야 할 필요가 있으며, 이를 위해 사이버공격과 관련된 위험의 정도나 기대손실, 이를 방어하기 위한 보안지출이나 투자의 수준을 측정할 수 있는 가치평가 방법을 개발하거나 효과성에 대한 모델링 및 효과를 규명하는 연구 구분 세부 주제 비용 및 투자 가치 1. 몬테카를로 접근법을 이용한 공격 방어에 대한 투자이익 시각화 2. ROA 계산을 통한 정보보호 투자가치 평가 3. 소프트웨어 다양성 기반 정보보호 달성방법 분석을 통한정보보호 투자량 정규화 연구 4. 위험관리 측면의 정보보호 보증과 비용 관계 연구 5. 정보보호 투자의 경제적 효율성 연구 6. Honynet 모델을 이용한 비용 편익 모델링 연구 o 정보보호 투자를 위한 가치평가는 다시 말해 정보보호에 드는 비용을 측정함을 의미하는 것으로, - 기관들은 보안사고로 인한 피해나 내용을 공개적으로 밝히기를 꺼려하며, 정확한 비용 데이터가 없는 수많은 기관들은 정보보호에 드는 비용을 합리적으로 결정하 거나 비용투자에 대한 효과를 계산할 수 없게 됨 - 따라서 자체적인 피해산정이나 향후 예방의 목적을 위해서 내부적인 비용측정은 반드시 필요 o 정보보호 투자를 위한 가치평가를 위해 선결해야 할 것은 비용의 문제가 있을 수 있으며, 이러한 비용에는 직접비와 간접비가 포함될 수 있음 16
- 직접비는 컴퓨터 시스템을 공격전 원래 상태로 복구하는데 드는 비용을 포함하며 다음과 같은 경우가 있음 [표 7] 정보보호 투자 - 직접비 1 공격의 회복을 위한 추가비용 : 공격에서 회복하려면 전형적으로 노동 및 자재에 대한 추가비용을 지출해야 한 다. 이들 비용은 가장 측정하기가 쉬우나 이러한 기본적 수준의 원가회계 라 해도 복잡성은 발생한다. 공격으로 인해 IT보안에 대한 지출이 증가하는 경우 공격으로 인한 비용 산정의 문제, 공격 후 하드웨어나 소프트웨어 부문 에서 계획한 업그레이드를 가속화하는 경우 업그레이드의 보안비용 분류의 문제 등이 그 예일 수 있다. 2 영업중단으로 인한 직접손실 비용 지출 직 접 비 : 이들 비용은 업무 중단 동안 발생하는 매출 손실과 직원 생산성 손실을 포함 하는데 매출 손실이 공격전 기간을 참조해 쉽게 측정할수 있는 반면 이것이 전부는 아니다. 매출 손실은 공격기간으로 제한된 일시적 현상으로 치부할 수 있으나 일부 고객이 경쟁기업으로 영구 전환하는 경우 장기적 손실로 판 단되어야 한다. 3 생산성 손실 측정 : 일반적인 현금비용의 증가가 아니다. 직원들의 경우 어떻게든 임금을 보상으 로 지급받는다. 손실 시간에 가치를 할당하는 것은 각 개별기관의 중지된 사 업기회 또는 자원의 전환과 관련한 자체 비용에 대한 평가에 의존한다. 4 또한 공격 시 탈취 및 침해당하거나 가치가 손상된 정보자산의 가치 손실 : 공격 시 탈취 및 침해당하거나 가치가 손상된 정보자산의 가치 손실이 포함된 다. 이 시점에서 발생 가능한 비용 측정은 매우 어렵다 17
- 간접비는 공격에 대한 즉각적 피해 복구 이후에 발생하는 비용을 의미하며, 명성의 손상이나 기업 브랜드 손상 등으로 발생한다. [표 8] 정보보호 투자 - 간접비 1 공격으로 인한 고객사 이탈 및 보험비용 증가 간 접 비 공격으로 인해 고객들은 경쟁사로 이탈할 수 있고 금융시장은 기업의 자본비 용을 늘릴 수 있으며 보험비용도 증가할 수 있다. 또한 법적소송이 제기될 수 도 있는데 이러한 비용은 모두 간접비가 된다. 이들 비용 요인 중 일부는 계량 화할 수 있으나 신뢰 손상의 다른 측면은 무형의 것으로서 측정이 어렵다. 2 사이버공격으로 인한 개인들에게 미치는 경제적 피해 간접비에는 공격목표가 아닌 개인이나 개인들에게 미치는 경제적 피해를 포함 한다. 한 기업의 컴퓨터 네트워크에 대한 공격은 공급망 상에 있는 다른 기업 들에게 영향을 미치게 되며 신용카드 관련 데이터 해킹이나 인터넷사업자의 서비스 중단 시 고객들에게 비용이 발생하게 된다. o 기타 비용의 또 다른 형태로 사이버위험을 측정하는 비용과 사이버위험에 직면한 기업들이 보안을 위해 지불하는 지출비용 두 가지를 들 수 있으며 o 사이버위험 비용은 바이러스나 웜, 해킹과 같은 보안사고로부터 야기되는 모든 위험에 대한 비용을 의미하며, 사이버위험을 관리하기 위해서는 정보보호에 투입 되는 예산과 예산 할당 방법을 결정해야 함 o 이러한 사이버 위험을 측정하기 위해 ALE(Annual Loss Expectancy)와 정보자산 가치와 공격 취약성에 대한 질적 접근법을 활용하고 있음 18
[표 9] 사이버 위험비용 산출 방법 1 ALE(Annual Loss Expectancy) 사이버 위험 비용 산출 방법 사이버위험의 측정을 위하여 1970년 말 미국 국립표준기술원(NIST: National Institute for Standards and Technologies)은 연간기대손실(ALE)모델을 개발하 고 사건의 비용 또는 영향을 사건빈도 또는 확률의 곱으로 산출하여 달러 값 으로 표시하였다. ALE는 공격의 확률과 심각성을 단일 수치로 결합하여 특정 해에 기업이 입은 손실의 예상액을 나타낸다. 그러나 이렇게 사이버공격의 비 용을 나타내는 표준측정 단위인 ALE는 사이버위험을 평가하기 위한 일반적 단위로 사용되지는 않는다. 왜냐하면 공격의 비용 영향력과 빈도는 잘 알려진 변수라 하더라도 두 변수의 계량화가 쉽지 않기 때문이다. 2 정보자산 가치와 공격 취약성 정확한 위험계산이 불가능한 경우의 대안으로 위험의 양이 아닌 질의 측정방법 으로 정보자산의 가치와 공격 취약성에 대한 등급을 매기는 방법 o IT보안 지출비용이란 사이버위험에 직면한 기업들이 정보보호를 위해 얼마나 많은 비용을 지불하는지를 나타내는 것으로, - 앞에서 살펴본 바와 같이 위험측정의 차이로 인하여 기업의 보안지출에 대한 설정은 각각의 편차가 크게 나타남 - 점차 보안예산의 비중을 늘리고 위험증가에 대한 적절한 관리를 하기 위해서는 정확한 위험비용의 산정을 통한 보안 지출비용의 예측이 가능해야 함 - 보안지출에 대한 투자이익을 측정하기 위한 이론적 모델들이 지속적으로 개발 되고 있으나 보다 합리적이고 정확한 보안지출 수준결정을 위한 방법이 필요 19
o 합리적인 정보보호 투자비용에 관한 적절한 투자모델을 산출하기 위한 일련의 연구들이 진행되면서, 정보보호 투자를 위한 통제시스템의 효과 분석, 정보보호 투자의 위험성 연구 등이 발표됨 o 사이버공간 보안의 자본투자 통제모델 연구와 관련하여 정보보호경제학자로 잘 알려져 있는 Lawrence A. Gordon 18) 은 전통적 자본투자와 사이버공간에서의 보안 자본투자가 다름을 주장하면서 정보보호 투자를 위한 통제시스템이 긍정적 효과를 갖는지를 밝히는 모델을 제시함 - 특히 주요 인프라자산과 관련한 사이버공간 보안투자에 대해 비용편익 관점의 통제시스템을 언급하면서 이 통제시스템에 작용하는 비대칭정보와 외부성의 작용에 주목함 o 한편 정보보호 투자의 위험성에 관련한 연구도 진행됨 - 초창기에 대규모 데이터센터에서 정보보호의 필요성에 관해 이루어진 미국 연구 에서부터 시작되었으며, 이 연구에서는 ALE(Average Loss Expectancy)와 같은 재정적 매트릭스로써 연간 제품의 손실비용 총합과 발생빈도를 계산하여 위험을 추정 19) - 정보보호 투자 관련 연구는 에너지, 텔레커뮤니케이션, 의료, 금융, 운송 등과 같은 주요 핵심 인프라 보호에 초점이 맞추어 지고 있으며, 이러한 연구의 흐름은 Oman 20) 과 Longstaff 21) 에 의해 보고됨 18) Economic Aspects of Controlling Capital Investments in cyberspace Security for Critical Infrastructure Assets, Lawrence A. Gordon, 2003. 19) Guideline for The Analysis Local Area Network Security, FIPS PUB 191, National Bureau of Standards, 1994. 20) Concerns About Intrusions into Remotely Accessible Substation controllers and SCADA Systems, P. Oman, E. Schweitzer III and D.Frincke, in Proc. 27th Annual Western Protective Relay conference, Oct 2000. 21) Are We Forgetting the Risks of Information Technology?, T.Longstaff, C. Chittister, R. Pethia and Y. Haimes, Computer, IEEE, pp. 43-51, Dec 2000. 20
o 몬테카를로 기법을 활용한 투자위험 분석 - 몬테카를로 시뮬레이션 기법을 활용한 정보보호투자의 불확실성을 분석하기 위한 연구가 James R. Conrad 22) 에 의해 진행 - 몬테카를로 접근법은 취약점, 침입율, 손실산정 등 보안 모델링 파라미터가 갖는 불확실성을 잡아 모델이 예측한 영향을 나타낸 것으로, 이러한 예측은 통제자 나 자원할당을 결정하는 중간관리자에 의해 이해 가능한 차트로 표현 - 이러한 분석법은 매우 파괴적인 공격을 방어하기 위한 투자에 대해 잠재적 이익을 시각화 할 수 있는 분석법으로, - 불확실성을 정량화하기 위한 방법으로 흔히 사용하는 기대치(expected values) 파라미터 대신 발생 가능한 확률분포를 정의하여 정량화된 예측을 가능하게 함 (3) 정보보호를 위한 효과적 인센티브 모델링 연구 : 일반적으로 정보보호를 위해 어느 정도 선까지의 금액을 지불하려는 의사가 존재 하나, 보안침해 방지를 위한 적극적인 투자에는 소극적인 경향을 보임. 이러한 경향에 대해 분석하고, 실질적인 정보보호 투자를 유치할 수 있는 효과적인 인센 티브 모델 개발을 위한 연구 구분 인센티브 세부 주제 1. SW 취약점 시장에서 Bug경매를 통한 인센티브 2. 게임이론모델 이용: 경쟁사간 공유정보의 인센티브와 회사 이익에 관한 연구 o 정보보호의 문제에 있어서도 경제적 유인이 존재할 수 있음 - 정보보호의 실패로 인한 사후 피해 복구비용이 사전에 투입되는 비용보다 많다면, 경제적 논리에 따라 사전 예방을 위한 투자가 이루어 질 수 있음 22) Analyzing the Risks of Information Security Investments with Monte-Carlo Simulations, James R. Conrad, IEEE Computer Society, 2005 21
- 한편, 정보보호의 실패로 인한 위험 및 피해를 가장 잘 관리하고 방지할 수 있는 경제 주체가 그러한 피해에 대한 책임(liability)을 지도록 의무적으로 규정하는 것이 필요함 - 왜냐하면, 정보보호 실패로 인한 위험 및 피해를 가장 잘 관리 할 수 있는 경제 주체에게 정보보호로 인한 실패에 대한 입증과 복구 책임을 부과한다면, 이들에 게는 이러한 책임비용을 줄이기 위한 경제적 유인이 제공됨 - 따라서, 비용을 줄이기 위한 경제적 유인에 따라 효율적인 정보보호 투자가 이루어 질 수 있음 <분산서비스 공격 사례로 본 정보보호를 위한 경제적 유인> 2000년 초에 미국에서는 야후, 아마존 등 방문자와 방문빈도가 큰 사이트들이 서 비스 거부공격으로 인해 접속이 불가능한 상태에 이르렀다. 당시에 수많은 패킷이 이들 사이트로 집중되어 이 사이트가 다룰 수 있는 트래픽의 한계를 넘었으며, 매우 다양한 곳으로부터 이러한 패킷이 유입되어 이를 해결할 수 있는 방법도 존재하지 않았다. 이 과정에서 개인들의 컴퓨터가 이러한 공격의 통로의 역할을 수행하였다. 개인들은 자신의 컴퓨터를 보호하기 위한 백신 프로그램의 구입을 위해 어느 정 도의 금액을 지불하려는 의사가 존재한다. 반면 실제의 피해 발생은 대규모 인터넷 사이트에서 발생하기 때문에 개인들은 개인은 자신의 컴퓨터가 서비스 거부 공격에 사용되는 것을 방지하는 소프트웨어를 위해서는 단 1원의 금액도 지불하려하지 않 는다. 따라서 이러한 문제를 해결하기 위해서는 인터넷 서비스 제공업자나 네트워크 제 공업자에게 책임을 지워, 그러한 책임이 인터넷 서비스 제공업자나 네트워크 제공업 자에게 존재할 경우 이들은 개인 사용자에게 서비스 거부 공격 방지를 위한 적절한 소프트웨어를 구비하도록 압력을 가하던지, 혹은 개인 사용자에게 제공하는 서비스 의 일환으로 이러한 소프트웨어를 제공하게 될 것이다. 즉 분산 서비스 공격의 문제가 발생할 경우 이를 가장 잘 해결할 수 있는 경제주 체인 인터넷 서비스 제공업자나 네트워크 제공업자에게 그 책임을 부과함으로써 문 제를 해결할 수 있다는 주장이다. 22
o 이러한 경제적 인센티브 모델에 대한 연구로는 취약점 시장에서의 경매 및 게임 이론모델 이용한 연구가 있음 - 먼저, SW 취약점 시장 23) 에 대한 결함(Bug) 경매 방식은 취약점 시장에 대한 분 석을 기본 데이터로 발견된 결함들을 경제학에서 제시하는 경매방식으로 극복하 고자 하는 유인책을 제시 - 둘째, 게임이론을 이용한 모델은 경쟁기업 간 정보공유의 인센티브와 이에 따른 이익을 연구한 것으로, 기업들 간 보안 정보 공유라는 주제에 대한 경제적 유인에 따른 분석 24) 을 제공함 o 정보보호를 위한 경제적 유인에 대한 연구들은 생산적 정보보호와 효율적 정보 활용의 균형성장을 위하여 매우 많은 시사점을 준다고 할 수 있음 - 정보보호를 위한 경제적 인센티브를 제공함으로써 경제주체들의 자율적인 판단에 따라 효율적이고 실질적인 정보보호 투자가 이루어 질 수 있는 가능성제시 23) 소프트웨어 보안정도를 측정할 방법의 부재로 인하여 소프트웨어 소프트웨어시장은 market of lemon 으로 비유될 정도로 위험이 산재하다. 24) Information Technology(IT)보안은 과거 2,3 년 동안 중요한 화제로 등장했다. 보안 침해를 최소 로 하기 위해 도구로 기업들 간의 보안 정보 공유라는 사실이 중요하며, 이러한 사이버 보안 정보 를 기업들 간에 공유하고 공개하도록 하기 위해 게임 이론을 이용, 보안 정보 공유에 관한 경쟁적 인 관계들을 조사 하고 보안 기술 투자에 대한 분석을 시도하였음 23
(4) 사이버 공격에 의한 피해액 산출 o 사이버 공격이란 그 유형에 따라 네트워크 자체나 네트워크에 의한 서비스 기능의 저하 또는 정지시키는 공격과, 정보를 탈취하거나 파괴하는 공격으로 나뉘어 짐 o 사이버 공격으로 인한 경제적 피해는 - 대상 기업의 컴퓨터 네트워크에 대한 의존도가 높을수록, 소규모 기업일수록 공격의 영향력이 크며, 대상 기업의 인터넷 의존도와 침해당한 정보의 종류에 의해 그 피해규모가 결정되는 특징이 있음 o 사이버 공격에 의한 피해액을 산출하는데 있어 기관들의 대표적인 피해액 발표 치는 Mi2g 25), Computer Economics Inc. 26), CSI/FBI 통람으로, o Mi2g사는 웜, 바이러스, 기타 악성 소프트웨어(Malware) 공격에 의한 피해 추정치와 명시적 디지털 공격(overt digital attacks) 27) 에 의한 사이버 공격의 발생율과 피해액에 대한 수치를 발표 - 이들이 발표하는 추정 피해액에는 업무중단으로 인한 손실, 데이터 탈취 및 삭제, 민감 정보 또는 지적재산권의 상실, 평판의 상실, 주가하락 등으로 인한 경제적 손실액 28) 이 포함되어 있음 [표 10] 1.25 인터넷 침해사고로 인한 전 세계 피해액 구분 Mi2g(영국) CE(미국) 전 세계피해액 $9억5천만~$12억 $10억 한국정보보호진흥원, 2007 25) 영국기업인 Mi2g사는 웜, 바이러스 등 소위 malware 공격에 대한 추정치를 발표(http://www.mi2g.com/) 26)캘리포니아 carlsbad에 위치하고 있는 CEI사는 수년 동안 악성코드 공격의 금전적 비용에 대한 추정 치를 발표하여 왔으며 전 세계적인 금전적 피해액 추정치를 발표하고 있음 27)명시적 디지털 공격(Overt digital attack)이란 해커그룹이 컴퓨터 네트워크에 무단접근해 공개적으로 가시 화되는 구성요소를 변조하는 공격이며, 이러한 노골적 공격의 유형으로 데이터의 기밀성 가용성 무결성 을 손상하는 데이터 공격이나 네트워크 제어 및 관리 시스템을 침해하는 제어공격을 들 수 있음 28) Congressional Reasearch Service, The Economics Impact of Cyber-Attacks, April 2004 참조 24
o Computer Economics Inc.(CEI)는 악성코드 공격에 대한 전 세계적인 금전적 피해액 추정치를 발표하고 있으며, - 이들의 피해액 산출에는 공격 후 복구 및 정리 비용, 생산성 상실분, 업무 마비로 인한 매출 상실분 등의 피해 비용이 포함 29) 되어 있음 [표 11] CE사 전세계 피해액, 03-06 연도 2003년 2004년 2005년 2006년 전세계 피해액 $13.0B $17.5B $14.2B $13.3B 한국정보보호진흥원, 2007 o CSI(컴퓨터 보안 연구소)/FBI는 연례통람에서 기업, 금융기관, 대학 등의 530개 기관을 대상으로 각종 사이버 공격에 의한 손실을 종합하여 연간 피해액 발표 [표 12] CSI/FBI통람의 컴퓨터 범죄 피해액 (단위:백만$) 연도 00년 01년 02년 03년 피해액(미국) 265.3 377.8 455.8 201.8 한국정보보호진흥원, 2007 o 사이버 공격에 의한 전 세계적 피해액을 산출하기 위한 다양한 시도가 있으나, 이들이 활용하고 있는 데이터 및 산출과정에 대한 신뢰성의 문제가 제기됨 - 즉 Mi2g, CEI 사들은 자사의 가입자나 고객들을 대상으로 제공되는 데이터 여서 신뢰성이 결여되어 추정치가 부정확하다는 단점이 있으며, - 이들이 활용하고 있는 모델과 모델의 기본가정, 비용 산출의 과정이 외부에 공개되어 있지 않아 평가가 어렵다는 단점이 있음 o 그러나 이러한 발표는 최선의 추정치로 여겨지고 있으며, 이들의 산출모델 및 알고리즘은 경제적 비용 평가의 핵심적인 아이디어를 제공하고 있음 29) 사이버 공격으로 인한 경제적 피해 비용, 국가보안기술연구소(2005), 13p 25
o 한편, 인터넷 보안 침해사고에 대해 다양한 접근방식을 제시하고 있는 연구 논문들을 통해 경제적 피해액 산정 방법론 관련 연구가 진행 o 먼저, 일반적인 접근법으로 정보보안 침해사고로 인한 피해를 매출손실, 업무효율저하, 복구비용 발생, 데이터 손실 등의 관점에서 종합적 피해액 산출관련 연구는 다수 진행 - 이러한 연구는 인터넷 침해사고로 인한 가시적인 경제적 피해, 즉 기업이 직접적으로 비용을 소요한 측면에 대한 피해 산출 연구로 포괄적이며 가시 적인 부문에 대한 피해를 산출함 - 대표적인 연구는 Farahmand의 Evaluating Damages Caused By Information Systems Security incidents 와 Nicholas Weaver & Vern Paxson의 A Worst-Case Worm 을 들 수 있음 - Farahmand의 연구는 인터넷 보안사고에 대한 원인을 위협의 주체(Agent), 위협의 수단(Threat), 대응조치(Security measure) 세 축으로, 원인과 수단 및 대응조치를 하나의 모델로 구성하여 이들에 대한 기초적인 분석의 프레임을 제공 [그림3] 위협주체, 수단, 대응 조치 26
o Nicholas Weaver와 Vern Paxson(2004)은 웜에 의한 인터넷 보안침해 사고 발생 시 그 피해액을 측정하기 위한 연구로, 웜 바이러스에 의한 피해가 가 장 큰 경우를 상정하여 피해액을 측정 o 웜 바이러스 공격에 의한 전반적인 피해액 측정을 위해 Weaver와 Paxson은 생산성 손실(lost productivity), 복구시간(repair time), 데이터 손실(lost data), 시스템 손상(damage to system) 등 네 가지로 요소로 피해측정 분석 모델을 구성 o 이들은 웜 바이러스에 의한 피해 중 기업의 이미지 실추 등과 같은 2차적 피해나 후속적으로 따라오는 피해, 즉 주요 인프라에 미치는 파급효과 등은 연구대상에서 제외하고, 1차적으로 직접 발생하는 피해액만을 연구의 범위로 한정 - 또한 정확하고 구체적인 피해액의 산출보다는 대략적인 피해의 범위 및 피해의 규모를 추산해 내는 것을 목표로 함 [표 13] 경제적 피해 산출의 일반적 접근법 주제 연구자 연구내용 정보보안사고의 원인과 대응방안 Farahmand (Georgia Institute Technology) 30) 정보보안사고의 원인에 대해 위협의 주체, 위 협의 유형, 대응조등으로 구분하여 인터넷 침해 사고의 기초적인 분석의 프레임제공 웜ㆍ바이러스에 의한 전반적인 피해액 측정을 위해 피해를 생산성 손실(lost productivity), 복 웜에 의한 인터넷 침해 Nicholas Weaver & 구시간(repair time), 데이터 손실(lost data), 시 사고 발생 시 피해액 측정 Vern Paxson 31) 스템 손상(damage to system) 등 네 가지로 요소로 피해측정 분석 모델을 구성 30) Evaluating Damages Caused By Information Systems Security incidents, Economics of Information Security, chapter7 31) International Computer Science Institute International Computer Science Institute, A Worst-Case Worm (2004) 27
o 반면, 사이버 공격으로 인한 피해를 물리적인 손상뿐만 아니라 논리적인 손상에 의한 피해의 측면에서도 파악한 연구가 진행 - 즉, 정보 유출과 관련된 인터넷 침해사고는 데이터가 저장되어 있는 하드 웨어가 손상되는 물리적 침해(physical breach)와, 이러한 물리적인 피해 없이 데이터와 소프트웨어만을 손상시키는 논리적 침해(logical breach)가 있다고 구분하여, 물리적 피해 없이 데이터와 소프트웨어의 손상을 가져오는 논리적 피해에 관해 연구 진행 o 특히, 사이버 공격으로 인해 손실되는 데이터의 경제적 가치에 대한 분석 연구도 진행되어 비가시적 측면의 경제적 손실을 측정 - 즉 사이버 공격으로 인해 데이터가 손실되는 경우, 그 데이터가 복구될 수 있는 경우와 복구되기 어려운 경우로 나누어 - 데이터가 복구되는 경우, 복구되는 비율, 인건비, 복구하는 동안의 생산성 저하로 인한 손실 등을 기준으로 데이터 복구로 인한 비용을 산출하며, - 데이터가 복구되지 않은 경우, 데이터의 단위당 가치를 환산하여 손실된 데이터의 양 및 단위당 가치로 그 피해액을 산출 [표 14] 비가시적 측면의 피해액 산출 연구 주제 연구자 연구내용 물리적 손상이외의 논리적 손상으로 인한 경제적 피해 Farahmand 32) 외 2인 사이버 공격으로 인한 피해를 물리적/논리적 피해로 구분하여 접근한 후, 논리적 손상으로 인 한 피해비용의 개념 도입 데이터 손실에 의한 경제적 손실 D. Smith 33) 보안침해사고로 인해 발생할 수 있는 데이 터 손실 측면의 패해액 산출 32) Assessing damages of information security incident and selecting control measures, a case study approach 33) David M. Smith, The Cost of Lost Data, The George L. Graziadio School of Business & Management Report, Pepperdine University, 2003 28
Ⅵ. 시사점 o 본보고서에서는 정보보호경제 연구에 대한 동향분석을 통해 정보보호의 경제적 접근의 의미를 살펴보았고, 현재 국내외 관련 연구에서 제시되고 있는 접근이론과 방법들을 고찰함 o 정보보호의 경제성 분석과 관련한 국내 연구는 현재 보안 기술 분야, 특히 암호분야에 치중되어 진행되고 있는 실정 - 그러나 정보의 자산 가치에 대한 인식이 증가함에 따라 개인정보의 경제적 가치 산출을 비롯하여 보안침해사고로 인한 경제적 손실액 측정, 합리적인 정보보호투자에 관한 연구 등 다양한 접근이 이루어지고 있음 o 반면, 국내연구에 비해 관련 해외 연구는 매우 활발하게 진행되고 있으며, 다양한 주제별로 경제적 분석이 이루어지고 있음 - 사이버 공격으로 인한 경제적 손실액의 측정하기 위한 방법론 연구를 비롯하여, 프라이버시 경제성 연구, 정보보호의 비용 및 투자가치 연구, 정보보호를 위한 효과적 인센티브 모델 연구 등이 주요 연구 주제로 다루어지고 있음 - 특히, 정보보호를 위한 프라이버시의 가치에 대한 연구는 국내에서도 진행되고 있는 개인정보의 가치 분석연구와도 유사한 점이 있어, 개인정보보호의 중요 성이 부각됨을 알 수 있음 o 정보보호의 중요성에 대한 인식의 수준 및 요구 사항은 증가하고 있으나 합리 적인 정보보호를 달성하기 위한 방법론은 부재 - 정보보호 실패로 인해 초래되는 경제적 손실 규모를 파악하기 위한 방법, 적정한 보안 투자의 수준을 결정하는 것 즉, 중요 취약성에 얼마를 투자할 것인지, 투자의 수준은 어느 정도로 해야 하는지에 대한 연구결과는 여전히 분명하진 않음 o 따라서 정보보호의 경제적 파급효과 및 효율적인 정보보호 투자를 달성하기 위한 지속적인 연구노력이 진행되어야 하며, 이를 실질적으로 실천할 수 있는 국가차원의 법제도적 뒷받침과 개인의 의식적 노력이 필요함 29
< 참고자료 > [1] 공희경ㆍ김태성, 정보보호 투자 효과에 대한 연구 동향, 정보보호학회지, 제 17권 제 4호, 2007. 8 [2] 민경식 외, 공인인증서 이용의 경제적 효과에 관한 연구, 한국정보사회 진흥원 정보화정책 제 15권 제 2호 2008. 6 [4] 신일순, 정보보호의 경제학적 의미에 관한 소고, Information security review 제 1호, pp27-40 [5] 이창범 외, APT(Asia-Pacific Telecommunity) 개인정보 및 프라이버시 보호 가인드라인 제정 연구, 개인정보분쟁조정위원회, 2003 [6] 채승완 외, 개인정보의 경제적 가치 분석에 관한 연구, KISA 정보보호 이슈리포트 2007-03, 2007.3 [7], 개인정보보호의 경제적 효과, 소비자 문제 연구 제 33호, 2008.4 [8] 인터넷 침해사고 피해액 산출모형 개발에 관한 연구, 한국정보보호진흥원, 2006.12 [9] 사이버공격으로 인한 경제적 피해비용, 국가보안기술연구소, 2005.12 [10] 정보보호의 경제적 동향 분석, 국가보안기술연구소, 2006.10 [11] 2007 정보보호 실태조사, 한국정보보호진흥원, 2008 [12] 유비쿼터스 환경에서의 정보보호 정책방향, 정보통신연구진흥원, 2008.3 [13] David Moore, Vern Paxson, Stefan Savage, Colleen Shannon, Stuart Staniford, and Nicholas Weaver, Inside the Slammer Worm, IEEE Magazine of Security and Privacy, pages 33-39, July/August 2003 [14] David M. Smith, The Cost of Lost Data, The George L. Graziadio School of Business & Management Report, Pepperdine University, 2003 [15] Farahmand 외 3인, Assessing Damages of Information Security Incidents and Selecting Control Measures, a case study Approach, Fourth Workshop on the Economics of Information Security, Kennedy School of Government, Harvard University, June 2005 [16] James R. Conrad, Analyzing the Risks of Information Security Investments with Monte-Carlo Simulations, IEEE Computer Society, 2005 [17] Jay Garden, large scale Network incidents- what can we do?, SANS Insititute 2003, (www.sans.org/reading_room/whitepapers/threats/928.php) 30
[18] Jennifer Stisa Granick, The Price Restricting Vulnerability Publication, International Journal of Communication Law & Policy, Issue 9, Special Issue on CyberCrime, Spring 2005 [19] Lawrence A. Gordon, Economic Aspects of Controlling Capital Investments in cyberspace Security for Critical Infrastructure Assets, 2003. [20] N. Weaver, V. Paxson, A Worst-Case Worm, Third Annual Workshop on Economics and Information Security (WEIS 04), May 2004 [21] N. Weaver, V. Paxson, S. Staniford, and R. Cunningham. A Taxonomy of Computer Worms. In The First ACM Workshop on Rapid Malcode (WORM), 2003 [22] Peter E. Sand, The Privacy Value, 2005. [23] Paul Syverson, The Paradoxical Value of Privacy, 2003. [24] P. Oman, E. Schweitzer III and D.Frincke, Concerns About Intrusions into Remotely Accessible Substation controllers and SCADA Systems, in Proc. 27th Annual Western Protective Relay conference, Oct 2000. [25] T. Longstaff, C. Chittister, R. Pethia and Y. Haimes, Computer, Are We Forgetting the Risks of Information Technology?, IEEE, pp. 43-51, Dec 2000. [26] Warren S.D &Brandeise, L.D., The Right to Privacy, Havard Law Review, Vol. 4. 1890 [27] Guideline for The Analysis Local Area Network Security, FIPS PUB 191, National Bureau of Standards, 1994. [28] Congressional Reasearch Service, The Economics Impact of Cyber-Attacks, April 2004 [29] Mi2g, MyDoom becomes most damaging malware as SCO is paralysed news alert London, UK, February 2004 [30] http://www.wise2007.org/program.html 31
발행처 한국정보보호진흥원 전략기획팀 서울시 송파구 중대로 135번지 IT 벤처타워 서관 14층 (TEL) 02-405-5144 hjliman@kisa.or.kr 32