페이스북은 전년 동기 대비 매출액이 25%나 증가했음에도 불구하고 올해 초 주가가 5.7%나 하락했습니다. 지출이 전년 대비 51% 증가한 것 때문이었는데, 바로 작년 개인정보 유출 사고와 관련한 과징금이 포함되어 있었기 때문입니다. 페이스북은 개인정보 유출 사고와 관련해 미국 연방거래위원회(FTC)와 50억 달러(약 5조 900억 원) 과징금을 내기로 합의했는데 이는 2018년 매출의 약 9%에 해당하는 금액입니다.

이렇듯 기업에서의 정보 유출 사고는 과징금과 같은 직접적인 비용의 발생과 함께 주가 하락이라는 기업가치의 훼손을 초래하기도 합니다. 디지털 전환(Digital Transformation) 시대를 맞이해 보안에 대한 중요성은 어느 때보다도 커지고 있지만, 급격한 변화를 따라잡기 위한 속도전에서 보안이 우선순위에서 슬쩍 밀려나지 않을까 하는 우려가 생기기도 합니다.

대부분의 기업에서 보안이 우선순위에서 밀리게 되는 이유는 보안에 대한 투자가 실질적으로 기업가치에 기여를 하는지 정량적으로 판단할 근거가 부족했기 때문이 아닌가 싶습니다. 그래서 오늘은 지금까지 나와 있는 실증 연구 사례와 피해 사례를 통해 보안과 기업가치의 구체적인 상관관계를 알아보고자 합니다.

보안 사고로 인한 기업 가치의 하락

보안 사고가 발생하면 기업의 신뢰도가 떨어지고 주가가 하락할 수 있다는 것은 누구나 예상할 수 있지만, 실제로 측정한 결과도 그러할까요? 그 동안의 연구 자료를 통해 확실하게 그렇다는 것을 알 수 있습니다. 아래와 같이 보안 사고(Event) 발생 전후의 누적 비정상 수익률(CAR)을 기준으로 보안 사고와 기업 주가 사이의 상관관계를 분석한 결과를 보면, 유의미한 수준으로 사이버 보안 사고가 기업 주가에 부정적으로 영향을 미친다는 것이 드러납니다.

분석 대상 데이터가 제한적이고 IT 환경이 급변화한 것을 고려하면 이전의 연구 자료들은 한계를 가지고 있습니다만, 이 가설은 최근 진행된 다른 연구 결과에서도 확인할 수 있습니다. (2018년 CompariTech, 2019년 Colivicchi et al. 등)

산업 유형으로 보면, 금융과 통신이 다른 산업에 비해 상대적으로 보안 사고로 인한 영향이 크다는 결과가 나왔고(Kamiya et al., 2018) 데이터 침해 한 개에 158달러에 달하는 비용이 발생한다는 연구 결과도 있습니다.(Ponemon, 2016)

우리나라의 경우, 2011년~2014년간 38건의 정보 유출 사고를 분석한 결과(권순만, 한창희, 2016), 사고 발생 후 2일간 평균 1.5%의 주가 손실이 발생했습니다. 해외 사례보다는 상대적으로 영향이 작았는데요. 이는 국내의 경우 2016년 이전까지 관련 처벌 규정이 미약했던 것을 고려해야 할 것으로 보입니다.

동 연구 결과에서 정보 유출 사건 이후 기업의 주가가 장기적으로도 부정적인 영향을 받는 것으로 나타났으면, 통신, 게임, 인터넷 등 IT 기업에 미치는 영향이 Non-IT 기업보다 유의미하게 높은 것으로 나타났습니다.

Colivicchi et al.(2019)에서는 2017년 11월 DDoS 공격을 받은 4개 은행을 분석한 결과, 나머지 3개 은행에서 사이버 공격과 수익률 하락의 상관관계가 명확하게 보였던 것과는 달리 HSBC만 낮은 상관관계를 나타내면서 특이한 패턴이 보였습니다.

추가적인 연구를 통해, 다른 은행들과 달리 HSBC에서는 그 즈음 대규모의 사이버 보안 투자가 있었다는 것이 확인됐습니다. 보안 투자가 실질적으로 보안 리스크를 감소시킬 수 있다는 것을 수치상으로 증명한 사례라고 할 수 있습니다.

개인정보 유출로 인해 기업에 부과하는 벌금

정보 유출로 인해 기업이 직접적으로 지불해야 하는 비용 중 하나는 과징금이나 과태료와 같은 벌금입니다. 우리나라는 2016년 징벌적 손해 배상 제도 및 법정 손해 배상 제도 도입으로 인해 2016년 이후 발생한 유출 사고의 벌금이 대폭 상승했습니다.

GDPR(개인정보보호규정) 시행 이후, 개인정보 침해 사고에 대한 벌금 기준이 대폭 상승하면서 최근 유럽 및 미국에서 상당 규모의 벌금을 선고받는 사례가 늘고 있습니다. 영국 항공은 2018년 데이터 유출 사고로 2억 3,000만 달러의 벌금형을 선고받았으며, 에퀴팩스는 2017년 대규모 정보 유출 사고로 최소 5억 7,500만 달러를 지불하게 되었습니다. GDPR은 2,500만 달러 또는 한 해 수익의 4%를 벌금으로 규정하고 있으며, 구글도 GDPR 위반으로 5,700만 달러의 벌금형을 받기도 했습니다.

보안 사고로 인한 피해 예측과 사이버 보험

코로나19의 확산으로 재택근무가 늘어나면서 사이버 보안 위협도 덩달아 증가하고 있습니다. 상대적으로 사내보다 보안에 취약한 인터넷이나 공용 Wi-Fi, 자택 PC 등을 통해 악성코드나 해커의 공격에 노출될 확률이 몇 배로 증가할 수 있기 때문입니다.

사이버 보험이 이런 보안 위험을 감소시킬 방안 중 하나로 언급되고 있습니다만, 사이버 보험 활성화를 정책적으로 지원하는 미국이나, GDPR로 인해 사이버 보험 시장이 급부상하고 있는 유럽과 달리, 우리나라는 아직 시장이 거의 형성되어 있지 않은 상황입니다. 사이버 보험에 대한 수요가 미미한 것은 보안 사고 발생으로 인한 벌금 부과나 시장의 반응이 미국이나 유럽보다 상대적으로 미약한 편이기 때문으로 보입니다.

하지만 기업의 보안 책임에 대한 사회적 기대와 법적 규제 수준이 꾸준히 높아지는 추세는 확실합니다. 보안 사고로 인한 직간접적인 비용은 앞으로 계속 증가할 것이며 보안 리스크 관리가 비즈니스 연속성을 위한 필수적인 요소로 자리 잡고 있는 중입니다.

보안 사고, 특히 정보 유출 사고에 대한 시장의 반응은 점점 더 민감해지고 있으며, 규제 때문이 아니더라도 정보 유출 사고가 발생했다는 것 자체만으로 이미 심각한 금전적 손실이자 ‘벌금’이 될 수 있는 상황입니다. 앞으로 보안 사고로 인한 기업의 피해를 예측하고 이에 대한 대응 방안을 마련하는 것은 경영 리스크 관리 영역의 일부분으로서 그 중요성이 더욱 커질 것으로 예상됩니다.

글 l LG CNS 보안컨설팅팀

[참고 자료]

• 출처: http://www.jsebs.org (한국전자거래학회) 정보 유출이 기업가치에 미치는 효과분석: 원천 및 장기성과 Empirical Investigation on Information Breach Effect on the Market Value of the Firm: Focused on Source and Long Term Performance 권순만(Sun Man Kwon)*, 한창희(Chang Hee Han)**
• Kiri 리포트 2018.5.8 사이버 사고가 기업가치에 미치는 영향
• 페이스북, 작년 4분기 好실적에도 주가는 급락…왜 https://www.edaily.co.kr/news/read?newsId=02689606625642968&mediaCodeNo=257&gtrack=sok
• https://www.polinews.co.kr/mobile/article.html?no=451008
• [보안뉴스] 치솟는 데이터 침해 사고 벌금, 어떻게 봐야 하나? https://www.boannews.com/media/view.asp?idx=84409
• [보안뉴스] 개인정보 유출에 따른 국내 역대 벌금액 부과 사건 10 https://www.boannews.com/media/view.asp?idx=88340
• Forecasting the Impact of Information Security Breaches on Stock Market Returns and VaR Backtest, Ilaria Colivicchi, Riccardo Vignaroli [Journal of Mathematical Finance, 2019, 9, 402-454]
• 정보보안 사고가 기업가치에 미치는 영향 분석-한국 상장기업 중심으로 – 황해수, 이희상 (2015.6)
• 정보 유출이 기업가치에 미치는 효과분석:원천 및 장기성과 – 권순만, 한창희 (2016.5)
• 사이버 사고가 기업가치에 미치는 영향, 임준 [KIRI 리포트 2018]