A Case Study on the Cost-Effectiveness Analysis for the Feasibility Study of Public Project Related to Personal Information Protection

개인정보보호 관련 공공사업의 타당성 조사를 위한 비용효과분석 사례 연구

  • 조일형 (상명대학교 스마트생산 융합전공) ;
  • 김진 (상명대학교 빅데이터 융합전공) ;
  • 유진호 (상명대학교 경영학부)
  • Received : 2019.04.12
  • Accepted : 2019.05.25
  • Published : 2019.09.30


In the era of the 4th Industrial Revolution, the importance of information protection is increasing day by day with the advent of the 'hyper-connection society', and related government financial investment is also increasing. The source of the government's fiscal investment projects is taxpayers' money. Therefore, the government needs to evaluate the effectiveness and feasibility of the project by comparing the public benefits created by the financial investment projects with the costs required for it. At present, preliminary feasibility study system which evaluates the feasibility of government financial investment projects in Korea has been implemented since 1994, but most of them have been actively carried out only in some fields such as large SOC projects. In this study, we discuss the feasibility evaluation of public projects for the purpose of information security. we introduce the case study of the personal information protection program of Korean public institutions and propose a cost-effectiveness analysis method that can be applied to the feasibility study of the information protection field. Finally, we presented the feasibility study and criteria applicable in the field of information security.


  1. 공희경, 김태성 2007. "정보보호 투자 효과에 대한 연구 동향," 정보보호학회지 (17:4), pp. 26-33.
  2. 공희경, 김태성 2010. "정보보호 사전진단제도의 경제적 효과에 대한 사례 분석," 정보보호학회논문지 (20:6), pp. 157-169.
  3. 과학기술정보통신부 2018. 2018년 국가연구개발사업 예비타당성조사 매뉴얼, 과학기술정보통신부.
  4. 김여라, 이해춘, 유진호 2007. "가상가치접근법(CVM)을 활용한 개인정보보호의 가치 산출 방법론 고찰," 정보보호 이슈리포트, 한국정보보호진흥원, pp. 1-22.
  5. 김태윤, 조예진 2018. "예비타당성조사제도의 타당성에 대한 연구: 예비타당성조사의 지침을 둘러 싼 쟁점," 행정논총 (56:2), pp. 279-311.
  6. 유승동, 유진호 2014. "개인정보 보호를 위한 지불의사비용 결정요인," 정보보호학회논문지 (24:4), pp. 695-703.
  7. 유진호, 지상호, 송혜인, 정경호, 임종인 2008. "인터넷 침해사고에 의한 피해손실 측정," 정보화정책저널 (15:1), pp. 3-18.
  8. 유진호, 지상호, 임종인 2009. "개인정보 유.노출사고로 인한 기업의 손실비용 추정," 정보보호학회논문지 (19:4), pp. 63-75.
  9. 이해춘, 안경애 2008. "CVM을 이용한 개인정보유출의 손실가치 분석," 생산성논집 (22:2), pp. 1-24.
  10. 임규건, 류미나, 이정미 2018. "개인정보유출 피해 비용 산출 모델에 관한 연구," 정보보호학회논문지 (28:1), pp. 215-227.
  11. 전효정, 김태성 2012. "정보보안 공시제도 도입을 위한 타당성 분석과 운영체계 제언," 정보보호학회논문지 (22:6), pp. 1393-1405.
  12. 정희정, 구철모, 정남호 2019. "스마트관광의 지속성을 위한 스마트관광 체험의 지불가치 추정: CVM을 이용하여," 지식경영연구 (20:1), pp. 215-230.
  13. 한국개발연구원 2008. 예비타당성조사 수행을 위한 일반지침 수정.보완 연구 (제5판), 한국개발연구원.
  14. 한국개발연구원 2013. 정보화부문 사업의 예비타당성조사 표준지침 연구, 한국개발연구원.
  15. 한국개발연구원 공공투자관리센터 2016. 예비타당성조사 제도의 이해, 한국개발연구원.
  16. 한국과학기술기획평가원 2019. 국가연구개발사업 예비타당성조사 수행 세부지침, 한국과학기술기획평가원.
  17. 행정안정부 재정정책과 2017. 지방재정투자사업 심사 및 타당성 조사 매뉴얼, 행정안전부.
  18. Anderson, Ross. 2001. Why Information Security is Hard-An Economic Perspective, ACSAC
  19. Blakley, B. 2001. "Returns on Security Investment: An Imprecise but Necessary Calculation," Secure Business Quarterly (1:2).
  20. Blatchford, C. 1995 "Information Security Controls Are They Cost-effective," Computer Audit Journal (3), pp. 11-19.
  21. Bodin, L.D., Gordon, L.A. and Loeb, M.P. 2005. "Evaluating Information Security Investments Using the Analytic Hierarchy Process," Communications of the ACM (48), pp. 79-83.
  22. Boulton, R., Libert, B., and Samek, S.M. 2000. Cracking the Value Code: How Successful Businesses Are Creating Wealth in the New Economy, New York: Harper Business.
  23. Gorden, L.A. and Loeb, M.P. 2006. Managing Cybersecurity Resources: A Cost Benefit Analysis.
  24. Lowi, T.J. 1972. "Four Systems of Policy, Politics, and Choice," Public Administration Review (32:4), pp. 298-310.
  25. McLaughlin, J.A. and Jordan, G.B. 1999. "Logic Models: A Tool for Telling Your Program's Performance Story," Evaluation and Planning (22), pp. 65-72.
  26. Peterson, R.D. 1986. "The Anatomy of Costeffectiveness Analysis," Evaluation Review (10:1), pp. 29-44.
  27. Quade, E.S. 1966. "Cost-Effectiveness: An Introduction and Overview," Transportation Journal, pp. 5-13.
  28. Soo Hoo, K.J. 2000. How much is enough? A Risk Management Approach to Computer Security, Center for International Security and Cooperation (CISAC), Stanford University.