정보보호 투자 대비 효과 측정을 위한 사이버 피해액 계산 방법 개선

The Improvement on Cyber Damage Calculation for Return on Security Investment

2000년대 초반부터 많은 정보보호 관련자들은 정보보호 투자 대비 효과를 측정하고자 노력하였다. 그러한 노력으로 ROSI(Return On Security Investment)를 산출하는 여러 가지 방법 및 ROSI의 Return인 사이버 피해액을 계산하는 Gordon & Loeb 방법 등이 고안되었다. 하지만, 효과를 직접적으로 산출하기 힘든 정보보호의 구조적 특성, 관련 정보의 부족 및 사이버 피해액 산정 시 정성적인 요소가 포함되어 정확한 산출이 어렵다는 문제점이 존재한다. 본 연구는 현재까지의 연구 결과를 살펴보고 기존 방법들 중 가장 효율적이라고 생각되는 Gordon & Loeb 방법과 신진 방법 2가지에 대해 분석하고 개선된 방법을 설계하고자 한다.

Since the early 2000s, many information security professionals have sought to measure the effectiveness of information security investments. Such efforts have devised a number of ways to calculate the return in ROSI (Return On Security Investment) including the Gordon & Loeb method for calculating cyber damage. However, due to the characteristics of information security structure, the lack of relate information sharing, and many qualitative factors are included, the damage calculation is inaccurate.. This study reviews related studies, analyzes the Gordon & Loeb method and the Shin-Jin method, which are considered to be the most efficient of the existing methods, and designs improved methods.