The Effect of Information Security Breach and Security Investment Announcement on the Market Value of Korean Firms

정보보안 사고와 사고방지 관련 투자가 기업가치에 미치는 영향

  • Kwon, Young-Ok (Carlson School of Management, University of Minnesota) ;
  • Kim, Byung-Do (Graduate School of Business, Seoul National University)
  • 권영옥 (미네소타대학교 경영대학) ;
  • 김병도 (서울대학교 경영대학 경영학과)
  • Published : 2007.04.30

Abstract

With the fast development of the Internet and the increasing dependence on information infrastructures, companies are faced with various information security threats such as information leakages, modifications, and information breaches. South Korea is one of the leading countries in the Internet usage, but is ranked relatively low when it comes to information security. In fact, many Korean firms have suffered financial losses and damaged corporate images from the information security breaches. However, because of the difficulties in quantifying the costs of the information security breaches, Korean companies tend to delay their investment decisions on information security. The purpose of this study is to measure the cost of information security breach and the economic value of security investment using the event study methodology. Our results show that the announcement of an information security breach negatively influenced the market value of the corresponding company. The effect was statistically significant at the significance level of p=0.05. The breached companies lose, on average, 0.86% of their market values on the day of the announcement - an average loss in market capitalization of $55 million. On the other hand, the investment on information security had no effect on the stock price or the market value of the firm.

최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 우리나라의 인터넷 사용빈도는 세계 최상위 수준이지만 정보보안은 그에 미치지 못하는 실정이다. 우리나라의 많은 기업들이 정보보안 사고로 인해 금전적 손실, 기업 이미지 훼손, 매출액, 순이익 감소 등 직간접적 피해를 경험하고 있다. 그러나 정보보안 사고에 대한 피해 규모를 계량화한 자료가 없어 올바른 정보보안사고 방지를 위한 투자의사 결정을 하기 어렵고 투자의 효과를 평가하기도 어려운 실정이다. 본 연구의 목적은 정보보안 사고에 따른 기업의 손실과 보안 투자로 인한 수익을 기업 시장가치의 변화를 이용하여 정량적으로 측정하는 데 있다. 사건연구방법론을 통해 분석한 결과에 따르면, 기업의 정보보안 사고는 평균 0.86%의 기업 가치 감소(시가총액 기준으로 약 540억)를 가져온 것으로 나타났다. 반면 기업의 보안 관련투자는 기업가치에 아무런 영향을 주지 않는 것으로 나타났다. 추가적으로 본 연구와 해외 연구결과와 비교해 보면, 국내 기업의 정보보안 사고가 기업 가치에 미치는 영향력이 상대적으로 매우 작은 것을 알 수 있었다. 이는 사회 전반에 걸친 보안 의식 제고가 무엇보다 시급함을 시사하고 있다.

Keywords

References

  1. 김병도, 김지경, 우상진, 'CRM 투자와 기업가치', 경영학연구, 제33권, 제4호, 2004년 8월, pp. 1185-1199
  2. 디지털타임즈, '조세특례제한법 개정안', 2005년 1월 7일
  3. 서울경제신문, '은행 보안투자 쥐꼬리', 2003년 9월 2일
  4. 한국인터넷통계집 2004, 한국인터넷진흥원(NIDA), 2004년 11월 30일
  5. 2005년 한국기업 IT 지출 전망 보고서, 한국 IDC, 2005
  6. Beaver, W., 'The Information Content of Annual Earnings Announcement', Journal of Accounting Research, Supplement, 1968, pp. 67-92
  7. Bharadwaj, A. and Keil, M., 'The Effect of Information Technology Failures on the Market Value of Firms: An Empirical Examination', INFORMS 2001 Miami, November 2001
  8. Binder, J., 'The Event Study Methodology since 1969', Review of Quantitative Finance and Accounting, Vol.11, 1998, pp. 111-137 https://doi.org/10.1023/A:1008295500105
  9. Brown, S. and Warner, J., 'Using Daily Stock Returns: The Case of Event Studies', Journal of Financial Economics, Vol.14, 1985, pp. 3-31 https://doi.org/10.1016/0304-405X(85)90042-X
  10. Campbell, K., L. Gordon, M. Loeb and Zhou, L.,''The Economic Cost of Publicly Announced Information Security Breaches: Empirical Evidence from the Stock Market', Journal of Computer Security, Vol.11, 2003, pp. 431-448 https://doi.org/10.3233/JCS-2003-11308
  11. Cavusoglu, H., Mishra, B., and Raghunathan, S., 'The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developer', International Journal of Electronic Commerce, Vol.9, No.1, 2004a, pp. 69-104
  12. Cavusoglu, H., Mishra, B., and Raghunathan, S., 'A Model for Evaluating IT Security Investments', Communications of the ACM, Vol.47, No.7, 2004b, pp. 87-92
  13. CERT/CC Statistics 1988 2006, Total Incidents Reported, Carnegie Mellon Software Engineering Institute, www.cert.org/stats
  14. Dos Santos, B., K. Peffers and Mauer D, 'The impact of Information Technology Investment Announcements on the Market Value of the Firm', Information Systems Research, Vol.4, No.1, 1993, pp. 1-23 https://doi.org/10.1287/isre.4.1.1
  15. Ettredge, M. and Richardson, V., 'Assessing the Risk of in E commerce', in R. H. Sprague, Jr. (ed.), Proceedings of the Thirty fifth Hawaii International Conference on Systems Sciences, Los Alamitos, CA: IEEE Computer Society Press, 2002
  16. Fama, E., L. Fisher, M. Jensen and Roll, R., 'The Adjustment of Stock Prices to New Information', International Economic Review, Vol.10, 1969, pp. 1-21 https://doi.org/10.2307/2525569
  17. Im, K., K. Dow, and Grover, V., 'A Reexamination of IT Investment and the Market Value of the Firm: An Event study Methodology', Information Systems Research, Vol.12, No.1, 2001, pp. 103-117 https://doi.org/10.1287/isre.12.1.103.9718