The Journal of Society for e-Business Studies (한국전자거래학회지)

Society for e-Business Studies (한국전자거래학회)
권호 표지
DOI QR코드

DOI QR Code

A Quantitative Assessment Model of Private Information Breach

기업의 개인정보 유출로 인한 경제적 피해규모 산출방법

  • 한창희 (한양대학교 경영학부) ;
  • 채승완 (한국인터넷진흥원 아카데미팀) ;
  • 유병준 (서울대학교 경영전문대학원) ;
  • 안대환 (서울대학교 경영전문대학원) ;
  • 박채희 (한양대학교 경영컨설팅학과)
  • Received : 2011.10.17
  • Accepted : 2011.11.12
  • Published : 2011.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

Damage caused by private information breach causes serious problems and huge social losses. In order to make a better policy that prevents society from suffering from the damage, we have to know about the actual size of damage. So it is needed to develop a quantitative model of private information breach that helps catching the more accurate size of damage. In our study, we suggest a method which calculate not only the costs of damage from firms' perspective but also those from individual and social perspectives. In this process, we refer to methods adopted by JNSA(Japan Network Security Association) and Ponemon Research Institue and modify it with considering our current situation. Also we try to make a new model by using new methods(web traffic analysis, survey, indirect comparison, etc.) and verify it with theories and methods from econometrics, cost accounting and theory of producer.

정보화의 빠른 진전과 더불어 정보화의 역기능 역시 비례하여 확산되고 있으며 그 피해는 막대한 것으로 추정되고 있다. 하지만 현재까지 개인정보 유출의 피해규모에 대한 연구와 자료가 미흡한 실정이기 때문에 이로 인한 국가적 피해규모를 계량화하는 작업에 많은 현실적 어려움이 존재하고 있다. 만약 피해액의 규모를 제대로 산출하여 보안정책 수립에 참고한다면 경제적으로나 사회적으로 미치는 사고 영향의 심각성을 정확히 파악할 수 있으며, 결과적으로 유출사고 대응에 필요한 기업 그리고 정부의 노력과 비용의 크기~에 대한 의사결정을 할 수 있기 때문에 체계적인 경제적 피해규모를 파악하는 일은 매우 필요한 과제라고 판단된다. 이에 본 연구는 일본 네트워크 보안협회 등 해외 유수 연구들의 방법론과 새로운 접근법들을 참고하여, 개인정보 유출사고의 피해실태를 파악하기 위한 정보의 수집과 이의 정량적 분석의 개념적 틀을 제시하고자 한다. 또한 비교적 데이터가 부족한 국내의 환경에서도 정책적 지표로서 의미 있는 피해액을 측정함으로써 개인정보 유출 피해를 막기 위한 다양한 정책기획의 기반자료로 활용될 수 있기를 기대한다.

Keywords

References

  1. 강달천, 김동환, 오은천, "개인정보분쟁조정사례집", 한국인터넷진흥원․개인정보분쟁조정위원회, 2010.
  2. 국가보안기술연구소, "정보보호의 경제적 동향분석에 관한 연구", 국가보안기술연구소, 2006.
  3. 김본미, "개인정보피해구제 및 배상기준에 관한 연구", 한국정보보호진흥원․개인정보분쟁조정위원회, 2004.
  4. 민경식, 송혜인, "정보보호의 경제적 분석 연구 동향", 정보보호 이슈보고서 2008-8호, 2008.
  5. 유진호, 지상호, 송혜인, 정경호, 임종인, "인터넷 침해사고에 의한 피해손실 측정", 정보화정책, 제15권, 제1호, 2008.
  6. 정보통신부, "정보통신망 침해사고 조사결과", 2003.
  7. 정연수, 김동우, 이재종, "2005년 민간부문 개인정보보호 관리현황 및 보호방안에 관한 연구", 한국정보보호진흥원, 2005.
  8. 주덕규, 강달천, 정연수, "개인정보 침해와 대처방안", 정보통신윤리, 통권39호, 2002.
  9. 채승완, "개인정보보호의 경제적 효과", 소비자문제연구, 제33호, 2008.
  10. 한국인터넷진흥원, "개인정보 영향평가 방법론과 구축사례", 2009.
  11. 한국정보보호진흥원 전략기획팀, "개인정보의 경제적 가치 분석 고찰", 정보보호 Issue Report, 2007.
  12. 한국정보보호진흥원, "컴퓨터 해킹, 바이러스 피해액 산출방법 연구", 2002.
  13. 한국정보보호진흥원, "인터넷 침해사고 피해액 산출모형 개발에 관한 연구", 2006.
  14. 한국정보보호진흥원, "2007년 정보보호실태조사", 2007.
  15. 한국정보보호진흥원, "2008년 정보보호실태조사", 2008.
  16. 한국정보보호진흥원, "2009년 정보보호실태조사", 2009.
  17. 한국정보보호진흥원, "2003년도 개인 인터넷 이용자의 정보화 역기능 실태조사 보고서", 2003.
  18. Anita, D. and Amico, D., "What does a Computer Security Breach Really Cost?," Secure Decision, a division of Applied Visions, Inc., 2000.
  19. Butler, S. A., " Security Attribute Evaluation Method : A Cost-Benefit Approach," Proceedings of the 24th International Conference on Software Engineering, ACM, 2002.
  20. CIC Security Working Group, "Incident Cost Analysis and Modeling Project," 1998.
  21. CnetNews.com, "Counting the cost of Slammer," (www.news.com/2100-1001-982955.html), 2003.
  22. Congressional Research Service, "The Economic Impact of Cyber-Attacks," 2004.
  23. Farahmand, F., Navathe, S. B., Sharp, G. P., and Enslow, P. H., "Assessing Damages of Information Security Incidents and Selecting Control Measures, a Case Study Approach," Workshop on the Economics of Information Security, 2005.
  24. Gordon, L. A. and Loeb, M. P., "Managing Cybersecurity Resources : A Cost-Benifit Analysis," 2006.
  25. Howard, J. D., "An Analysis of Security Incidents On the Internet 1989-1995," 1997.
  26. Information Shield Inc., "Privacy Breach Impact caculator," (hhttp://www.informationshield.com/privacybreachcalc.html)
  27. JNSA, "情報セキュリティインシデントに関する 調査報告書," 2003.
  28. JNSA, "情報セキュリティインシデントに関する 調査報告書," 2010.
  29. Ponemon Institute, "Fifth Annual US Cost of Data Breach, January 2010," (http://www.ponemon.org/data-security), 2010.
  30. Smith, D. M., "The Cost of Lost Data," The George L. Graziadio School of Business and Management Report, Pepperdine University, 2003.
  31. Tech//404, "Data Loss Cost Calculator," http://www.tech-404.com/calculator.html).
  32. USENIX Association, "Incident Cost Analysis and Modeling Project II," 2000.

Cited by

  1. Enforcing high-level security policies for Internet of Things 2017, https://doi.org/10.1007/s11227-017-2201-9
  2. Determinants of Willingness To Pay for Personal Information Protection vol.24, pp.4, 2014, https://doi.org/10.13089/JKIISC.2014.24.4.695
  3. Analyzing Effects on Firms' Market Value of Personal Information Security Breaches vol.18, pp.1, 2013, https://doi.org/10.7838/jsebs.2013.18.1.001
  4. An Empirical Analysis on Long Tail Patterns with Online Daily Deals vol.19, pp.1, 2014, https://doi.org/10.7838/jsebs.2014.19.1.119
  5. Analyzing the Privacy Leakage Prevention Behavior of Internet Users Based on Risk Perception and Efficacy Beliefs : Using Risk Perception Attitude Framework vol.19, pp.3, 2014, https://doi.org/10.7838/jsebs.2014.19.3.065
  6. Improved Security Monitoring and Control Using Analysis of Cyber Attack in Small Businesses vol.19, pp.4, 2014, https://doi.org/10.7838/jsebs.2014.19.4.195
  7. Composition and Policy Direction of Compensation Insurance Against Customer Information Infringements in Financial Transactions vol.19, pp.3, 2014, https://doi.org/10.7838/jsebs.2014.19.3.001
  8. CVM을 이용한 국내 개인정보 침해사고의 위자료 산정 vol.22, pp.2, 2011, https://doi.org/10.13089/jkiisc.2012.22.2.367
  9. 개인정보의 법적·기술적 특성을 고려한 라이프 사이클(Life Cycle) 모델 vol.17, pp.3, 2011, https://doi.org/10.7838/jsebs.2012.17.3.043
  10. 개인정보 유출의 정보전이 효과 vol.27, pp.1, 2011, https://doi.org/10.5859/kais.2018.27.1.193
  11. 기업의 특성이 개인정보 유출 사고에 미치는 영향 vol.19, pp.4, 2011, https://doi.org/10.9716/kits.2020.19.4.013