The Journal of Society for e-Business Studies (한국전자거래학회지)

Society for e-Business Studies (한국전자거래학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis of Loss Expectancy on Personal Information leakage using Quantitative Invest Decision Model

투자결정 모델을 활용한 개인정보유출의 기대손실 분석

  • Received : 2015.04.29
  • Accepted : 2015.05.20
  • Published : 2015.05.31
Download PDF
⟨ Previous Next ⟩

Abstract

Providing trading partners with personal information to establish an e-commerce financial transaction is inevitable. Most e-commerce companies keep personal information and transaction data for user's convenience and develop additional services as their applications. However, keeping personal information increases the likelihood of identity theft causing direct or indirect damage while it may simplify repetitive financial transactions. This study introduces risk management methods based on quantitative and qualitative analysis including demand-supply curve model and Gordon & Loeb model to analyze the risks for security management. The empirical analysis with survey results from KISA (Korea Information Security Agency) shows that the root cause of different statistics of personal information leakage incidents according to core business of internet companies is the difference in their Loss Expectancy caused by them. Also we suggest disciplinary compensation and higher standard for personal information protection as a solution to prevent the variation of investment on it between individual companies.

전자상거래의 성립을 위해 온라인 정보시스템 상에서 거래 당사자의 정보를 제공하는 것은 필수적이다. 거래의 간편성을 위해 서비스 제공 기업이 이를 보관하고 개인정보와 거래 정보를 가공하여 추가 서비스를 제공하는 것이 전자상거래 분야에서 일반화 되고 있다. 그러나 해당정보의 임의적 보관은 거래의 간편화에 도움이 되는 반면 외부 유출로 인해 직접적 혹은 간접적 피해가 발생할 수 있는 가능성을 높인다. 본 연구는 시스템 운영 기업의 측면에서 정보유출 사고발생의 위험률과 이로 인해 발생할 수 있는 기대 손실을 분석하기 위해 정보보호 관리체계로 대표되는 정성적 정보보호 관리방식과 더불어 대표적인 정량적 분석 방법인 개인정보에 대한 수요공급 곡선과 Gordon and Loeb 모델을 소개한다. 또한 한국인터넷진흥원에서 실시한 개인정보보호 수준 실태조사 결과 중 개인정보 누출사고가 있었던 조사 대상 사업자의 분포가 핵심사업분야나 기업규모에 따라 큰 편차를 나타내는 원인을 제시하였다. 이를 통해 징벌적 손해배상으로 유출사고로 인한 기업의 금전적 손실이 일정 수준을 유지하는 것과 법률로 요구하는 개인정보보호 기준을 최상위등급으로 유지하는 것이 기업간 개인정보 취약점의 편차를 보완할 수 있는 방법으로 제시된다.

Keywords

References

  1. Ahn, J. H., Choi, K. C., Sung, K. M., and Lee, J. H., "A Study on the Impact of Security Risk on the Usage of Knowledge Management System: Focus on Parameter of Trust," The Journal of Society for e-Business Studies, Vol. 15, No. 4, pp. 143-163, 2011.
  2. Anderson, R. and Moore, T., "The economics of information security," Science, Vol. 314, No. 5799, pp. 610-613, 2006. https://doi.org/10.1126/science.1130992
  3. Andre, A., Fredrik, V., Giovanni, V., and Richard, A. K., Using hidden markov models to evaluate the risks of intrusions. In: Recent Advances in Intrusion Detection. Springer Berlin Heidelberg, pp. 145-164, 2006.
  4. Bojanc, R. and Jerman-Blazic, B., "Quantitative Model for Economic Analyses of information Security investment in an Enterprise information System," Organizacija, Vol. 45, No. 6, pp. 276-288, 2012.
  5. Bojanc, R., Jerman-Blazic, B., and Tekavcic, M., "Managing the Investment in Information Security Technology by use of Quantitative Modeling Approach," Information Processing & Management, Vol. 48, No. 6, pp. 1031-1052, 2012. https://doi.org/10.1016/j.ipm.2012.01.001
  6. Chai, S. W., "Economic Effects of Personal Information Protection," Journal of consumer policy studies, pp. 43-64, 2008.
  7. Chae, J. W. and Jeong, J. H., "Study on decision making for the industrial security management factor's priority," Journal of Security Engineering, Vol. 10, No. 2, pp. 123-140, 2013.
  8. Gordon, L. A. and Loeb, M. P., "The economics of information security investment," ACM Transactions on Information and System Security (TISSEC), Vol. 5, No. 4, pp. 438-457, 2002. https://doi.org/10.1145/581271.581274
  9. Gordon, A. L. and Richardson, R.(April 13, 2004), "The New Economics of Information Security," Information Week, 53-56. Retrieved February 11th, 2007.
  10. Han, C. H., Chai, S. W., Yoo, B. J., Ahn, D. H., and Park, C. H., "A Quantitative Assessment Model of Private Information Breach," The Journal of Society for e-Business Studies, Vol. 16, No. 4, pp. 17-31, 2011. https://doi.org/10.7838/jsebs.2011.16.4.017
  11. Kim, S. H. and Park, S. Y., "Influencing Factors for Compliance Intention of Information Security Policy," The Journal of Society for e-Business Studies, Vol. 16, No. 4, pp. 33-51, 2011. https://doi.org/10.7838/jsebs.2011.16.4.033
  12. Korea Internet & Security Agency, A handbook on ISMS certification system, Jun 2013.
  13. Korea Internet & Security Agency, 2013 Research on the actual condition of the information security, Dec. 2013.
  14. Lee, C. C., KIM, J., and Lee, C. H., "A comparative study on the priorities between perceived importance and investment of the areas for Information Security Management System," Journal of The Korea Institute of Information Security and Cryptology, Vol. 24, No. 5, pp. 919-929, 2014. https://doi.org/10.13089/JKIISC.2014.24.5.919
  15. Mclean, G. and Brown, J., Determining the ROI in IT Security, CA Magazine, 2003.
  16. Purser, S. A., "Improving the ROI of the security management process," Computers and Security, Vol. 23, No. 7, pp. 542-546, 2004. https://doi.org/10.1016/j.cose.2004.09.004
  17. Sklavos, N., Souras, P., "Economic Models & Approaches in Information Security for Computer Networks," IJ Network Security, Vol. 2, No. 1, pp. 14-20, 2006.

Cited by

  1. 국내산업 특수분류방법을 고려한 보안산업 분류방향 연구 vol.22, pp.4, 2015, https://doi.org/10.7838/jsebs.2017.22.4.175