Abstract
With the fast development of the Internet and the increasing dependence on information infrastructures, companies are faced with various information security threats such as information leakages, modifications, and information breaches. South Korea is one of the leading countries in the Internet usage, but is ranked relatively low when it comes to information security. In fact, many Korean firms have suffered financial losses and damaged corporate images from the information security breaches. However, because of the difficulties in quantifying the costs of the information security breaches, Korean companies tend to delay their investment decisions on information security. The purpose of this study is to measure the cost of information security breach and the economic value of security investment using the event study methodology. Our results show that the announcement of an information security breach negatively influenced the market value of the corresponding company. The effect was statistically significant at the significance level of p=0.05. The breached companies lose, on average, 0.86% of their market values on the day of the announcement - an average loss in market capitalization of $55 million. On the other hand, the investment on information security had no effect on the stock price or the market value of the firm.
최근 인터넷의 급속한 발전과 기업의 정보 인프라 의존도가 높아지면서 정보 유출과 탈취, 변조 등 침해사고의 위험성이 급속히 확산되고 있다. 우리나라의 인터넷 사용빈도는 세계 최상위 수준이지만 정보보안은 그에 미치지 못하는 실정이다. 우리나라의 많은 기업들이 정보보안 사고로 인해 금전적 손실, 기업 이미지 훼손, 매출액, 순이익 감소 등 직간접적 피해를 경험하고 있다. 그러나 정보보안 사고에 대한 피해 규모를 계량화한 자료가 없어 올바른 정보보안사고 방지를 위한 투자의사 결정을 하기 어렵고 투자의 효과를 평가하기도 어려운 실정이다. 본 연구의 목적은 정보보안 사고에 따른 기업의 손실과 보안 투자로 인한 수익을 기업 시장가치의 변화를 이용하여 정량적으로 측정하는 데 있다. 사건연구방법론을 통해 분석한 결과에 따르면, 기업의 정보보안 사고는 평균 0.86%의 기업 가치 감소(시가총액 기준으로 약 540억)를 가져온 것으로 나타났다. 반면 기업의 보안 관련투자는 기업가치에 아무런 영향을 주지 않는 것으로 나타났다. 추가적으로 본 연구와 해외 연구결과와 비교해 보면, 국내 기업의 정보보안 사고가 기업 가치에 미치는 영향력이 상대적으로 매우 작은 것을 알 수 있었다. 이는 사회 전반에 걸친 보안 의식 제고가 무엇보다 시급함을 시사하고 있다.