I. 서론
우리나라는 2013년 ITU가 발표한 ICT 발전지수(ICT Development Insider)에서 4년 연속 1위를 차지할 정도로 세계 최고 수준의 인터넷과 IT 인프라를 구축하고 있다. 국가정보화백서(2014)[1]에 따르면 2013년 7월 현재 만 3세 이상 인구의 82.1%가 인터넷을 이용하며, 4,008만 명에 이른다고 한다. 그러나 이러한 IT 선도국가의 모습 이면에는 끊임없는 보안위협으로 인한 다양한 사이버 공격 및 피해가 발생하고 있다.
특히 온라인상에 생성된 이용자들의 개인정보 유출 피해가 심각하다. 지난 7월 약학정보원에서 국민 4400만 명의 약 47억 건의 의료정보가 유출되어 상업적으로 이용된 것이 알려져 큰 충격을 주었다. 대다수 국민의 진료 정보가 유출된 것이다. 또한 2014년 1월에는 주요 카드 3사의 1억 건이 넘는 개인정보 유출 사건도 발생하였다. 그 외, 크고 작은 개인정보 유출 사건이 앞서 언급한 의료, 금융을 비롯하여 공공, 통신, 유통 등 전 분야에 걸쳐 매년 끊임없이 발생하고 있다.
이렇게 유출된 개인정보는 당사자인 개인으로 하여금 피싱, 스미싱, 파밍 등의 표적이 되도록 하여 추가 피해를 주게 된다. 또한 개인정보가 유출된 기업은 매출 감소, 주가하락, 기업에 대한 부정적 이미지 형성은 물론 CEO에게까지 법적 책임을 물을 수 있게 되어 역시 추가적인 부정적 영향을 받게 된다.
이를 방지하기 위해 정부에서는 ISMS, PIMS 등과 같은 인증 제도를 두어 최소한의 보안 장치를 마련하도록 하고 있으며, 기업에서는 이를 위해 기업내 관리적인 제도 마련과 함께 기술적, 물리적인 다양한 보안 솔루션을 도입하여 사용하고 있다.
따라서 개인정보 유출 사고 발생 시 발생 기업은 물론 기업에 보안 솔루션을 제공하는 정보보호 업체에도 영향을 미칠 것으로 생각된다. 이에 본 논문에서는 개인정보 유출 사고 발생 시 기업에 보안 솔루션을 제공한 정보보호 업체의 주가 변화를 통해 보안 이벤트가 정보보호 업체의 가치에 어떠한 영향을 주는지 분석하고자 한다.
II. 기존 연구 분석 및 가설 설정
기존의 연구는 대체로 개인정보 유출 사고 대상 기업에 대한 주가 변화를 통해 개인정보 유출 사고가 사고 기업에 미치는 영향에 대한 연구를 하였다. 그러나 본 논문에서는 개인정보 유출 사고가 정보보호업체의 주가에 미치는 영향에 대해 실증 분석 하여 보안사고가 보안업체에 미치는 영향을 연구하고자 한다.
김정연(2013)[2]은 2010년 이후 발생한 개인정보 유출 사례가 기존의 주가 변동과 다른 패턴을 보이는지를 재무학의 사건연구 방식을 이용하여 개인정보 유출 시 주가 변화폭과 기존 주가 변동과의 차이를 검증하는 방식으로 분석하였다. 그 결과 개인정보 유출 사례에서는 음의 영향을 미치는 것으로 나타났다. 남상훈(2006)[3]은 NBA(Negative Base Approach)와 PBA(Positive Base Approach) 방식으로 간접 손실비용 중 보안 Event가 기업 주가에 미치는 영향을 분석하였고, 그 결과 보안사고 발생 후 주가는 이벤트 이전보다 이벤트 이후 3.83%의 하락을 가져온다는 결론을 도출하였다. 김태환(2014)[4]역시 개인정보 유출사고 발생 직후 발생 기업의 주가는 평균 2일 동안 1.0% 하락하였고, 이벤트 발생 전 주가로 회복하는데 약 5일정도 소요되었다고 하였다. 또한 Telang.R, Wattal.S(2005)[5]는 소프트웨어의 취약점 노출이 해당 소프트웨어 업체의 주가에 어떠한 영향을 미치는지를 조사하였다. 그 결과 소프트웨어 취약점이 노출되었을 때 해당 기업은 평균적으로 0.6%의 손실을 보았다.
개인정보 유출 사고는 정보보호에 대한 수요를 증가시켜 반사 이익을 얻어 주가도 상승할 것이라 예상 되고, 또 한편으로는 정보보호 업체의 주가에도 부정적인 영향을 미쳐 주가가 하락할 가능성도 존재한다. 본 논문에서는 이를 검증하고자 다음과 같은 가설을 설정하여 확인하고자 하였다.
H1. 개인정보 유출 사고 발생 시 정보보호업체의 주가는 상승할 것이다.
개인정보 유출은 규모에 상관없이 유출 사실만으로 이용자들에게 불안감을 느끼게 한다. 개인정보 유출사건이 빈번하게 발생(58%)하고 실제 개인정보가 유출(62%)되어 개인정보 유출에 대한 불안감을 느낀다(93%)는 조사 결과[6]는 이를 뒷받침한다. 그러나 개인정보보호법에는 1만 이상의 개인정보가 유출된 경우 신고를 하도록 하고 있으며(시행령 제39조), 2016년 1월부터 주민번호 보관 시 암호화를 의무화 하며, 암호화 적용 시기를 100만명을 기준으로 유예하는 입법예고를 하였다. 이에 개인정보 유출 규모에 따라 주가에는 어떤 영향이 있는지를 다음과 같은 가설을 설정하여 확인하고자 한다.
H2. 개인정보 유출 규모가 클수록 정보보호업체의 주가는 상승할 것이다.
개인정보 유출은 공공, 금융, 의료 등 중요 분야는 물론 유통, 언론, 정보통신 등 전 영역에 걸쳐 발생하고 있다. KISA에서 발표한 자료를 보면 국내 2011-2014년 공개된 유출사고 52건을 대상으로 조사한 결과 공공이 15%로 가장 많았으며, 금융·보험과 교육, 제조가 각각 13%를 차지하였고 정보통신이 12%를 차지하는 등 전 영역에서 개인정보 유출사고가 발생함을 볼 수 있다[7]. Gemalto 보고서에 따르면 2015년 전 세계 산업별 유출사고 건수는 의료가 34%, 공공이 31%를 차지하고 있었다[8]. Ettredgeand Richardson(2000)[9]과 Cavusoglu et al.(2004)[10]는 전자상거래 기업이 더 큰 손실이 있다고 하였으나, 권영옥과 김병도(2007)[11]는 기업의 유형이 유의한 영향을 주지 않는다고 하였다.
이에 개인정보 유출기업의 업종별로 정보보호 업체의 주가에 어떠한 영향이 있는지를 확인하기 위해 다음과 같은 가설을 설정하였다.
H3. 개인정보 유출 기관의 업종에 따라 정보보호업체의 주가 변동에 차이가 있을 것이다.
H3-1. 개인정보 유출 기관이 공공인 경우 정보보호업체의 주가는 상승할 것이다.
H3-2. 개인정보 유출 기관이 금융인 경우 정보보호업체의 주가는 상승할 것이다.
H3-3. 개인정보 유출 기관이 의료인 경우 정보보호업체의 주가는 상승할 것이다.
개인정보 보호를 위해 정보통신망 이용촉진 및 정보보호 등에 관한 법률에는 개인정보의 기술적·관리적 보호조치 기준이 있으며, 개인정보보호법에는 개인정보의 안전성 확보조치 기준과 개인정보보호를 위한 정보시스템 운영지침 등이 마련되어 있다. 정보보호 기업 역시 기술적 보안 솔루션을 제공하는 업체와 관리적 보안 솔루션을 제공하는 업체로 구분할 수 있을 것이다. 이에 따라 보안 업체의 업태(영업이나 사업의 실태) 구분 별로 개인정보 유출 시 주가 변동에 어떤 차이가 있는지를 분석하고자 한다. 상장되어 있는 정보보호 기업은 IT서비스와 소프트웨어, 전자장비와 기기, 통신장비 등으로 등록되어 있었고, IT서 비스, 소프트웨어, 장비의 세 개 업태로 구분하여 다음과 같은 가설을 설정하였다.
H4. 개인정보 유출 사고 발생 시 정보보호업체의 업태 구분에 따라 주가 변동에 차이가 있을 것이다.
H4-1. 개인정보 유출 사고 발생 시 IT서비스 업체의 주가는 상승할 것이다.
H4-2. 개인정보 유출 사고 발생 시 소프트웨어업체의 주가는 상승할 것이다.
H4-3. 개인정보 유출 사고 발생 시 장비 업체의 주가는 상승할 것이다.
가설 설정에 따른 연구 모델은 다음 [Fig. 1]과 같다.
Fig. 1. Research Model
III. 연구 방법
정보보호 기업은 KISIA의 191개 회원사(2015.7.8.기준) 중 정보보호와 직접적 관련이 없는 기업을 제외한 정보보호 관련 상장 기업 25개를 대상으로 하였다. 또한 이 중 2014년도 11월 상장되어 분석이 의미 없는 업체를 제외하고 24개의 코스닥 및 코스피에 상장되어 있는 기업을 대상으로 하였다.
Table 1. Listed Information Security Companies
개인정보 유출 사고는 2011년부터 2014년까지 4개년도의 보도매체를 통해 조사하였다. 그 중 개인정보 유출 규모가 나타나있지 않은 사고를 제외하고 첫 보도 날짜를 기준으로 하였다.
Table 2. 2011-2014 Personal Information Breaches
주가는 개인정보 유출 사고의 보도일 기준 전/후 일주일간의 종가를 기준으로 분석하였다. 보도일이 거래되지 않는 날인 경우 그 다음 거래일을 기준으로 하였다. 그리고 개인정보 유출 사고에 대한 주가 변동률은 Event-study 방법론(특정 사건의 공시일을 중심으로 일정기간 동안의 초과 수익률을 추정하고 통계적 유의성을 검정하는 절차[12])을 적용하고, 상장주식에 대한 가치 손실 계산 방법을 차용하여 산정하였다. 그 방법은 다음과 같다.
개인정보 유출 사고 보도일인 사건 공시일을 기준으로 전후 3영업일을 이벤트 윈도우로 정의하였고, 추정 및 사후 윈도우를 각각 이벤트 윈도우 전/후 1주일(5영업일)로 정의하였다.
Ri,t : i 기업의 t일의 주가 변동률
이벤트 윈도우(E) 주가변동 = \(\frac{1}{3}\left(\sum_{t=-1}^{t=1} R_{i, t}\right)\)
추정 윈도우(S) 주가변동 = \(\frac{1}{5}\left(\sum_{t=-6}^{t=-2} R_{i, t}\right)\)
사후 윈도우(P) 주가변동 = \(\frac{1}{5}\left(\sum_{t=2}^{t=6} R_{i, t}\right)\)
그리고 개인정보 유출 사고에 따른 주가 변동률은 이벤트 윈도우의 주가 변동과 추정 및 사후 윈도우의 주가 변동의 차이로 정의하였다. 즉,
개인정보 유출 사고에 대한 i 기업의 주가 변동률
= {(이벤트 윈도우 주가변동률) – (추정 및 사후 윈도우의 평균 주가 변동률)}
Fig. 2. Definition of Window
IV. 결과 분석
가설 검증에 앞서 정보보호 기업 24개의 개인정보 유출 사고에 대한 주가 변동률을 확인한 후 특이값을 제거하여 사고 외적인 요소를 배제하기 위한 작업을 하였다. 그 결과 주가변동률이 타 기업보다 크며, 그 원인이 사고 외적인 요소(합병으로 기업의 성격 변화, 감자 및 유증, 정치적 이슈 등)였던 I, O, X 세개 기업을 제외하였다. 이들 기업은 외적인 요소로 인하여 타 기업보다 변동률이 최대 ±20배 차이가 났다. 이에 따라 24개 기업 중 세 개의 기업을 제외하고 21개 기업으로 분석하였다.
그리고 이러한 21개 기업의 분석을 위해 IT서비스, 소프트웨어, 장비의 세 개 업태로 구분하였다.
Table 3. Classification of Information Security Companies
통계 검증을 위해 개인정보 유출 사고 발생 보도에 따른 유출 규모를 ‘100만 미만, 100만 이상 1000만 미만, 1000만 이상’의 3개 그룹으로 분류하고, 유출 기업의 업종을 ‘공공, 의료, 금융, 일반’의 4개 그룹으로 분류하여 평균 주가 변동률을 다음과 같이 정리하였다.
Table 4. Average of %Change According to Personal Information Breach Reports
** 1.Less than 1 million
2. More than 1 milion ~ Less than 10million
3. More than 10 million
** 1.Public 2.Medical 3.Finance 4.General
4.1 검증 및 분석
H1 가설 검증
개인정보 유출 사고가 정보보호 업체의 주가에 영향을 주는지를 검증하였다.
개인정보 유출 사고 시 각 정보보호 기업의 평균 주가 변동률은 [Table 5]와 같으며 전체 평균 주가 변동률은 0.13%로 개인정보 유출 사고는 정보보호 업체의 가치를 상승시키는 것으로 나타났다. 이는 개인정보 유출 사고를 겪은 기업의 주가 변동과는 반대의 결과를 보이는 것이며, 개인정보 유출 사고로 인해 해당 사고 기업은 가치가 하락하며, 보안 솔루션을 제공하는 정보보호 업체의 가치는 상승한 것으로 풀이할 수 있다. 따라서
H1. 개인정보 유출 사고 발생 시 정보보호업체의 주가는 상승할 것이다.
는 채택되었다.
Table 5. Average of %Change for Information Security Companies
H2 가설 검증
개인정보 유출 시 유출 규모가 정보보호 업체의 주가에 어떠한 영향을 미치는지를 검증하였다. 유출 규모에 따른 정보보호 업체의 주가 평균, 표준편차는 다음과 같다.
100만 미만의 개인정보 유출 시 정보보호 업체는 평균 0.27% 상승하였으며, 100만 이상 1000만 미만의 경우 0.34% 하락하였고, 1000만 이상의 경우 0.37%상승하는 양상을 보였다.
유출 규모에 따라 주가 변동에 차이가 있는지를 알아보기 위해 ANOVA를 실시하였고 F값이 1.316, 유의확률은 0.279로 유의수준 0.05에서 유의미한 차이는 보이지 않았다.
Table 6. Statistics for Incident Volume
Table 7. Result of ANOVA (by Incident Volume)
따라서
H2. 개인정보 유출 규모가 클수록 정보보호업체의 주가는 상승할 것이다.
는 기각되었다.
H3, H3-1, H3-2, H3-3 가설 검증
개인정보 유출 시 개인정보 유출 기업의 업종이 정보보호 업체의 주가에 어떠한 영향을 미치는지를 검증하였다.
네 업종에 의한 정보보호 업체의 주가 평균, 표준편차는 다음과 같다.
Table 8. Statistics for Type of Business
공공기관의 개인정보 유출 시 정보보호 업체는 평균 0.5% 주가의 하락이 있었으며, 의료기관의 개인정보 유출 시 정보보호 업체는 0.63%의 주가 상승이 있었다. 또한 금융기관과 일반기업 역시 각각 0.17%, 0.16%의 주가 상승이 있었다.
업종에 따라 주가변화에 차이가 있는지를 알아보기 위해 ANOVA 를 실시한 결과 네 업종의 평균차이에 대한 F값이 0.656, 유의확률은 0.584로 유의 수준 0.05에서 유의한 차이는 보이지 않았다.
Table 9. Result of ANOVA (by type of business)
따라서
H3. 개인정보 유출 기관의 업종에 따라 정보보호업체의 주가 변동에 차이가 있을 것이다.
H3-1. 개인정보 유출 기관이 공공인 경우 정보보호업체의 주가는 상승할 것이다.
는 기각되었고,
H3-2. 개인정보 유출 기관이 금융인 경우 정보보호업체의 주가는 상승할 것이다.
H3-3. 개인정보 유출 기관이 의료인 경우 정보보호업체의 주가는 상승할 것이다.
는 채택되었다.
H4, H4-1, H4-2, H4-3 가설 검증
개인정보 유출 사고 발생 시 정보보호 업체의 업태에 따라 주가에 어떠한 차이가 있는지를 확인하였다. 세 업태에 의한 정보보호 업체의 주가 평균, 표준편차는 다음과 같다.
정보보호 업체가 IT서비스 업태에 종사하는 경우 개인정보 유출 사고 발생 시 평균 0.49% 의 주가가 상승하였고, 소프트웨어 업태에 종사하는 경우 평균 0.16%의 주가가 상승하였으며, 장비 업태에 종사하는 경우 평균 0.19% 하락하는 결과를 확인하였다.
정보보호 업체의 업태에 따라 주가변화에 차이가 있는지를 ANOVA로 확인하였으며, F값은 5.295, 유의확률은 0.016으로 유의수준 0.05에서 유의한 차이를 보였다.
Table 10. Statistics for Business Classification of Information Security Companies
Table 11. Result of ANOVA (by Business Conditions of Information Security Companies)
따라서
H4. 개인정보 유출 사고 발생 시 정보보호업체의 업태 구분에 따라 주가 변동에 차이가 있을 것이다.
H4-1. 개인정보 유출 사고 발생 시 IT서비스 업체의 주가는 상승할 것이다.
H4-2. 개인정보 유출 사고 발생 시 소프트웨어업체의 주가는 상승할 것이다.
는 채택되었으며,
H4-3. 개인정보 유출 사고 발생 시 장비 업체의 주가는 상승할 것이다.
는 기각되었다.
Fig. 3. Result of Hypothesis Testing
V. 결론
본 논문에서는 개인정보 유출 사고 발생 시 사고 발생 기업이 아닌 기업에 보안 솔루션을 제공하는 정보보호 업체에 초점을 맞추어 개인정보 유출 사고가 정보보호 업체의 가치에 어떠한 영향을 주는지를 주가 변동률을 통해 분석하였다.
그 결과 개인정보 유출 사고 발생 시 정보보호 업체의 주가는 평균 0.13% 상승하였다. 이는 개인정보 유출 사고 발생 시 사고 발생 기업이 주가가 하락한다는 기존의 결과와는 반대의 양상이며, 사고로 인해 정보보호에 대한 인식이 향상되어 수요가 증가한 결과로 풀이할 수 있다.
또한 유출 규모와 유출 기업의 업종에 따라서는 유의미한 차이를 보이지 않았다. 그러나 유출 규모가 100만 이상 1000만 미만인 경우와 공공에서 사고 발생 시 정보보호 업체의 주가가 하락하는 결과가 나타났다. 이는 너무 적지도 너무 많지도 않은 유출 건수와 공공의 유출 사고가 사회 전반적으로 부정적인 영향을 주는 것으로 해석할 수 있다.
그리고 정보보호 업체의 업태에 따라서는 유의미한 차이를 보였다. 정보보호 업체를 IT서비스, 소프트웨어, 장비의 세 개 업태으로 구분하여 분석한 결과 IT서비스, 소프트웨어 업체에서는 개인정보 유출 사고 발생 시 각각 평균 0.49%, 0.16%의 주가 상승률을 보였으나 장비 업체는 평균 0.19%의 주가가 하락하였다. 이는 개인정보 유출 사고가 장비에 해당 하는 물리적 조치에서 문제를 찾기보다는 IT서비스, 소프트웨어와 같은 기술적 조치에서 문제를 찾을 수 있기 때문으로 분석할 수 있다.
본 연구는 개인정보 유출 사고로 인한 시장 가치 변화를 기존의 유출 대상 기업이 아닌 정보보호 업체를 대상으로 하는 새로운 시각으로 분석을 시도했다는 의미를 갖는다. 개인정보 유출에 따른 정보보호업체에 대한 주가가 상승했다는 것은 정보보호업체의 가치가 상승했다는 것과 같은 의미로 볼 수 있다. 개인정보 유출 사고가 정보보호에 대한 인식 향상과 함께 수요를 증가시켜 반사 이익으로 주가도 상승한 것으로 풀이된다.
또한 얼마 전 국가적으로 정보보호 산업을 발전시키고 안전한 IT 이용을 위하여 정보보호 산업 진흥법을 제정하였다. 이러한 맥락으로 개인정보 유출 사고와 같은 보안 사고로 인한 정보보호 업체의 주가 변동에 대한 연구는 시장에서 정보보호 업체의 가치를 확인했다는 의미를 가질 것이다.
그러나 상장되어 있는 정보보호 업체의 수가 적어 연구의 표본이 충분하지 않았다는 점과 주식 시장의 특성상 개인정보 유출 사고 외의 변수가 존재함에도 불구하고 충분히 고려하지 않았다는 점이 본 연구의 한계로 볼 수 있다. 향후 이러한 한계점을 고려하여 개인정보 유출 사고와 주가변동과의 실증적인 연관성 연구를 추가할 예정이다.
* 본 논문은 미래창조과학부의 방송통신정책연구 재원으로 수행 된 연구임(13-진흥-098).
References
- NIA, National Informatization White Paper, Oct. 2014.
- JeongYeon Kim, "Analyzing Effects on Firms' Market Value of Personal Information Security Breaches," The Journal of Society for e-Business Studies, 18(1), pp. 1-12, Feb. 2013. https://doi.org/10.7838/jsebs.2013.18.1.001
- SangHoon Nam, "(An)Empirical Study on the Impact of Security events to the Stock Price in the Analysis method of Enterprise Security Investment Effect," Doctor's Thesis, Korea Univ., Feb. 2006.
- TaeHwan Kim, "The Change of Firms' Stock Price Patterns caused by Personal Information Security Breaches," Master's Thesis, Snagmyung Univ., Feb. 2015.
- Telang. Rahul and Wattal. Sunil, "Impact of software vulnerability announcements on the market value of software vendors - an empirical investigation," Workshop on the Economics of Information Security(WEIS), 2005.
- Kyumoon Jung, "93% of adult men and women, anxious leaked personal information," boannews, 2. 28. 2014. (available: http://www.boannews.com/media/view.asp?idx=39990)
- Hosung Kim, "2016 PERSONAL INFORMATION PROTECTION ACT technical and administrative protection measures," PASCON, Oct. 2015.
- Gemalto, "Findings of 2014/2015 Breach Level Index," Feb. 2015.
- Ettredge, Michael, Richardson, Vermon J. and Scholz, Susan, "The Presentation of Financial Information at Corporate Web Sites," International Journal of Accounting Information Systems, Vol. 2, No. 3, pp. 149-168. Sep. 2001. https://doi.org/10.1016/S1467-0895(00)00017-8
- Cavusoglu, Huseyin, Mishra, Birendra and Raghunathan, Srinivasan, "The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers," International Journal of Electronic Commerce, Vol. 9, No. 1, pp. 70-104, 2004.
- Young Ok Kwon and Byung-Do Kim, "The Effect of Information Security Breach and Security Investment Announcement on the Market Value of Korean Firms," Information Systems Review, 9(1), pp. 105-120, Apr. 2007.
- Hyung-Chan Jung, "Small Sample Size Problems and the Power of the Test in the Event Study Methodology," Korea Journal of Financial Studies, 35(3), pp. 107-140, Jun. 2006.