I. 서론
과거와는 다르게 IT기술을 기반으로 하는 금융환경에서 정보보안사고, 특히 개인정보유출은 기업가치에 부정적인 영향을 줄 뿐만 아니라 개인의 일상적인 활동에도 수많은 위험에 노출시킬 수 있을 것이다. 박주헌(2015)[15]에 따르면 정보보안사고의 경로는 시스템/네트워크, 웹 침해, DB침해 등이며 공격방법은 DDoS, HTTP Flooding, IP Spoofing, DNS Poisoning, 웹셀, 비인가 접근 등 천차만별이지만, 발생 가능한 피해 유형은 서비스 중단, 정보 변조/훼손, 내부정보유출, 개인정보유출로 한정할 수 있다고 발표하였다. 특히, DDoS, APT 등은 피해 유형이 아닌 공격방법으로 보고 기업에게 이러한 공격으로 인해 심각하게 발생할 수 있는 피해가 개인정보유출이라고 하였다.
2014년 1월 발생한 카드 3사의 개인정보유출 사고로 우리나라 인구의 2배가 넘는 개인정보가 유출되었다. 또한 2008년부터 2012년까지 5년간 발생한 개인정보유출사고로 우리나라 인터넷 사용인구의 3배가 넘은 개인정보가 유출되었다. 이렇게 유출된 개인정보는 중국, 필리핀 등 해외에 주민등록번호, 신용카드 번호 등의 민감 정보가 포함된 채 팔리고 있어 개인정보침해는 국가 일급재난으로 볼 수 있다는 연구(문혜정, 조현석(2012)[13])는 개인정보유출사고의 심각성을 보여주고 있다.
지속적으로 개인정보유출사고가 발생함에 따라 정부에서는 개인정보를 보호하기 위하여 세계적으로 강력한 규제에 꼽힐 정도로 강한 개인정보보호법을 제정하였고, 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률(이하 정보통신망법)에 정보보호 관리체계 (ISMS)인증(법 제47조)1)과 개인정보보호 관리 체계(PIMS) 인증(법 제47조의3)2)에 대한 근거 조항이 마련되어있다.
그러나 이러한 개인정보보호에 대한 제도적 장치 마련에도 불구하고 국가정보보호백서(2015)[11]에 따르면 2014년 정보보호 10대 이슈 중 직접적인 개인정보유출 이슈가 ‘카드사 및 통신사 고객정보 유출’, ‘개인정보 정상화 대책’, ‘주민등록번호 수립 금지’의 3개 항목이 아래 Table 1와 같이 1,2,4번째에 위치해 있으며, 개인정보유출사고는 1차적인 피해뿐만 아니라 2차 피해에 해당하는 ‘스미싱, 피싱, 파밍 공격위협 증가’가 8번째에 위치하여 10개 이슈 중 절반에 가까운 4개 이슈가 개인정보와 관련되어 있다.
Table 1. 2014 Information Security Issues 10
따라서 최근 개인정보보호법 제·개정이나 정보통신망법의 개정 등은 정보보안사고로 인한 사회적 이슈를 반영한 결과라고 볼 수 있을 것이다. 하지만 이러한 사회적 관심에도 불구하고 보안시스템에 대한 투자활성화와 이에 대한 실질적인 정책은 아직까지도 미비한 상태이며 무엇보다 향후 추가적인 정보보안사고가 발생하여 해당 기업의 이해관계자인 투자자들의 투자성과에 미치는 영향까지 감안해 본다면 지속적으로 보안시스템 도입에 대한 필요성과 이러한 투자자들을 보호 할 수 있는 실질적인 제도 장치 마련이 시급한 상태라고 본다.
정보보안 사고가 기업 가치에 미치는 영향에 관한 연구들이 발표되고 있고 대부분의 연구들이 미국기업을 대상으로 한다는 점과 국내에서는 금융회사를 중심으로 현 보안평가 공시의 실태를 고찰하고 정보보안사고의 피해규모 산정과 정보보호 투자의 경제성에 관한 투자분석에 따른 연구들이 발표되고 있지만 재무적인 관점에서 살펴본 연구들이 아직 미비한 상태이다.
정보보안사고가 해당기업의 주가에 어떠한 영향을 주는 사건인지 재무 분야에서 사용되는 사건연구방법론을 통해 단기간 관찰기간동안 주가반응을 살펴본 연구들이 진행되고 있지만 이러한 기존 연구들이 보여주는 연구결과로는 개인정보유출과 같은 정보 보안사고로 인한 피해인식과 기업의 이해관계자들에게 정보보호의 중요성을 인지시켜주는데 있어 그 결과를 뒷받침해주는데 보다 실증적으로 제시해주는데 한계점이 있다.
따라서 본 연구에서는 정보보안사고로 인해 기업에 있어 그 피해가 가장 심각한 개인정보유출사고에 초점을 맞춰 보안사고가 기업 가치에 어떠한 영향을 주는 사건인지 개인정보유출사고 보도일 전후 5일 동안(이하 (-5,5)로 표기)의 주가반응과 투자자 유형을 개인, 기관, 외국인으로 구분하여 이들의 투자성과 및 매매행태를 통해 자본시장에서 개인정보유출사고가 투자자들의 투자성과에도 차별적인 영향을 주는 사건인지를 행태재무론 관점에서 실증 분석해 본다는 점에서 기존 연구와 큰 차별성을 가지고 있다고 할 수 있다.
본 연구를 통해 우리나라 주식시장에서 정보보안 사고 이슈가 기업 가치에 중대한 영향을 미칠 수 있는 사건이라는 것을 제시하고 이에 따라 정보보안과 관련된 제도적 장치를 마련하는 정책당국을 통해 실질적인 제도 마련과 더불어 보안시스템 도입에 대한 투자활성화에 있어 실무적으로 많은 시사점을 제시해 줄 것이라 기대해본다.
II. 문헌연구
정보보안사고로 인한 피해증가에 따라 이러한 보안사고로 인한 사회적 이슈를 반영하듯 지속적으로 정보보안사고와 기업의 주가변화와의 관계를 분석하거나 이에 대한 경제성 분석을 정량화하는 연구들이 발표되고 있다.
Huseyin Cavusoglu, Birendra Mishra, and Srinivasan Raghunathan(2004)[5]은 1996년부터 2001년까지 66건의 침해 사고에 대한 조사 결과 기업의 인터넷 침해사고 공지는 주식시장에 부정적인 영향을 미친다고 하며, 침해사고 발표 2일 안에 평균 2.1%의 주가가 하락한다고 하였다.
남상훈(2006)[12]은 간접 손실 비용 중 보안 Event가 기업 주가에 미치는 영향을 분석한 결과, 보안사고 Event 발생 이전보다 이후 3.83%의 하락이 있었으며, Event 후 6일까지 주가가 하락하였고, 7일 만에 반등하여 Event 주가 영향 소실점을 E+6으로 정의하였다.
김정연(2012)[9]은 개인정보유출사건은 관련 기업의 주가에 음의 영향을 미치며, 발표 당일 0.8779%의 시세 하락이 있으며, 발표 다음날은 2%의 시세 하락을 보인다고 하였다. 또한 개인정보 유출사건의 피해 측정과 책임에 대한 결론이 나지 않고 동일한 기업에서 수차례 정보 유출 사건이 발생하고 있음에도 불구하고 주가 변동의 폭이 늘어나고 있다고 하였다. 이러한 현상은 개인정보 보호에 대한 인식의 확대와 지속적이고 보다 확대된 개인정보유출 현상 규모 때문으로 해석하였다.
김태환, 이해니, 유진호(2014)[10]는 개인정보유출사고 직후 나타나는 직접적인 영향을 알아보기 위해 2008년 이후 발생한 개인정보유출사고 중 5개 기업에서 발생한 7개 사고를 표본으로 하여 사고 발생 후 최대 2주일 간의 데이터를 분석하였다. 그 결과 평균 2일 동안 1.0% 하락하였고, 이벤트 발생 전의 주가로 회복하는데 약 5일정도 소요됨을 확인하였다.
아낫 호바브, 한진영(2014)[17]은 2001년에서 2011년까지의 정보보안사고를 대상으로 조사한 결과 정보보안 사고의 발표는 장·단기간에 수익이 하락함을 알 수 있었고, 전자상거래 기업이 보안사고로 인해 더 부정적인 영향을 받는다고 하였다. 반면 정보 보안 사고에 대해 금융회사가 비금융 회사보다 더 부정적이지는 않으며, 2008년을 기준으로 정보보안 사고 발생 연도에 따라서도 큰 차이가 없는 것으로 나타났다.
황해수, 이희상(2015)[18]는 보안사고로 인한 기업의 시장가치 변화를 Tobin’s q가 기업가치 기준에 따라 그 기준을 세 그룹으로 분류하여 특징을 분석한 결과 Tobin’s q가 제시한 기업의 각 그룹에 따라 평판손실의 정도에 많은 차이가 있음을 확인해 주었고, q가 1보다 커거나 0보다 작은 기업의 경우 0과 1사이의 기업보다 많은 평판손실이 발생하며, 통계적으로 유의한 결과를 확인해주었다. 더불어, 정상수익률(AR)과 평균 누적 비정상 수익률(CAR)를 분석한 결과, AR은 사고의 언론보도 당일부터 하락을 시작하여 t+1에 가장 낮은 AR을 나타냈으며 t+2일부터 주가가 회복하였다. CAR은 AR의 누적 값으로 AR과 유사하게 t+1일에 가장 낮으며 t+5일부터 회복하는 모습을 나타냄을 확인해주었다.
III. 데이터 수집과 연구방법론
본 논문은 개인정보유출사고가 있었던 상장법인을 대상으로 정량적 분석을 위해 총 세 가지 방법론을 적용하였다. 개인정보유출 발생 기업의 언론보도 일을 기준으로 관찰기간(-5,5)동안 주가반응을 분석하기 위해 사건연구방법(Event study)론3)을 적용하고, 사건연구방법에서 분석한 주가반응을 통해 관찰 기간동안의 거래량 흐름을 통해 개인정보유출사고라는 정보보안 사고에 대한 투자자들의 정보반응을 추론하고자 하였다. 또한, 행태재무론 관점에서 관찰기간동안 거래량 흐름을 개인, 기관, 외국인으로 투자자유형을 구분하여 개인정보유출사고에 따른 투자주체별 투자성과를 순매수(도)를 통해 실증분석하고자 하였다. 이러한 분석을 위한 데이터의 수집방법과 선정기준도 함께 제시하고자 한다.
3.1 데이터 수집
개인정보유출사고가 투자주체별 투자성과에 미치는 영향을 분석하기 위한 분석 표본은 2000년 1월 부터 2015년 9월까지 15년 간 한국거래소에 상장된 상장법인 중 개인정보유출사고가 있던 기업이 대상이다. 주요키워드는 ‘개인정보유출’, ‘해킹’으로 하였고, 그 외 ‘사이버공격’, ‘인터넷 침해’, ‘악성코드’, ‘DDoS’ 등을 사용하여 검색하여 보도자료를 통해 개인정보유출사고 발생을 조사하였다. 한 기업이 같은 해에 개인정보유출사고가 여러 번 있었던 경우는 최초 발생 보도 일을 기준4)으로 하였다. 만일 언론을 통해 최초발표 일이 휴일인 경우 보안 사고라는 정보가 주가에 반영되어 있었을 다음 영업일을 기준으로 하여 최종적으로 Table 2.와 같이 21개의 표본을 선정하였다. 또한 분석에 필요한 주가수익률 및 재무 특성자료 등은 Fn-guide를 통해 수집하였다.
Table 2. Results of the survey of 21 sample of Personal Information Leakage Incident
이렇게 수집된 개인정보유출사고와 관련된 기초자료는 보안사고 발생 기업의 언론 보도 일 전후 관찰 기간(-5,5)동안 개인정보유출이라는 보안사고가 기업 가치에 어떠한 영향을 주는지를 분석하기 위해 사건연구방법론을 적용하고자 하였다.
3.1.1 사건연구방법 적용
본 연구에서는 한국거래소 유가증권시장과 코스닥 시장에서 상장된 기업 중 개인정보유출사고가 있었던 기업을 대상으로 사건일 전후의 주가움직임과 투자자 유형별 매매행태를 분석하고자 한다. 따라서 일반적인 사건연구방법에 따라 초과수익률(AR:Abnormal Return)을 산출하고 이를 누적한 누적초과수익률 (CAR : Cumulative Abnormal Return)을 계산한다.
이때 정상수익률(benchmark)의 계산은 시장 조정모형(market-adjusted return model)을 사용하고 있다. 이는 시장모형(market model)의 모수 추정기간(estimation period)에 또 다른 정보가 시장에 유입될 가능성이 있어 추정결과에 편의(bias)가 생길 수 있기 때문에 시장 모형(market model) 에 의한 조정 대신 아래 식(1)과 같이 시장조정모형을 사용하였다(Brown and Warner .1980)[2]5). 시장조정모형에서 시장수익률에는 주가지수 수익률을 사용하였으며 사고일 전 5일부터 사고일 후 5일까지의 기간(-5,5)에 대한 누적초과수익률(CAR)을 측정하였다.
개인정보유출사고일 전후 동안의 주가반응(-5,5)
시장조정모형(market adjusted return model)
ARi,t = Ri,t - Rmt (1)
ARi,t = t시점에서 표본기업i의 초과수익률
Ri,t = t시점에서 표본기업i의 주가수익률
Rmt = t시점에서 시장지수(market index)수익률
개인정보유출 사건연구에서 초과수익률 추정에 이용되는 방법은 아래 식(2)와 같이 표본기업의 t일의 초과수익률로 측정하여 특정 t일에서의 평균초과수익률(Average Abnormal Return)을 구한다.
\(\begin{aligned} &A A R_{i, t}=\frac{1}{n} \sum_{i=1}^{n} A R_{i, t} \\ &A R_{i, t}=\mathrm{t} \text { 시점에서 표본기업i의 초과수익률 } \\ &n=\mathrm{t} \text { 시점에서 분석대상인 표본의 크기 } \end{aligned}\) (2)
평균초과수익률을 통해 사건일로부터 특정시점까지 시간의 경과와 더불어 초과수익률의 흐름이 어떻게 변화하였는가를 살펴보기 위해 평균초과수익률을 누적시켜 관찰기간(-5,5)동안의 누적평균초과수익률 (Cumulative Average Abnormal Return)을 다음 아래 식(3)과 같이 측정한다.
\(\begin{aligned} &C A A R_{(-5,5)}=\sum_{t=-5}^{5} A A R_{t} \\ &C A A R_{(-5,5)}=\text { 분석기간 }(-5.5) \text { 동안의 누적평균초과수익률 } \\ &A A R_{(-5,5)}=\text { 분석기간 }(-5.5) \text { 동안의 평균초과수익률 } \end{aligned}\) (3)
3.1.2 투자자유형별 투자성과 분석 방법
또한 본 논문에서는 언론 보도일 기준의 개인정보 유출사고인 사건(Event) 전후의 거래량 흐름을 통해 개인정보유출사고에 대한 투자자들의 정보반응을 아래 식(4)와 같이 추론하고자 한다.
주식의 일별 거래량은 기업마다 발행주식수와 실제로 유통되는 주식 수 등의 차이로 개별주식별 편차가 매우 크기 때문에 각 주식별 거래량을 그대로 사용하여 사건일 전후의 거래량 변화 추이를 비교 분석 한다는 것은 의미가 없다. 따라서 본 연구에서는 아래 식과 같이 사건일 이전 60일부터 31일까지와 사건일 이후 31일부터 60일까지 총 60일 동안의 일별 평균 거래량을 기준으로 관찰기간 각 거래일의 거래량 비율을 계산한 뒤 1을 뺀 값으로 초과거래량 (ATV: Abnormal Trading Volume)6)을 구하고자 한다. 초과거래량의 부호가 통계적으로 유의한 양(+)의 값을 가지면 평상시보다 거래량이 증가한 것으로 판단하게 된다.
초과거래량 = \(\frac{\text { 거래량 }(-5,5)}{(-60,-31) \text { 과 }(31,60) \text { 거래량 평균 }}-1\) (4)
이상에서 산출한 초과수익률(AR), 누적초과수익률(CAR), 초과거래량(ATV) 등을 표본 집단에 대해 평균한 값의 통계적 유의성을 검증하기 위하여 전통적 t검정을 사용하고자 한다.
한편 개인, 기관, 외국인으로 분류되는 투자자유형별로 개인정보유출 사건 전후의 매매 패턴을 파악하기 위해 아래 식과 같이 투자자별로 일별 순매수(도) 비율을 구하여 분석하고자 한다. 이때 기업 간의 발행주식수의 차이로 인한 이분산성을 통제하기 위하여 김동순, 전영순(2004)[7]의 방법을 따라 아래 식과 같이 해당일의 투자자유형 순매수(도)수량을 해당일의 발행주식수로 나누어 당일의 순매수(도)율을 구하는 방식을 사용하였다. 따라서 순매수(도)율이 양(+)의 값을 가지면 순매수, 음(-)의 값을 가지면 순매도를 나타낸다. 그리고 관찰 기간 동안 누적 합산함으로써 투자자유형별 누적순매수(도)율(cumulative net buy(sell) ratio)을 아래 식(5)과 같이 계산한다.
순매수(도)율 = \(\frac{\text { 투자자유형별 일별순매수 }(\text { 도 }) \text { 량 }(-5,5)}{\text { 발행주식수 }} \times 100\) (5)
그리고 관찰 기간 동안 누적 합산함으로써 투자자 유형별 누적순매수(도)율을 통해 개인정보유출사고에 따라 사건일 이후 투자자유형별 매매패턴의 흐름이 어떻게 변화하였는가를 살펴보고자 하였고, 아래 식 (6)에 따라 평균 순매수(도)율을 누적시켜 관찰기간 (-5,5)동안의 투자자유형별 누적 순매수(도)를 살펴보고자 하였다.
누적순매수(도)율(CNITi,t) = \(\sum_{t=-5}^{5} t\) (6)
IV. 분석결과
개인정보유출사고가 해당 기업 가치에 어떠한 영향을 주는지 Table 3에 나타나 있다. 관찰기간 (-5,5)동안 개인정보유출 보안사고 사건일(t=0)에 초과수익률 값이 -1.478%로 통계적으로 유의한 가장 낮은 초과수익률을 나타내며 개인정보유출사고가 해당 기업의 주가에 부정적인 영향을 미치고 있음을 보여주고 있다.
Table 3. Stock Reaction of Personal Information Leakage Incident(-5,5)
T-statistic is significant at the **1% level,
T-statistic is significant at the *5% level.
Fig.1 에서 눈에 띄는 결과는 개인정보유출사고라는 보안사고 이슈가 사건일 이전과는 다르게 사고일에 시장대비 뚜렷한 주가 하락을 보이고 있다는 점이다. 이는 개인정보유출 이라는 보안사고가 우리나라 주식시장에서도 이에 대한 정보효과가 있음을 보여주는 결과라 볼 수 있다.
Fig. 1. Stock Reaction of Personal Information Leakage Incident(-5,5)(CAAR)
개인정보유출에 따른 보안사고 뿐만 아니라 여러 유형의 보안 사고는 행태 재무론 관점에서 기업에 중 대한 영향을 줄 수 있는 사건과는 다르게 보안사고의 발생을 예측할 수 없는 정보보호의 특성상 비기대사건(unexpected)이라 본다.
따라서 본 연구에서 실증적으로 검증하고자 하는 정보보안사고는 사건일 이전 투자자유형별 매매행태에 있어서 정보우위에 기인한 사전거래의 매매행태는 없을 것이라 보며 사고일 이전보다는 사고일 이후 개인정보유출과 같은 보안사고 이슈가 투자자 유형별 거래 행태 간에 차별적인 영향을 줄 것이라 기대해 본다.
우선, 개인정보유출사고에 따른 투자자유형별 거래행태를 분석하기에 앞서 Beaver(1983)[1]에 의하면 가격형성은 정보에 대한 시장참여자들의 다양한 의견의 평균치를 반영하는데 비해, 거래량 변화는 시장 참여자들의 새로운 정보에 대한 다양한 해석의 정도를 반영하며 새로운 정보에 대해 투자자들의 해석이 다양할수록 거래량은 증가한다고 보고하고 있다. 이에 따라 개인정보유출사고라는 보안사고 이슈에 대한 투자자들의 정보반응을 추론하기 위해 사건일 ±5 일 동안의 초과거래량을 거래량 지수로 측정하여 백분율로 표시한 값을 Table 4에서 보여주고 있다.
Table 4. Personal Information Leakage Incident Before&After 5days Abnormal Trading Volume
T-statistic is significant at the **1% level,
T-statistic is significant at the *5% level.
거래량 지수는 개별 주식별로 거래량 편차가 큼으로 인한 비교분석의 한계점을 극복하기 위하여 [t 일 거래량/(-60,-31)과(31,60)거래량평균]로 계산한 뒤 1을 빼서 표준화하였다. 따라서 특정일의 거래량 지수가 양(+)이면 평상시 거래량 평균보다 거래가 많았음을 의미한다.
위 Fig.2에서 눈에 띄는 결과는 국내 주식시장에서 개인정보유출이라는 보안사고 사건 일에 거래량이 비교적 증가했다는 점이다. 개인정보유출 사건일 전날(t=-1)이 사건 당일(t=0)보다 비교적 많은 것은 주가에 영향을 줄 수 있는 다른 복합적 사건들에 기인한 현상일 것이라 보며, 사건일(t=0)에는 관찰기간(-5,5)동안 평소에 비해 거래량이 68.3% 증가하였음을 보여주고 있다.
Fig. 2. Personal Information Leakage Incident Before&After 5days Abnormal Trading Volume
앞서 우리는 개인정보유출사고가 기업 가치에 부정적인 영향을 주는 사건이라는 것을 통계적으로 유의한 음(-)의 값을 통해 확인하였고 이에 따라 관찰 기간(-5,5)동안 초과거래량 분석을 통해 우리나라 주식시장에서 개인정보유출사고라는 사건에 대한 정보효과가 존재하는지도 살펴보았다. 따라서 해당기업의 이해관계자인 투자주체별 투자성과에는 개인정보유출사고라는 보안사고 이슈에 따라 어떠한 차별적인 영향을 주는 사건인지 투자주체별 매매행태를 통해 비교 분석하고자 하였다.
Table 5, Table 6, Table 7은 개인정보유출 사건일 전후 5일 동안의 투자자유형에 따른 기간별 누적순매수(도)비율을 분석하여 제시하고 있으며 보안사고 이전에 비해 보안사고 이후 개인, 기관, 외국인 별로 누적순매수(도) 행태가 뚜렷한 차이를 보이는 것을 확인할 수 있다.
Table 5. Personal Information Leakage Incident Before&After 5days Foreign Investor Cumulative Net Buy(Sell) Ratio
T-statistic is significant at the **1% level,
T-statistic is significant at the *5% level.
Table 6. Personal Information Leakage Incident Before&After 5days Individual Investor Cumulative Net Buy(Sell) Ratio
T-statistic is significant at the **1% level,
T-statistic is significant at the *5% level.
Table 7. Personal Information Leakage Incident Before&After 5days Institution Investor Cumulative Net Buy(Sell) Ratio
T-statistic is significant at the **1% level,
T-statistic is significant at the *5% level.
본 연구에서 실증분석에 필요한 샘플 수(N=21)가 부족함에도 불구하고 개인투자자의 매매행태는 보안사고 이전보다는 사건일(t=0)을 포함하여 사건일 이후 외국인 및 기관투자자들과 상반된 뚜렷한 매매 행태와 더불어 통계적으로 유의한 누적 순매도 값을 나타내주었다. 이와는 다르게 기관투자자는 사건일에는 통계적으로 유의한 값을 나타내주진 않았지만 개인투자자와는 반대되는 역 투자전략으로 개인정보유출 사건일 주변 통계적으로 유의한 누적순매수 값을 나타내주었고 외국인투자자 또한 사건일 주변 통계적으로 유의한 누적순매수 값을 나타내주었다.
따라서 기관 및 외국인투자자들에 비해 개인투자자가 개인정보유출사고라는 보안사고에 대해서 순매도 하는 강도가 훨씬 강하게 나타났으며 반면 기관 및 외국인투자자는 사건일(t=0)을 포함하여 단기적으로 개인투자자와는 다른 투자 패턴을 보임에 따라 개인정보유출에 따른 정보보안사고에 대한 기업의 주식가치감소로 손실을 회피하려는 상반된 매매행태를 나타내준 흥미로운 결과를 보여주었다.
최근까지 금융당국 및 신용정보 법/정보통신망 법 등 개인 고객정보를 다루고 있는 법률에서 개인정보 유출 시 기업이 고객에게 선제적인 보상 및 기업에게는 매출 3%정도의 과징금을 내릴 수 있는 등 많은 부분들이 고객 측에게 유리하도록 개정되어 있음에도 불구하고 이러한 결과를 통해 보안평가 공시의 실태를 재조명하고 지금까지 정보보안 분야와 관련하여 재무학적인 사건연구방법(Event study)으로 정보 보안사고로 인해 기업가치가 어떻게 변화하는지를 주가반응을 통해 살펴보았다면 본 연구는 이를 투자자 유형별 거래행태를 통해 투자성과측면에서 보다 실증적으로 검증했다는 측면에서 학문적 기여도는 물론 실무적으로도 많은 시사점을 줄 것이라 기대해 본다.
행태 재무론 분야에서는 기업에게 중대한 영향을 줄 수 있는 이익 공시, 기업분할, 주식분할, 상장폐지 등과 같이 전자공시시스템(DART)7)을 통한 공시효과를 주가반응을 통해 살펴보고 이에 따라 국내 주식시장에서 투자자유형을 개인, 기관, 외국인으로&구분하여 공시 이전 정보비대칭에 따라 특정투자주체가 사전거래를 통해 해당기업의 주식을 선취 매수하여 초과수익을 얻으려는 투자행태8)를 보이는지를 검증하는 연구들이 다수 이뤄져 왔다.
이러한 연구결과에 따르면 국내 주식시장에서는 기업가치에 큰 영향을 줄 수 있는 중요 공시가 공표되기 이전 정보비대칭성에 기인한 특정투자주체의 거래행태가 실질적으로 존재하며 이에 따라 정보우위에 있는 기관 및 외국인 투자자들에 비해 개인투자자들의 투자성과가 저조한 것으로 나타났다.
따라서 보안사고가 전자공시시스템(DART)에 의한 공시제도를 통해 자본시장에 공표되는 것과는 다르게 인터넷 매체등과 같이 언론을 통해 발표하거나 보안 사고에 대한 이슈를 내부적으로 기업에서 감추는 경우가 있어 보안사건 이전의 투자자유형별 거래 행태 간에 정보우위에 기반한 특별한 거래행태는 없을 것이라 본다. 이에 대해 본 연구에서 투자주체 별 매매행태를 누적순매수(도)로 살펴본 Fig.3과 같이 기업의 정보보호의 특성상 정보보안 사고는 그 사고의 발생을 예측할 수 없는 비기대사건 (unexpected)이므로 보안 사건일 이전의 정보우위에 따른 특정투자주체의 매매 행태 간에는 특이한 점을 발견할 수 없었다.
Fig. 3. Personal Information Leakage Incident Before&After 5days Investors Cumulative Net Buy(Sell) Ratio
이에 대해 본 연구에서 투자주체별 매매행태를 누적순매수(도)로 살펴본 Fig.3과 같이 개인정보유출 사고 사건일 전후 5거래일 동안의 개인, 기관, 외국인으로 구분된 투자자유형별 누적순매수(도)율을 그래프로 보여주고 있다.
먼저 개인정보유출사고라는 사건에 따라 사건일 이후 5거래일 동안의 투자자유형별 매매 패턴을 보면, 사건일 이전과는 다르게 개인투자자는 순매도와 기관투자자의 경우 순매수 패턴이 뚜렷해지는 매매행태를 보이고 있다. 또한 그동안 뚜렷한 매매패턴을 보이지 않던 외국인 투자자도 개인정보유출 사건일 이후 약하지만 순매수 패턴을 나타내고 있다. 이러한 결과는 개인정보유출사고에 따라 사건일 음(-) 초과&수익률이 발생하는 점을 감안하면, 기관투자자는 유리한 매매결과를 보인 반면에 개인투자자는 불리한 매매 결과가 나타나고 있음을 시사한다.
이와 같이 개인투자자와 기관투자자 사이의 정보비 대칭 때문인지 아니면 각각 추세추종(momentum) 또는 추세역행(contrarian) 매매를 하는 기관투자자와 개인투자자의 거래행태에 기인하는지에 관련된 논란이 있을 수 있다.
하지만 우리는 본 연구결과를 통해서 실무적으로 몇 가지 시사점을 얻을 수 있을 것이다. 최근까지 개인정보유출사고가 발생한 기업들이 고객에게 직접적인 피해보상이 발생한 경우가 드문 상태이며, 그 피해보상이 적용되더라도 굉장히 적은 금액이라는 점이다. 따라서 이러한 점을 미루어 볼 때 향후 기업들이 정보 보안 사고에 따른 그 사고 유출규모에 따라 천문학적인 피해보상을 해야 하는 경우도 발생할 충분한 소지가 있을 것이다. 이는 개인정보유출사고를 떠나 기업에게 있어 정보보안사고가 투자주체 중 개인 투자자들의 투자성과에 부정적인 영향을 주는 사건이라는 것을 본 연구를 통해 검증하였고 이러한 투자자들을 보호해야하는 보안평가시스템 및 투자활성화에 대한 실질적인 제도적 장치가 필요할 것으로 보이며 더불어 정보보안을 업으로 하는 사람들의 지위 및 위치에 대한 역할이 중요할 것으로 보인다.
V. 결론
본 논문에서는 한국거래소에 상장된 상장법인 중 2000년 이후 2015년까지 정보보안사고 중 개인정보&유출사고가 발생했던 기업을 대상으로 개인정보유출 사고가 기업가치에 어떠한 영향을 주는 사건인지를 초과수익률 및 초과거래량 분석을 통해 각각의 정보 효과를 확인하고자 하였다. 또한 개인정보유출사고 전후의 투자자유형별 매매 패턴을 외국인 및 기관, 개인으로 분류된 누적 순매수(도)율에 의해 확인하고 정보보안사고로 인해 투자자유형별 투자성과에는 어떠한 영향을 미치는 사건인지를 확인하고자 하였다. 분석결과는 다음과 같이 요약된다.
첫째, 개인정보유출 사건일(t=0)의 초과수익률 평균은 –1.478%로 통계적으로 유의한 (-)음의 값을 나타남에 따라 개인정보유출사고라는 보안사고가 해당기업의 주가에 부정적인 영향을 미치고 있음을 보여주고 있다. 한편, 개인정보유출사고에 대해 투자자들의 정보반응을 추론하는 초과거래량 분석에서는 개인정보유출 사건일(t=0) 거래량이 관찰기간(-5,5) 동안 평소에 비해 증가하여 국내 주식시장에서 보안 사고 이슈에 대한 정보효과가 있음을 확인하였다.
둘째, 개인정보유출사고에 따라 기업의 이해관계자인 투자자유형별 투자성과에는 어떠한 영향을 미치는지 확인해 본 결과, 사건일(t=0)을 포함하여 사건일 이후 개인투자자는 순매도, 외국인 및 기관투자자는 순매수 패턴을 보임으로써 개인투자자가 기관 투자자에 비해 불리한 매매패턴을 보여주고 있다.
본 연구에서 실증분석에 필요한 샘플 수(N=21)의 한계점에도 불구하고 개인정보유출사고가 투자자 유형별 매매행태에 차별적인 영향을 주는 보안 사고라는 것을 확인해 주었고 이러한 결과를 통해 본 연구에 대한 분석결과는 몇 가지 중요한 시사점을 제시하고 있다. 우선, 정보보안 분야와 관련하여 재무학의 사건연구방법론을 통해 우리나라 주식시장에서 개인정보유출과 같은 정보보안사고가 기업가치에 부정적인 영향을 미칠 수 있는 사건이라는 것을 통계적 검증을 통해 제시해주었고 사건일 이전과는 다르게 사건일 이후 외국인 및 기관은 순매수하고 개인투자자는 순매도 하는 매매패턴을 보임에 따라 개인투자자가 기관투자자들에 비해 상대적으로 투자성과에 불리한 위치에 있음을 보여주고 있다.
향후 기업들이 정보보안사고 발생 시 그 사고 유출규모에 따라 천문학적인 피해보상을 해야 하는 경우 추가적인 정보보안사고로 해당 기업의 이해관계자인 투자자들의 투자성과에 미치는 피해까지 감안해 본다면, 지속적으로 보안시스템 도입에 대한 필요성과 이러한 투자자들을 보호할 수 있는 실질적인 제도적 장치 마련이 필요할 것으로 보인다. 더불어, 기업에 정보보안의 중요성과 경각심을 고취시키고 정보보안에 힘쓰는 담당자뿐만 아니라 기업의 임직원의 역할 또한 중요하다는 것을 본 연구가 실무적으로 많은 시사점을 줄 것이라 기대해 본다.
참고문헌
- Beaver, William H.1968. "The information Content of Annual Earnings Announcements, Empirical Research in Accounting Selected Studies." Journal of Accounting Research, supplement, Vol.6, Issue 3, pp. 67-92. https://doi.org/10.2307/2490070
- Brown, S., and J. Warner.1980 Measuring Security Price Performance. Journal of Financial Economics.
- Dodd, Paul and Jerold B. Warner, "On Corporate Governance: A Study of Proxy Contests," Journal of Financial Economics Vol. 11, 1983, pp. 401-438. https://doi.org/10.1016/0304-405X(83)90018-1
- Fama, E., L. Fisher, M. Jensen, and R. Roll. 1969. The Adjustment of Stock Prices to New Information. The International Economics Review, 10(1): 1-21. https://doi.org/10.2307/2525569
- Huseyin Cavusoglu, Birendra Mishra, and Srinivasan Raghunathan, "The Effect of Internet Security Breach Announcements on Market Value: Capital Market Reactions for Breached Firms and Internet Security Developers," International Journal of Electronic Commerce, Vol. 9, no. 1, pp. 69-104, 2004.
- Kwangsoo Ko, Keunsoo Kim, "Portfolio performance and Characteristics of Each Invest Type: Individuals, Institutions, and Foreigners", The Securities Association, Vol 33(4), pp. 35-62.
- Dongsoon Kim, Youngsoon Cheon, "Foreign Investors vs. Domestic Investors, Who Are Better Informed Investors?". The Securities Association, Vol 33(2), pp. 1-44.
- SunHo Kim, "The Investment Behavior and Return Prediction of Various Investor Type in Korea.", Korean Association of Business Education, Vol,40, pp. 3-26, 2005.
- JeongYeon Kim, "Analyzing Effects on Firms' Market Value of Personal Information Security Breaches," The Journal of Society for e-Business Studies, 18(1), pp. 1-12, 2013. https://doi.org/10.7838/jsebs.2013.18.1.001
- Tae Hwan Kim, Haeni Lee, and Jinho Yoo, "Study on the Pattern of Stock Price Change of Companies After Personal Information Leakage Incident," 2014 KMIS Internetional Conference, pp. 89-92, June 2014.
- National Information Security White Paper, NIS, 2015.
- SangHoon Nam, "(An)Empirical Study on the Impact of Security events to the Stock Price in the Analysis method of Enterprise Security Investment Effect," Doctor's Thesis, Korea University, February 2006.
- Hyejung Moon and Hyun Suk Cho, "Risk based policy at big data era: Case study of privacy invasion," Journal of Information policy, 19(4), pp. 63-82, 2012.
- KyungIn Park, KeeHong Bae, JinWan Cho, "Analyses on Performance by Different Type of Investors in Korean Stock Market", The Securities Association, Vol 35(3), pp. 41-76.
- Park, Juheon, "Deduction of priorities of investing information security considering types of corporations and security incidents," Master's Thesis, Yonsei University, June 2015.
- KyungSik Eom, KiBeomBinh, JoonSeok Kim, "Foreign Investors' Short Sales and Individual Stock Price in the Korean Stock Market", The Korean Journal of Financial Management, Vol 28, Number3, September 2011.
- Anat Hovav and JinYoung Han, "The Impact of Security Breach Announcements on the Stock Value of Companies in South Korea," The Journal of Internet Electronic Commerce Research, 13(3), pp. 43-67, September 2013.
- Haesu Hwang, Heesang Lee, "The relationship between security incidents and value of companies: Case of listed companies in Korea", Journal of The Korea Institute of Information Security&Cryptology Vol, 25, No,3, Jun, 2015.