[iitp] 사이버사고의 사회적 비용과 사이버보험 이슈

 

[ 데이터 유출 관련 비용 분류 ]

 

 

 

 

*** 출처: [iitp] 사이버사고의 사회적 비용과 사이버보험 이슈

*** 문서:

file8863674950271954345-188602.pdf

 

 

 

 

■ 사이버사고의 사회적 비용

 

 

- 사이버보안 지수의 수준에 다른 사이버범죄 비용

 

 

 

 

 

 

○ MS와 프로스트앤설리반의 사이버사고 비용 산출

 

- 2017년 사이버공격으로 인한 아시아·태평양 지역의 경제적 손실을 1조 7,450억 달러($ 1.745 trillion)로
추정하고 GDP의 무려 7%라고 발표

 

 

 

 

 

 

 

- 손실은 크게 직접적 손실, 간접적 손실, 추가 손실 등 세 부분으로 분류

 

- 직접적 손실: 고객 혼란, 복원 비용, 사고 관련 벌금, 생산성 손실 등으로 구성

 

- 간접적 손실: 주로 평판 하락으로 인한 기회비용으로 정의하였고 고객 이탈, 주가 하락, 일자리 감소 등으로 구성

 

- 추가 손실: 사고의 영향력이 확산되면서 생태계와 경제 전반에 악영향을 끼치는 현상들이라고 가정

 

- 아시아·태평양 지역에서 중간 규모의 금융 서비스 회사의 경우 사이버사고로 인한 평균 경제적 손실은 각각 32,000달러로 산출되었고, 국내 대형 기업의 평균 경제적 손실은 2,780만 달러로 산출

 

 

 

○ 2018년 2월 맥아피와 국제전략문제연구소(CSIS)에서 발간한 “사이버범죄의 경제적 영향 보고서”

 

- 2018년에 추산한 손실 비용은 6,000억 달러이며 2016년 기준으로 전 세계 GDP의 0.8%의 비중을 차지

 

- 지역별로 GDP와 사이버범죄 비용으로 산출한 사이버범죄 손실률(Cybercrime Loss)을 산출하였는데, 북아메리카는 0.69~0.87%, 유럽과 중앙아시아는 0.79~0.89%, 동아시아·태평양은 0.53~0.89%, 남아시아는 0.24~0.52%, 라틴 아메리카는 0.28~0.57% 등으로 각각 나타남

 

- 사이버보안 지수에 따라 선도(Leading), 성숙(Maturing), 개시(Initiating)로 나누어 GDP 대비 사이버범죄의
비용의 비율을 산출

 

 

○ 시스코에서 2018년 2월에 발간한 “연례 사이버보안 보고서”

 

- 26개국 3,600명 이상의 기업 CISO와 SecOps(Security Operations)를 대상으로 조사한 결과, 53%의 공격이 최소 50만 달러 이상의 경제적 피해를 주는 것으로 나타났다. 건당 50만 달러라는 비용에는 수익 감소액과 사후의 기회비용 등이 모두 포함된 액수

 

 

○ IBM과 포네몬 인스티튜트에서 발간한 “데이터 유출 비용”

 

- 2017년 한 해 동안 데이터 침해 평균 비용은 전년대비 6.4% 증가한 386만 달러, 도난당한 데이터의
건당 평균 비용은 전년대비 4.8% 증가한 148달러로 나타남

 

 

 

 

 

 

- 원가계산(Activity-Based Costing: ABC)이라는 회계방법론을 이용

 

- 비용은 크게 직접비용, 간접비용, 기회비용 세 가지로 분류

 

- 직접비용 : 정해진 활동을 완수하기 위한 직접 지출 경비

 

- 간접비용 : 직접적인 현금 지출은 아니지만 데이터 유출 문제 해결을 위해 할당된 시간, 노력, 자원 등으로 간주

 

- 기회비용 : 미디어에 의해 공개적으로 데이터 유출이 밝혀지고 피해자들도 인지하고 난 후에 부정적 평판으로 인한 기회 손실이 유발한 비용

 

- 데이터 유출 후 지출되는 비용의 주요 활동을 감지 및 확대, 통지 비용, 데이터 침해 후 대응, 비즈니스 손실 비용 등 네 가지 프로세스로 나눔

 

 

 

■ 국내외 사이버사고 손해배상 현황

 

 

- 해외 사이버사고의 손해배상액 및 행정제재

 

 

 

 

 

- 국내 사이버사고의 손해배상액 및 행정제재

 

 

 

 

 

 

■ 국내외 사이버보험 시장 및 상품

 

 

- 한국과 미국의 사이버보험 상품 보장범위