미국 사례를 통한 사이버 위험 발생 양상 및 개인정보 유출위험의 재정적 영향 분석과 국내 보험산업에의 시사점

정광민

한국보험학회 보험학회지 미국 사례를 통한 사이버 위험 발생 양상 및 개인정보 유출위험의 재정적 영향 분석과 국내 보험산업에의 시사점

KCI 등재

Determinants of Cyber Loss Occurrence and the Financial Impact of Data Breach Risk in the U.S. Market: Implications for the Korean Insurance Industry

정광민 ( Kwangmin Jung )

한국보험학회 2021.07

보험학회지 127권 1-41(41pages)

DOI 10.17342/KIJ.2021.127.1

UCI I410-ECN-0102-2022-300-000643864

인용하기 URL 복사 보관함 담기

미리보기

초록

본 연구는 개인정보 유출로 인한 재정적 손실 발생 및 규모를 결정하는 요인들을 분석하고 현 개인정보 유출 배상책임보험 시장에 제공하는 시사점을 살펴보았다. 지난 30년간(1992년 ~ 2020년) 미국 내 사이버 위험에 대한 개별 관측치들을 수집한 데이터를 기반으로 분석한 결과, 기업 규모가 크거나 동종업계의 기대보안 수준이 높을수록 개인정보 유출로 인한 손실을 경험할 가능성이 크다는 것을 확인하였다. 기존 연구의 결과에 따르면 경쟁사들의 기대 보안 수준이 높다는 것은 사이버상 공격자의 목표 수정이 발생하여 부정적 외부효과로 이어질 수 있다고 해석할 수 있다. 또한, 개인정보 유출 건수 및 기업 규모가 재정적 비용을 결정하는 핵심 변수임을 확인하였으며, 특히 소송을 경험하거나 금융산업에 속한 기업들(은행, 보험사)이 경험하는 재정적 비용이 그렇지 않은 기업들이 경험하는 것에 비해 더 크다는 것을 확인하였다. 한편, 손실 규모가 작은 사건일수록 개인정보 유출 건수당 비용이 더 크다는 점을 확인하였는데, 이는 유출 건수당 평균비용으로 손실액 추정 방식을 주로 고려한 기존 연구의 한계점을 드러낸다. 본 연구는 개인정보 유출로 인한 총 재정비용을 유출 사건으로 인한 순수 피해액(소송 비용이 포함되지 않은 금액)으로 대체하여 모형의 강건성을 검증하였다. 본 연구에서 도출한 결과가 향후 개인정보 유출 배상책임보험 시장 또는 사이버보험 시장의 언더라이팅에 도움이 될 것으로 기대한다.

We examine what determine cyber loss occurrence and financial costs of data breach loss events, and discuss implications of the findings for the current third-party liability insurance market of data breach risk in Korea. Using one of the largest databases for cyber risk over the last three decades in the U.S., we identify that a large-sized firm or one with a higher industry-level security is more likely to face cyber loss occurrence, where in the literature the higher industry-level security implies negative externality to increase loss probability by a target-changing plan of cyber attackers. We also find that the number of breached records and firm size are the key determinants of financial costs by data breach events. Firms with litigation or affiliated with the financial services industry (i.e. banks and insurers) tend to have more costs. We determine that a smaller-sized loss event shows larger cost per breached record, the finding that can help overcome the limitation of the literature suggesting the average cost per record for claims calculation. We check robustness of the findings using pure financial losses of events (without litigation cost) as an alternative measure to the total cost. Our findings are material for cyber insurers and market participants to better understand data breach loss events and develop the underwriting process of cyber risk.

키워드

Data breach third-party liability insurance

Ⅰ. 서 론
Ⅱ. 선행연구
Ⅲ. 모형변수 및 연구가설
Ⅳ. 실증분석
Ⅴ. 분석결과
Ⅵ. 국내 보험산업에의 시사점 및 결론

참고문헌 (0)

[자료제공 : 네이버학술정보]