Home > 전체기사

보안 사고 일어나면 정말로 주가가 떨어지나? 조사했더니

  |  입력 : 2021-04-28 16:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
각종 보안 사고 발생시 우리는 자동으로 ‘저 회사 주가 떨어졌네’라고 생각한다. 그런데 정말 그럴까? 그렇다면 얼마나 떨어질까? 한 보안 전문가가 궁금해서 이 부분을 정말로 파헤쳐 보았다고 한다.

[보안뉴스 문가용 기자] 데이터 침해 사고가 발생하거나 랜섬웨어 공격에 당했을 때, 아니면 제품에서 취약점이 발견되어 공개됐을 때 기업들은 제일 먼저 ‘우리 주가가 떨어지려나?’라고 생각한다. 어떨까? 이번에 실제로 진행된 연구 결과에 의하면 보안 사고가 주가에 미치는 영향이 분명히 존재한다. 그러나 그 영향력의 크기는 상황에 따라 다르다.

[이미지 = utoimage]


보안 업체 아이오액티브(IOActive)의 수석 컨설턴트인 알레얀드로 헤르난데즈(Alejandro Hernandez)는 “거대한 소프트웨어 취약점이 발견된 한 회사와 함께 작업을 하다가 갑자기 주식에 미치는 영향이 궁금해졌다”고 말한다. 그래서 주가가 정말로 얼마나 떨어질지 예상했다. 그는 10%였고, 동료들은 20%에 내기를 걸었다. 하지만 취약점의 파급력에 비해 주가 하락은 미비했다. 3%에 그쳤던 것이다. 그는 이 문제를 본격적으로 조사하기로 결정했다.

먼저는 취약점이 발견되었거나 보안 사고를 겪었거나 에스피오나지 공격에 노출되었거나 프라이버시 문제로 비판을 받고 있는 기업들을 선정했다. 그리고 이들의 동향을 가까이서 살피며 여러 가지 정보를 기록했다. 회사 이름, 산업 종류, 사건의 종류, 사건 세부 사항, 사건이 세상에 알려진 날짜, 주가 추이, 주가가 정상 회복하는 데 걸리는 시간 등이었다.

조사 결과 대부분의 경우 주가가 떨어지긴 했으나 매우 작은 수준에 그쳤다. 정상 수치로 회복하는 데 걸리는 시간은 2주보다 짧았다. 그러나 분명히 큼지막하게 주가가 떨어지는 경우도 있었다. 예를 들어 2017년 에퀴팩스(Equifax) 사건의 경우, 사건이 공개되고서 1주일 만에 주가가 31%나 떨어졌다. 회복할 수 있을 거라는 예측도 거의 없었다. 하지만 2년 만에 주가는 다시 정상 궤도에 올라섰다고 한다.

최근 발생한 솔라윈즈(SolarWinds) 사태는 어떠한 결과를 초래했을까? 헤르난데즈는 이 사건을 ‘에스피오나지 공격’으로 분류했다. 국가 지원 해커들이 관여했기 때문이다. 국가 지원 해커들이 연루된 에스피오나지 공격의 경우 기업 주가에 가장 큰 타격을 준다는 게 헤르난데즈의 설명이다. “이러한 유형의 공격은 17~20%의 주가 하락을 야기합니다. 솔라윈즈도 그 정도 수준이었습니다. 다만 그 영향이 오래 가지는 않습니다. 솔라윈즈의 경우 사건이 공개되고 4개월 정도 지났는데, 현재 빠르게 회복 중에 있습니다.”

미디어에 대대적으로 보도되는 거대 사건이라고 해서 모두 큰 주가 하락으로 이어지는 건 아니라고 한다. “취약점이 공개되는 경우, 그래서 매체에 이름이 오르내리는 경우 평균 4%의 주가가 하락합니다. 회복에 걸리는 시간은 평균 1달이고요. 그런데 취약점을 공개하는 기업들의 40%가 주가의 어떠한 변동도 경험하지 않습니다. 취약점은 보안 사고 중에서 그리 큰 영향을 주지 않는 편이라고 보입니다.”

정보 유출 사고의 경우는 조금 다르다. 평균 5%의 주가 하락이 기록되었기 때문이다. “주가가 회복되는 데 걸리는 시간은 천차만별입니다. 대단히 민감한 정보가 유출된 사고의 경우라면 일반적인 경우보다 오래 걸리기도 하지요. 하지만 유출 사고를 겪은 기업의 63%가 한 달 내에 주가를 회복합니다. 신용카드 정보나 개인 식별 정보가 새나갔는데도 말이죠.”

“사실 ‘보안 사고’라는 말은 정의하기가 힘든, 너무나 광범위한 말입니다. 정보 유출 사고도 보안 사고, 랜섬웨어 공격도 보안 사고고, 취약점이 발굴된 것도 보안 사고죠. 그래서 ‘보안 사고가 주가를 떨어트린다’고 싸잡아 말하는 것도 사실 올바르지는 않습니다.”

그런 많은 유형의 사고들 중 가장 큰 피해를 끼치는 건 랜섬웨어 공격이라고 한다. “공격이 알려지자마자 주가가 떨어지지는 않습니다. 하지만 그 랜섬웨어 때문에 생산이나 배달에 차질이 생긴다는 조사 결과가 나오면 걷잡을 수 없이 주가가 떨어집니다.”

이번 조사로 새롭게 드러난 건, 사건을 겪은 기업만이 아니라 그 기업의 모기업에도 영향이 있다는 것이다. 예를 들어 야후(Yahoo)에서의 침해 사건은 모기업인 버라이즌(Verizon)의 주가 하락으로까지도 이어졌다. 2018년 왓츠앱에서 보안 취약점이 발견되자 모기업인 페이스북의 주가가 떨어졌다. 이 때문에 자기업 관리도 필수라고 헤르난데즈는 설명한다.

보안 사건이 주가에 영향을 준 건 비교적 최근서부터 나타난 현상이라고 한다. “2015년 이전에 발생한 데이터 유출 사고의 경우, 주가의 영향이 거의 없었고, 있었다 해도 1주일 안에 회복이 됐습니다.” 여기에는 소니, 타깃, JP모건, 홈데포, 앤섬에서의 대형 유출 사고들이 포함된다. “이 기업들은 지금 기준으로 엄청난 주가 하락을 겪었을지 모릅니다. 하지만 당시에는 그러지 않았습니다.”

사이버 보안 사고가 주가에 영향을 미치기 시작했다는 건, 그만큼 보안이 사업에 있어 중요한 요소라는 뜻이라고 헤르난데즈는 해석한다. “파트너 기업들과 소비자들 모두 보안에 민감해지기 시작한 게 아니라면 주가가 지금처럼 떨어지지 않았을 겁니다. 주로 쇼핑하는 곳에서 정보 유출 사고가 일어났다면, 소비자들은 다른 곳에서 쇼핑을 합니다. 주가를 관리한다는 게 보안 관리와 일맥상통한 시대가 되었습니다.”

3줄 요약
1. 사이버 보안 사고, 주가에 영향을 줄까?
2. 사고에 따라 다르지만 랜섬웨어와 에스피오나지 공격의 경우 주가 하락 심함.
3. 2014년만 해도 보안 사고는 주가와 큰 상관이 없었음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)