침해 사고, 투자자들은 잊어도 은행은 잊지 않는다

보안 사고가 장기적으로는 주가 하락으로 이어지지 않는 보고서가 4월에 나왔는데, 이번에는 은행과 금전적인 관계를 맺는 게 힘들어진다는 보고서가 발표됐다. 자본주의에서는 커다란 결함이 될 수 있다.

[보안뉴스 문가용 기자] 데이터 침해 사고를 당한 기업이더라도 장기적인 주가에는 큰 영향이 없다는 연구 결과가 얼마 전 나왔었다. 하지만 사고 후 은행 이자율이 높아지는 등의 다른 손해가 발생한다고 한다. 뉴욕의 예시바대학과 홍콩의 폴리테크닉대학이 연구해 발표한 내용으로, 침해 사고를 겪은 기업은 그렇지 않은 기업보다 은행 이자를 370만 달러를 더 낸 것으로 나타났다고 한다. 반면 보안이 강력하다고 알려진 기업의 경우 이자율이 낮게 책정되기도 했다.

[이미지 = utoimage]

예시바대학의 헨리 황(Henry Huang) 교수는 “데이터 침해 사고에 대한 은행들의 생각이 드러나는 부분”이라고 짚는다. “침해 사고가 일어난 직후에는 회사의 미래에 대한 의혹이 생겨날 수밖에 없습니다. 또한 직접 및 간접 비용들이 계속해서 발생하죠. 어떤 규정이 어느 정도나 적용될 것인가? 어느 정도의 비율로 기업이 책임을 져야 하는가? 고객들이 떠날 것인가? 큰손들이 떠나면 어찌 될 것인가? 이런 의문들을 은행은 해소해야 하는데요, 은행은 태생적으로 불확실성이 가득한 상황을 싫어합니다.”

지난 4월 IO액티브(IOActive)의 연구원들은 “데이터 침해 사고 이후 기업들은 평균 5% 내외의 주가 하락을 경험한다”는 연구 결과를 발표했었다. 하지만 “대부분 2~3개월 안에 이를 회복한다”고 해 보안 사고가 회사 운영에 큰 영향을 미치지 않을지 모른다는 충격을 업계에 안겨준 바 있다. 이 내용은 본지가 이 기사(https://www.boannews.com/media/view.asp?idx=96940&direct=mobile)를 통해 다루기도 했다.

이번 두 대학이 발표한 연구 보고서의 결과와 IO액티브의 연구 결과는 “투자자들은 데이터 침해 사고에 대해 관대하지만, 은행은 그렇지 못하다”로 합쳐서 정리할 수 있다. 즉 정보 보안을 강력히 가져갈 경우, 은행으로부터 좋은 조건의 도움을 받을 수 있다는 것이다. 홍콩 폴리테크닉 대학의 부교수인 총 왕(Chong Wang)은 “자본주의 시장에서 은행으로부터 배척받는 건 꽤나 큰 페널티”라며 “이번 연구 결과가 보안의 영향력을 잘 드러냈다”고 짚었다.

연구자들은 2005년과 2014년 사이에 발생한 침해 사고 중 139개를 추려 평가했다고 한다. 관련 기업들이 이 기간 동안 받은 은행 대출을 사건 발생 2년 전과 2년 후로 나눠 분석했다고 하는데, 이것이 총 1081건에 달했다. 그 결과 침해 사고 후 기업들은 평균 370만 달러의 이자를 매년 추가로 지출해야 했다고 한다(평균 대출액은 9억 230만 달러).

“데이터 침해가 발생하기 전에는 어느 기업이나 은행에서 비슷한 수준의 대출 조건을 받게 됩니다. 하지만 침해 사고가 발생한 후의 시점부터는 취급이 확 달라지죠. 은행에서 갑자기 대출 이자를 높이는 것이죠. 그 외에도 대출 조건이 더 까다로워지고, 제한 사항도 계약서에 더 많아집니다.” 연구 보고서의 내용이다.

심지어 범죄 활동으로 인한 데이터 침해 사고를 겪었을 경우와 직원들의 실수로 벌어진 침해 사고를 겪었을 때의 은행의 태도가 달라졌다는 것도 이번 연구를 통해 드러났다. “외부 범죄자들의 공격으로 인해 데이터가 침해되었을 경우, 은행은 더 높은 이자율과 대출 조건을 제시합니다. 의료나 운송, 개인 서비스 등 개인정보가 대단히 중요한 산업에서는 발생하는 사고는 은행이 더 엄하게 다루고요. 아마 이런 산업에서는 침해 사고가 고객의 이탈로 이어지기 때문일 겁니다.”

예시바 대학의 황은 “규제가 엄격한 산업에 속해 있는 기업들은 침해 사고를 겪고 났을 때 은행의 대출이 대단히 어려워진다”고 밝히기도 했다. “규제가 엄격하다는 건 보다 높은 금액의 벌금을 낼 확률이 높다는 것이고, 시장이 의심스러운 시선으로 피해 조직을 지켜보는 경우가 보다 많다는 뜻입니다. 은행으로서는 껄끄러울 수밖에 없는 환경입니다. 그것이 엄격한 조건과 높은 이자율로 나타나는 것이죠.”

3줄 요약
1. 데이터 침해 사고 나도 장기적 주가에는 영향 없으나
2. 은행의 대출 조건은 까다로워지고 이자는 올라가는 것이 확실.
3. 은행이 엄격해진다는 건 자본주의 시장에서 활동하는 기업에게 상당한 ‘마이너스.’
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)