Research Review: The Economics of Information Security Investment
Analyzed Date: 2026.03.02 - 2026.03.06 Keywords: Security Investment, Gordon-Loeb Model, Vulnerability, Expected Loss, ROSI Source: ACM Transactions on Information and System Security, 2002, Vol. 5, No. 4, pp. 438-457 https://doi.org/10.1145/581271.581274
Why This Paper?
선정 배경
이 논문을 선택한 이유:
- 앞선 6편의 논문이 거버넌스-컴플라이언스-리스크-개인 행동-감사-공급망이라는 운영 체계를 구축했다면, 이 논문은 그 모든 체계의 전제가 되는 질문인 보안에 얼마를 투자해야 하는가에 수학적 답을 제시하는 분야 창시 논문이다. Santos-Olmo(2024)의 리스크 분석 프레임워크와 Gashgari(2017)의 이사회 자원 배분 의사결정에 이론적 토대를 제공하는 위치에 있다.
- 보안 컨설팅 실무에서 가장 빈번하게 마주치는 고객 질문인 우리 회사는 보안에 얼마나 투자해야 하는가, 이 보안 솔루션이 비용 대비 효과가 있는가에 체계적으로 답하는 프레임워크를 제공한다.
- 경영진 설득이라는 컨설팅 역량과 직결된다. 기술적 위험을 재무적 언어로 번역하여 투자 의사결정을 지원하는 역량은 보안 컨설턴트의 핵심 자질이며, 이 논문이 그 언어의 이론적 기반을 제공한다.
- 1,304회 인용이라는 수치가 보여주듯, 이 논문이 제시한 프레임워크는 이후 모든 보안 투자 경제학 연구의 기준점이 되었다. Wall Street Journal, Financial Times 등 주류 언론에서도 다뤄진 분야 창시 논문이다.
학습 목표:
- Gordon-Loeb 모델의 수학적 구조와 핵심 명제(특히 1/e 규칙)를 논문에 제시된 내용 그대로 정확히 이해한다.
- 취약성과 최적 투자액의 비단조적 관계라는 반직관적 발견이 어떤 조건 하에서 도출되는지를 두 가지 보안 침해 확률 함수 클래스를 통해 파악한다.
- 이 모델의 한계를 논문이 명시한 범위 안에서 이해하고, 이를 컨설팅 상황에서 고객에게 어떻게 정직하게 전달할 것인지 사고한다.
Day 1 - Research Context & Motivation
(보안 투자의 경제학: 얼마를 써야 최적인가)
1. 연구 배경: 보안 경제학의 공백
보안 투자의 중요성
논문이 작성된 2002년 당시, 정보보안은 이미 기업의 핵심 지출 항목으로 자리잡고 있었다. 바이러스 탐지 소프트웨어, 방화벽, 암호화 기술, 침입탐지시스템, 자동 데이터 백업 등 다양한 영역에 걸쳐 기업들의 보안 지출이 증가하고 있었다. 그러나 CSI/FBI 조사 결과에 따르면 응답 기업의 91%가 최근 12개월 내 보안 침해를 경험했으며, 손실 추정을 제공한 기업들의 경우 조직당 평균 손실이 200만 달러를 초과했다. KPMG의 정보보안 조사 역시 정보보안 요구사항이 충분히 충족되지 않고 있으며, 일부 조직은 심각하게 노출되어 있다고 결론지었다.
현실의 한계
당시 정보보안 연구는 두 가지 흐름에 집중되어 있었다. 하나는 암호화, 접근통제, 방화벽, 침입탐지시스템 등 기술적 방어 수단에 관한 연구였고, 다른 하나는 보안 침해를 줄이는 행동적 측면에 관한 연구였다. 반면 경제적 측면, 즉 보안에 얼마를 투자해야 하는가에 관한 연구는 극히 드물었다. 존재하는 연구들조차 최적 투자액 도출을 위한 일반적인 지침을 거의 제공하지 못하고 있었다. 특히 기존 문헌은 취약성과 잠재 손실을 결합하여 위험이라는 개념을 도출하는 방식을 취함으로써, 취약성 변화가 최적 투자액에 미치는 영향을 독립적으로 분석하는 데 실패하고 있었다.
연구 문제의식
정보의 취약성과 보안 침해 시 잠재 손실을 고려했을 때, 정보보안에 투자할 최적 금액을 어떻게 경제 모델로 도출할 것인가?
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| 취약성(Vulnerability, v) | 보안 투자가 없는 상태에서 위협이 실현될 경우 해당 정보 집합이 침해될 확률. v ∈ [0,1] | 고객사의 특정 자산이 공격에 얼마나 노출되어 있는가를 나타내는 지표. 취약점 진단 결과를 수치화할 때 참조 가능 |
| 잠재 손실(Potential Loss, L) | 위협 확률(t)과 침해 발생 시 손실액(λ)의 곱. L = tλ. 추가 보안 투자 없이 예상되는 손실 | 고객사가 특정 자산을 보호하지 않을 경우 발생할 수 있는 재무적 피해 추정액. 경영진 설득의 핵심 수치 |
| 보안 침해 확률 함수(S(z,v)) | 보안 투자액 z와 취약성 v가 주어졌을 때 위협 실현 후 침해가 발생할 조건부 확률 | 보안 솔루션 투자가 실제로 침해 가능성을 얼마나 감소시키는지를 수치로 표현하는 함수. 솔루션 효과성 평가의 이론적 틀 |
| 기대 순편익(ENBIS) | 보안 투자의 기대 편익에서 투자 비용을 차감한 값. ENBIS(z) = [v - S(z,v)]L - z | 특정 보안 투자가 순경제적 가치를 창출하는가를 판단하는 지표. ROI 계산의 이론적 기반 |
| 위험 중립성(Risk-Neutrality) | 동일한 기대값을 가지는 투자에 대해 리스크 수준과 무관하게 무차별한 의사결정 방식 | 모델의 핵심 가정. 잠재 손실이 재앙적 수준에 달하지 않는 일반적 기업 보안 결정에 적합한 가정 |
3. 이론적 기반: 한계편익-한계비용 균형 최적화 모델
정보 집합 파라미터 설정
- λ (침해 발생 시 손실액)
- t (위협 발생 확률)
- v (취약성: 위협 실현 시 침해 확률)
- L = tλ (잠재 손실) ↓
보안 침해 확률 함수 S(z, v) 정의
- A1: S(z, 0) = 0 [완전 비취약 정보는 투자 불필요]
- A2: S(0, v) = v [투자 없으면 침해 확률 = 취약성]
- A3: Sz < 0, Szz > 0 [투자 증가 시 침해 확률 감소, 단 수확 체감] ↓
기대 편익 및 기대 순편익
- EBIS(z) = [v - S(z,v)] * L
- ENBIS(z) = [v - S(z,v)] * L - z ↓
최적화 조건 (1차 조건)
- -Sz(z*, v) * L = 1
- [한계편익 = 한계비용] ↓
핵심 결과
- z*(v) < (1/e) * vL [최적 투자액 < 예상 손실의 약 37%]
핵심 아이디어:
위험 중립 기업이 보안 투자에서 최대 기대 순편익을 얻으려면, 한계편익과 한계비용이 같아지는 지점까지만 투자해야 한다. 논문은 두 가지 광범위한 보안 침해 확률 함수 클래스에 대해 이 최적 투자액이 예상 손실의 1/e(약 36.79%) 를 초과하지 않음을 수학적으로 증명한다. 또한 취약성이 매우 높은 정보 집합의 경우 보호 비용이 과도하게 높아 투자가 경제적으로 정당화되지 않을 수 있어, 중간 수준 취약성 자산에 집중하는 것이 더 효율적일 수 있다는 반직관적 결과를 도출한다.
4. 연구의 핵심 기여
학술적 기여:
- 정보보안 투자를 경제 최적화 문제로 처음 정형화한 논문으로, 보안 경제학 이라는 연구 분야의 출발점을 만들었다.
- 취약성과 최적 투자액의 관계가 단조 증가가 아닐 수 있다는 것을 두 가지 보안 침해 확률 함수 클래스를 통해 수학적으로 증명했다. 이는 기존의 직관적 가정(취약할수록 더 투자해야 한다)을 반박하는 것이다.
- 최적 투자액의 상한이 예상 손실의 1/e 임을 두 가지 함수 클래스 모두에서 도출하여, 실무에서 참조할 수 있는 구체적 수치 기준을 처음으로 제시했다.
실무 기여:
- 보안 예산 책정 의사결정자에게 최적 투자액 = 예상 손실의 37% 이하라는 단순하면서도 검증된 상한선을 제공했다.
- 정보 집합을 낮음-중간-높음 취약성으로 분류하고 중간 수준에 집중하는 투자 전략의 이론적 근거를 마련했다.
- 보안 투자의 경제적 합리성을 기술 언어가 아닌 재무 언어(기대 손실, 한계편익, 비용-편익 분석)로 표현하는 프레임워크를 제공했다.
5. 컨설팅 관점 인사이트
적용 가능성:
이 논문의 가장 직접적인 컨설팅 활용 가치는 고객 경영진과의 대화에서 드러난다. 보안 투자에 얼마를 써야 하는가라는 질문에 대해 막연히 많이 써야 한다거나 업계 평균을 따르라고 답하는 대신, 예상 손실 L을 추정하고 그 37% 이하 를 투자 상한선으로 제시하는 구체적 논거를 갖추게 된다. 더 중요하게는, 투자액을 무작정 늘리는 것이 최적이 아니라는 논거, 즉 수확 체감의 법칙이 보안에도 적용된다는 점을 경제 모델로 설명할 수 있게 된다.
기존 학습과의 연결:
| 기존 논문 | 연결 방식 |
|---|---|
| Gashgari (2017) | 이사회가 보안 자원 배분을 의사결정하는 거버넌스 구조를 다뤘다면, Gordon-Loeb은 그 배분의 최적 수준을 계산하는 경제 모델을 제공한다. |
| Santos-Olmo (2024) | MARISMA 프레임워크가 리스크를 동적으로 측정하는 방법론을 제시했다면, Gordon-Loeb은 측정된 리스크를 바탕으로 최적 투자액을 도출하는 다음 단계를 담당한다. |
| Slapničar (2022) | 감사 효과성이 실제 공격 예방과 무관할 수 있다는 발견은, 보안 지출이 반드시 보안 효과로 이어지지 않는다는 Gordon-Loeb 모델의 수확 체감 가정과 맥이 닿는다. |
| Bulgurcu (2010) | 개인 준수 행동 모델이 인적 요인을 다뤘다면, Gordon-Loeb은 인적 요인 외 기술적 투자의 최적 수준을 다루는 상호 보완 관계에 있다. |
현실적 고려사항:
논문 자체가 명시한 한계가 중요하다. 이 모델은 단일 기간, 단일 위협, 위험 중립 기업, 재앙적 손실 제외라는 가정 하에서만 성립한다. 또한 위협 확률과 취약성을 실제로 수치화하는 절차가 논문 범위 밖이라는 점도 명시되어 있다. 고객사에 이 프레임워크를 제시할 때는 이 가정들의 범위를 솔직하게 전달하는 것이 컨설턴트의 책임이다.