해킹 또는 직원의 실수로 고객의 개인정보를 유출한 기업은 기업 신뢰도에 타격을 입지만, 회사의 가치를 매기는 주가는 큰 영향을 받지 않는 것으로 나타났다.

국내 기업의 경우 국외 기업과 달리 개인정보 유출 등 정보보안 사고 후 주가 하락 등 단기적인 타격보다 장기간 부정적인 영향을 더 많이 받는 것으로 확인됐다. 충분한 보안적 조치를 확보하지 않았을 경우 과징금과 과태료 등 행정처분을 받으며 금전적 손실을 보기도 한다.

주가 그래프 이미지 / 픽사베이
주가 그래프 이미지 / 픽사베이
한국침해사고대응팀협의회와 한국 CPO포럼은 최근 ‘개인정보 유출 사고 등 보안 사고가 주가에 미치는 영향' 보고서를 발표했다. 이 보고서에는 ‘정보보안 사고가 기업의 주식가치에 미치는 영향: 한국기업 중심으로’라는 주제의 학회 논문을 인용한 내용이 있는데, 한국의 주식시장이 정보보안 사고 시 해외 선행연구 결과와 다른 반응을 보인다고 분석했다.

논문에 따르면 사건 발생 후 1~2일 사이에 전통적인 기업보다는 온라인이나 인터넷 기업이 더 큰 손실을 보는 선행(해외) 연구와는 다르게 국내 인터넷 기업이 단기보다는 장기간에 더 부정적인 영향을 받았다. 또 선행 연구에서는 개인정보의 침해 사건이 다른 사건들에 비해 더 부정적인 영향을 미치는 반면, 국내에서는 다른 사건과 유의미한 차이를 보이지 않았다.

정보보안 사고의 부정적인 영향은 국내 시장에서 장기화한다. 이는 한국이 서구의 나라들과 비교해서 재무적 가치보다 무형의 가치에 비중을 많이 두는 경향이 있기 때문이라고 설명했다.

‘정보유출이 기업가치에 미치는 효과분석: 원천 및 장기성과’라는 제목의 다른 논문에서는 기업의 정보 유출에 대해 주식 시장이 단기간뿐 아니라 장기간에도 부정적으로 반응하고, 해킹 등 외부 요인에 의한 정보유출보다는 내부자의 고의 또는 실수 등 내부 요인에 의한 정보유출에 시장이 더 부정적으로 반응한다는 가설을 검정했다.

국내의 경우 최근 상장기업이 개인정보 유출 사실을 공식적으로 밝힌 사례가 많지 않기 때문에 연구가 쉽지 않다.

해외에서는 최근 분석 사례가 있다. 영국 보안기업 콤패리테크가 2월 발표한 보고서에 따르면 100만건이상의 개인정보 유출 사고 기업의 주가는 사고 발생 후 약 110일 만에 저점을 찍었다. 주가는 평균 3.5% 하락했고, 나스닥 지수보다 3.5% 낮았다.

해당 연구는 표본(34개 기업)이 크기가 크지 않으며, 소송 합의금과 재무보고서 등의 별도의 재무적 손실을 포함하지 않았다는 한계가 있다.

국내에서는 표본이 더 적긴 하지만 개인정보 유출 기업(상장사)과 주가 추이를 비교 분석해 본 결과, 주가에 단기적으로는 큰 영향을 미치지 않는 경우가 더 많았다. 주가가 하락하더라도 소폭 하락하고 이내 회복하는 양상을 보였다.

국내 기업 개인정보 유출 전후 주가 추이 / IT조선
국내 기업 개인정보 유출 전후 주가 추이 / IT조선
198명의 항공기 탑승객 정보가 유출된 아시아나 항공의 경우 유출 사고가 알려진 10월 14일 이후 오히려 주가가 소폭 오르기도 했다. 14일 2만3650원이었던 주가는 15일 0.4% 오른 2만3750원에 마감했다.

2017년 10월 고객정보 46만명 유출 사례가 알려진 하나투어의 주가도 오히려 유출 이후 상승세를 보였다. 9월 8만원 초반~9만원 초반대를 왔다 갔다 하던 하나투어의 주가는 10월 전반적인 상승세를 이어가더니 2018년 초 12만원대까지 상승했다.

2014년 3월 고객 980만명의 개인정보가 유출 사고가 터진 KT도 비슷한 결과를 보였다. 2014년 3월 기준 2만9000원대였던 KT 주가는 2014년 4월 오히려 상승세를 보이며 3만1000원~3만2000원대를 유지했다.

민감정보를 지닌 금융사도 별다른 타격이 없었다. 2013년 5월 16만명 고객정보를 유출당한 한화손해보험은 5월 기준 5000원대 초중반이었던 주가가 6월 4000원 후반대로 떨어지긴 했지만 7월 다시 5100원으로 금세 제자리를 찾았다. 보험사 고객 정보가 대량 유출된 것은 처음있는 일이었고, 당국의 중징계까지 받았지만 주가에는 별다른 영향이 없었던 것이다.

하지만 인터파크는 개인정보 유출 사고 이후 주가 하락세를 면치 못했다. 2016년 5월 1030만건으로 역대급 고객정보를 해킹당한 인터파크는 7월 해당 사실이 알려졌다. 같은해 7월 초 6000원 초반대였던 인터파크의 주가는 8월 초 5000원후반대까지 하락했다. 주가 감소세는 다음 해까지 이어졌고, 2017년 초에는 4000원대까지 떨어지기도 했다.

단기적으로 영향을 받은 곳도 있다. 2017년 9월 알툴즈 해킹으로 개인정보 13만건을 유출한 이스트소프트는 8월 7000원이었던 주가가 9월 들어서 6000원대로 떨어진 후 9월 26일 5780원까지 하락했지만 연말 7000원대를 회복했다.

이스트소프트의 경우 정보보안 업체를 자회사로 둔 IT기업인 데다, 안티바이러스 소프트웨어 알약으로 유명한 업체다 보니 회사 이미지에 대한 타격도 컸다.

심상현 한국침해사고대응팀협의회 사무국장은 "개인정보가 유출되면 기업 이미지에 타격을 입고, 그게 주가에 반영돼야 하지만 그렇지 않다는 것은 우리나라 정보주체의 개인정보에 대한 인식이 부족하다는 것을 보여주는 것이기도 하다"며 "개인정보 유출과 관련해 집단소송에 참여한 고객의 비율은 실제 정보가 유출된 고객에 비해 매우 적다"고 말했다.

이어 "법으로 강제하는 것보다 정보주체들이 각성하고 정보유출 시 소송에 적극 참여하는 등의 강력한 행동을 취한다면 기업들이 법보다 앞서서 고객의 정보를 지키려고 더 노력할 것이다"고 말했다"며 "개인정보 유출이 기업에 타격을 입는 분석을 보다 정확하게 하기 위해 보안전문가와 주가분석 전문가가 공동으로 하는 연구가 필요해 보인다"고 말했다.

류은주 기자 riswell@chosunbiz.com


키워드