인터넷은 전 세계 사람들을 컴퓨터로 연결시켜 주는 장점이 있는 반면에 익명성으로 인해 악성댓글, 해킹 등의 부작용도 유발한다. 공인인증서는 이러한 익명성으로 인한 부작용을 제거하고 해당 공인인증서의 주인이 해당 계약 등을 했다는 인감도장, 서명과 같은 개념이다.
우리는 시장경제체제에서 중요하고 기본적인 이론 중의 하나는 투자했을 때 얼마나 이익을 얻느냐 하는 ROI(Return on Investment)이다. 보안 관점에서만 보면 5중의 보안이 2중의 보안보다는 훨씬 좋겠지만 ROI 관점에서 보면 2중의 보안이 투자 대비 효과가 가장 우수할 수 있다. 그래서 보안학자, 경제학자들은 2000년대 초부터 보안에서의 ROI인 ROSI(Return on Security Investment)를 구하려고 노력해 왔다.
하지만 ROSI는 ROI와 달리 계산하는 것이 쉽지 않다. ROSI에서의 이익은 해킹 피해를 입지 않는 것인데, 여기서 해킹 피해는 해커라는 소수의 집단에 의해 발생하고 해커의 수준에 따라 피해정도가 다르기 때문에 불확실성이 매우 높다. 또한 실제 피해가 발생했을 때 피해 정도를 구하는 것도 쉽지 않다.
예를 들면, 최고의 보안전문가가 당대 최고의 보안시스템을 구축했지만 해커가 해킹에 성공하게 되면 해당 보안시스템의 ROSI는 최악이 되는 것이다. 많은 투자와 함께 해킹 피해까지 입었기 때문이다.
그래서 전문가들은 이러한 ROSI의 불확실한 부분인 피해액을 산정하기 위해 여러 가지 방안을 고안해냈으며 그 중 현재까지 가장 인정받는 방법이 Lawrence Gordon 및 Martin Loeb의 the Gordon & Loeb 모델이다. 이 모델은 해킹 등 사이버피해가 발생하면 명시적 비용과 잠재적 비용이 발생하며 각 비용은 직접비용과 간접비용으로 나뉜다는 것이다. 명시적 비용 중 직접비용은 매출이익 감소액, 간접비용은 예방 투자액, 잠재적 비용 중 직접비용은 잠재적 책임비용, 간접비용은 이미지손상, 주가하락 등이 있다.
하지만 이 방법에서 이미지손상, 예방 투자액 등은 여전히 정확한 비용을 계산하기가 쉽지 않으며 피해액의 불확실성은 여전히 존재한다. 그래서 보안 전문가들은 이를 보완하기 위해 IT투자에서의 보안투자 적정 비율 등을 구하려고 노력하고 있다.
최찬영 금융보안원 차장