AI 경영 성공의 조건: 데이터 보안과 인재 확보 전략 [2025년 3월 MISQ]

HUMAN CAPITAL ACQUISITION IN RESPONSE TO DATA BREACHES.

Bana, Sarah H., Brynjolfsson, Erik, Wang Jin, Steffen, Sebastian, Xiupeng Wang

MIS Quarterly. Mar2025, Vol. 49 Issue 1, p367-388. 22p.

 

MIS Quarterly. Mar2025, Vol. 49 Issue 1, p367-388. 1p

 

CEO 인사이트

 

AI 도입 시 데이터 보안 및 유출 대응 역량 강화, 사이버보안·PR·법률 인재 선제적 확보, NICE 프레임워크 기반 조직 역량 재설계, 전략적 채용과 인적 자본 투자, 침해 대응 로드맵 구축, 리더십의 적극적 참여가 핵심입니다.

 

SK텔레콤 고객데이터 유출 보안 사고로 USIM대란이 있었습니다. 그런데 데이터 유출 사고가 SK텔레콤만 있었을가요? 데이터를 기반으로 하는 모든 기업은 데이터 유출에 대한 리스크를 항상 가지고 있습니다. 이 리스크를 어떻게 대응해야 할지에 대한 로드맵이 여기에 있습니다.

 

1. 데이터 유출의 증가와 비용

 

1) 디지털 정보의 폭증

2025년까지 매일 460엑사바이트 이상의 데이터가 생성될 것으로 추정됩니다.

"According to World Economic Forum estimates, by 2025, over 460 million terabytes of data will be created each day(세계경제포럼의 추정치에 따르면, 2025년까지 매일 460엑사바이트 이상의 데이터가 생성될 것입니다).“

 

2) 데이터 유출의 빈도 및 비용

2022년에만 4,900건 이상의 유출 사건이 발생했으며, 평균 유출당 445만 달러의 비용이 발생했습니다.

 

"The proliferation of digital information has, in turn, led to a rise in data breaches, with over 4,900 breaches in 2022 alone. Billions of exposed individual records, costing $4.45 million per breach on average(디지털 정보의 확산은 결과적으로 데이터 유출의 증가로 이어졌으며, 2022년에만 4,900건 이상의 유출 사고가 발생했습니다. 수십억 건의 개인 기록이 노출되었고, 건당 평균 445만 달러의 비용이 발생했습니다.)"

 

3) 최우선 과제

데이터 보호는 기업과 정부 모두에게 "최고의 경제적, 국가 안보 우선순위"가 되었습니다.

 

2. 데이터 유출에 대한 기업의 내부적 대응: 인적 자본 투자

 

1) 연구의 초점

기존 연구들이 주로 고객, 주식 시장, 경쟁사 등 '외부적' 반응에 초점을 맞추는 반면, 이 연구는 "기업이 데이터 유출에 내부적으로 어떻게 대응하는지, 특히 유출 후 운영을 개선하기 위한 전략적 채용과 관련하여 거의 알려진 바가 없습니다"는 점에 주목합니다.

 

2) 사이버보안 인력 수요 증가

데이터 유출 후 "침해된 기업은 사이버보안 인력에 대한 수요를 상당히 증가시킵니다." 구체적으로, 유출을 겪은 기업이 사이버보안 직무를 게시할 확률이 "2%포인트 증가하며, 이는 표본 내 평균 침해 기업의 경우 8% 증가에 해당합니다."

 

3) 시기

이러한 증가는 주로 "유출 후 두 번째 분기에 발생합니다."

 

4) 예상 임금 증가

이러한 인적 자본 투자는 연간 평균 임금 청구액을 61,961달러 증가시키는 것과 관련이 있지만, 이는 "유출 비용(손해 배상, 고객 손실 등을 포함하여 60만 달러 이상으로 추정됨)보다 10배 이상 낮은 상대적으로 적은 금액"입니다.

 

5) 홍보(PR) 및 법률 인력 수요 증가:PR

기업은 유출 후 "홍보 담당자 채용 확률을 크게 증가시킵니다." PR 전문가는 "조직, 피해자, 미디어 사이의 다리 역할을 하며, 데이터 유출이 기업의 대중 이미지에 미치는 부정적인 영향을 완화하는 데 중추적인 역할"을 합니다. 이는 특히 "유출 발표 직후인 1분기에 유의미한 채용 증가"로 나타납니다.

 

6) 법률

법률 전문가 또한 "사고 대응에 중요한 역할"을 하며, 특히 "침해된 기업이 사이버 보험을 가지고 있을 때" 더욱 그렇습니다. 연구는 데이터 유출이 "침해된 기업의 법률 직무 게시물 증가와 관련이 있습니다"는 가설(H3)을 평가하며 이를 확인합니다.

 

7) 비관련 직무에는 유의미한 변화 없음

"비관련 직무에서는 유의미한 수요 증가가 나타나지 않았습니다." 이는 기업의 채용 대응이 전략적이고 특정 역할에 집중됨을 시사합니다.

 

3. 채용 대응의 유형별 이질성 (사이버 유출 vs. 비사이버 유출)

 

1) 사이버 유출의 중요성

기업의 채용 반응은 "주로 사이버 유출로 인한 것"입니다. 사이버 공격에는 "외부 당사자의 해킹, 멀웨어 감염 또는 직불 카드나 신용 카드 관련 디지털 사기로 인한 디지털 데이터 손실"이 포함됩니다. 이는 기업이 내부적 필요에 따라 특정 역할을 전략적으로 채용함을 보여줍니다.

 

4. NICE 프레임워크를 통한 사이버보안 직무 분석

 

1) 세분화된 채용 초점

연구는 NICE 프레임워크를 사용하여 "기업이 유출 후 '감독 및 관리(Oversee and Govern)', '보호 및 방어(Protect and Defend)', '안전한 프로비저닝(Securely Provision)', '운영 및 유지 보수(Operate and Maintain)' 범주의 개선에 특히 중점을 둔다"고 밝혔습니다.

 

2) 감독 및 관리

"상대적 효과 크기가 가장 큽니다(168%)". 이는 IT 프로젝트 감사자, 프로젝트 관리자, 사이버 정책 및 전략 기획자와 같은 "사이버보안 업무를 관리하고 전략을 개발하는 인력을 채용하는 것"과 일치합니다.

 

3) 보호 및 방어

"IT 시스템 및 네트워크에 대한 위협을 식별, 분석 및 완화하는 역할(예: 취약점 평가 분석가, 사이버 방어 분석가)"에서 두 번째로 큰 효과가 나타납니다.

 

4) 수집 및 운영, 조사

"수집 및 운영" 또는 "조사" 범주에 속하는 사이버보안 역할에 대한 수요 증가는 관찰되지 않았습니다.

 

5. 관리자를 위한 시사점

 

1) 선제적 채용의 중요성

이 연구는 "사이버보안 요구 사항을 예측하여 사이버보안 준비를 강화"할 수 있는 "로드맵"을 제공합니다. 최선의 경우, "경험이 부족한 기업들이 유출 전에 선제적인 채용을 시작하도록 동기를 부여"할 수 있습니다.

 

2) 전략적 투자 벤치마크

연구 결과는 "침해된 기업이 전략적 투자 규모를 어떻게 인식하는지"를 보여주며, 다른 기업들이 자신을 비교할 수 있는 "초기 벤치마크를 제공할 수 있습니다."

 

결론

 

"데이터 유출에 대응하여 인적 자본 투자가 기업의 사이버 방어력을 형성하는 데 중요한 역할"을 한다는 점을 강조합니다. 기업은 유출 후 사이버보안, 홍보, 법률 분야의 인력을 적극적으로 채용하여 직접적인 피해를 완화하고, 이미지 실추를 관리하며, 법적 의무를 준수하려는 경향을 보입니다. 이러한 전략적 채용은 장기적인 사이버 위협에 대한 회복력과 준비성을 높이는 데 필수적인 요소입니다.

 

묻고 답하기

 

1. 데이터 침해 후 기업은 인력 채용을 어떻게 조절하나요?

데이터 침해를 겪은 기업들은 사이버 보안, 홍보(PR), 법률 분야의 인력 채용을 눈에 띄게 늘립니다. 연구에 따르면 데이터 침해 후 기업의 사이버 보안 역할 공고 게시 확률은 2.2%포인트(평균적으로 8% 증가) 증가합니다. PR 직원의 채용도 0.8%포인트 증가하고, 법률 전문가 채용도 증가하는 경향을 보입니다. 이러한 채용 증가는 특히 사이버 공격으로 인한 침해에서 더욱 두드러집니다.

 

2. 데이터 침해 후 사이버 보안 인력 수요는 얼마나 증가하나요?

데이터 침해를 겪은 기업은 사이버 보안 인력 채용 확률이 2.2%포인트 증가하며, 이는 침해 전 평균 대비 9.4% 증가한 수치입니다. 침해 후 2분기에 이러한 채용 활동이 가장 크게 증가하는 경향을 보입니다. 이러한 인력 증가는 주로 사이버 공격으로 인한 데이터 침해에 대한 대응입니다.

 

3. 기업은 왜 데이터 침해 후 PR 및 법률 전문가를 채용하나요?

PR 전문가는 조직, 침해 피해자, 언론 간의 다리 역할을 하며 기업의 대중 이미지가 부정적인 영향을 받는 것을 완화하는 데 중요한 역할을 합니다. 또한, 법률 전문가는 모든 미국 주에 존재하는 복잡한 데이터 침해 통지법을 준수하고, 잠재적인 법적 책임으로부터 회사를 보호하는 데 필수적입니다. 연구 결과에 따르면 기업들은 침해 발표 직후 PR 인력 채용을 크게 늘리며, 이는 대중의 감시를 다루기 위함입니다. 법률 인력 채용도 유사한 증가를 보입니다.

 

4. 인적 자본 투자는 데이터 침해의 경제적 비용과 비교하여 어떤 의미가 있나요?

데이터 침해는 평균 445만 달러의 비용이 들지만, 관련 직종(사이버 보안, PR, 법률)의 평균 임금 청구액 증가는 연간 61,961달러로 추정됩니다. 이는 침해 비용보다 10배 이상 낮은 상대적으로 작은 수치입니다. 이는 기업이 자산, 명성 및 고객 신뢰를 보호하기 위해 인적 자본을 확보하려는 전략적 의지를 보여줍니다.

 

5. 데이터 침해 유형이 채용 반응에 영향을 미치나요?

네, 영향을 미칩니다. 사이버 공격(외부 해킹, 악성코드 감염, 디지털 사기 등)으로 인한 데이터 침해에 대한 채용 반응은 비사이버 공격(예: 물리적 손실)보다 훨씬 두드러집니다. 이는 기업이 내부 필요에 따라 특정 역할을 전략적으로 채용하고 있음을 시사합니다.

 

6. 이전에 해당 직종을 채용한 경험이 있는 기업과 없는 기업 간에 채용 반응에 차이가 있나요?

연구 결과에 따르면 이전에 해당 직종(사이버 보안, PR, 법률) 채용 경험이 없는 기업은 침해 후 해당 직종 채용에 더 크게 반응합니다. 이는 이전에 해당 분야에서 채용 경험이 부족했던 기업들이 침해 후 인력 격차를 메우기 위해 더 적극적으로 노력하고 있음을 나타냅니다.

 

7. 데이터 침해 후 기업은 어떤 특정 사이버 보안 기능을 강화하려고 하나요?

기업은 데이터 침해 후 '감독 및 관리(Oversee & Govern)', '보호 및 방어(Protect & Defend)', '안전한 프로비저닝(Securely Provision)', '운영 및 유지보수(Operate & Maintain)'와 같은 특정 NICE(National Initiative for Cybersecurity Education) 사이버 보안 기능에 대한 채용을 집중적으로 늘립니다. 특히 '감독 및 관리' 기능(IT 프로젝트 감사관, 프로그램 관리자 등)에서 가장 큰 상대적 효과가 나타나며, 이는 사이버 보안 전략 개발 및 관리에 중점을 둡니다.

 

8. 이 연구 결과는 기업 관리자에게 어떤 실질적인 조언을 제공하나요?

이 연구 결과는 기업 관리자들에게 데이터 침해 후 발생하는 채용의 유형과 규모에 대한 구체적인 정보를 제공합니다. 이를 통해 기업은 예상치 못한 사이버 보안 위협에 대해 더 빠르게 예측하고 대응할 수 있습니다. 특히 사이버 보안에 경험이 없는 기업에게는 침해 전에 선제적으로 인력을 채용하여 대비할 수 있는 로드맵을 제시하며, breached 기업들의 전략적 투자 규모에 대한 초기 벤치마크를 제공합니다.

 

핵심 용어

 

• 데이터 침해 (Data Breach): 민감하고 보호되거나 기밀 정보가 의도치 않게 또는 허가되지 않은 방식으로 접근되거나 공개되는 보안 사고.
• 인적 자본 확보 (Human Capital Acquisition): 조직의 목표를 달성하기 위해 직원 채용, 모집, 교육 및 개발을 통해 인력을 습득하고 개발하는 프로세스.
• 사이버보안 (Cybersecurity): 컴퓨터 시스템 및 네트워크를 디지털 공격으로부터 보호하는 것과 관련된 기술, 프로세스 및 관행.
• 공공 관계 (Public Relations, PR): 조직과 대중 사이의 정보 흐름을 관리하는 것과 관련된 전략적 커뮤니케이션 프로세스. 데이터 침해 상황에서는 기업의 이미지를 복구하고 명성을 관리하는 데 중요합니다.
• 법률 관련 직무 (Legal Occupations): 법률 자문, 규정 준수, 소송 및 계약 관리와 관련된 직무. 데이터 침해 상황에서는 기업이 관련 법률 및 규정을 준수하고 법적 위험을 완화하는 데 중요합니다.
• staggered difference-in-differences (DiD): 시간 경과에 따른 개입의 인과 효과를 추정하는 데 사용되는 통계 및 계량 경제학 기법. 처리 그룹과 통제 그룹 간의 결과 변화를 비교하며, 특히 개입 시기가 단위마다 다른 경우에 유용합니다.
• Lightcast: 노동 시장 데이터를 제공하는 플랫폼으로, 이 연구에서는 기업 수준의 구인 게시물 데이터를 수집하여 채용 변화를 분석하는 데 사용되었습니다.
• NAICS 코드 (North American Industry Classification System Code): 미국, 캐나다, 멕시코에서 산업 활동을 분류하는 데 사용되는 표준 시스템. 연구에서는 산업별 분석 및 매칭에 사용되었습니다.
• 병행 추세 가정 (Parallel Trends Assumption): DiD 추정의 핵심 가정으로, 개입이 없었다면 처리 그룹과 통제 그룹이 유사한 결과를 보였을 것이라는 것을 의미합니다. 이 연구에서는 데이터 침해 전 채용 행동을 비교하여 테스트되었습니다.
• NICE 프레임워크 (National Initiative for Cybersecurity Education Framework): 사이버보안 인력에 대한 포괄적인 참조를 제공하는 프레임워크로, 사이버보안 직무를 기능 및 역량으로 분류합니다. 이 연구에서는 사이버보안 직무에 대한 대체 정의 및 효과 이질성 분석에 사용되었습니다.
• 임금 청구액 (Wage Bill): 기업이 특정 기간 동안 직원에게 지급한 총 임금 및 급여. 이 연구에서는 데이터 침해 후 추가 채용과 관련된 재정적 영향을 추정하는 데 사용되었습니다.
• 사고 대응 (Incident Response): 조직이 사이버보안 사고를 감지, 분석, 봉쇄, 제거 및 복구하는 데 사용하는 체계적인 접근 방식.