컴퓨터 수십만 대를 감염시킨 그룸 봇넷은 2012년 당국에 의해 활동이 중지되기 전까지 비아그라 같은 의약품을 광고하는 스팸 메일을 하루 180억 건씩 발송했다. 그룸은 약 광고를 통해 운영자에게 연간 거의 300만 달러를 벌어다 줬지만, 그보다 더 대단한 간접비용을 유발했다. 그룸은 전세계 스팸의 20%를 생성했는데, 마이크로소프트와 구글 연구원들에 의하면 이메일 필터와 저장에 세계적으로 해마다 200억 달러가 든다고 한다. 그룸의 사례는 재정구조가 비교적 잘 알려져 그 활동을 막기 위한 조치의 비용편익 분석을 가능하게 했다는 점에서 흔치 않다. 그러나 암시장에 개인정보를 제공하는 데이터 침해 같은 위협은 얘기가 다르다. 사이버 보안이 사회 비용을 절감시킨다는 점은 분명하지만 이에 대한 자세하고 구체적인 정보는 얻기 쉽지 않다. 로스 앤더슨 캠브리지대 보안공학 교수는 “대다수의 민간 보고서는 대중의 불안감 조성이 목적인 단체의 홍보물이나 마찬가지”라고 지적했다. 그는 게다가 법 집행기관과 경찰의 업무방식이 범죄자들보다도 인터넷 시대에 못 미치기 때문에 사이버 범죄 발생률이나 비용에 관한 제대로 된 통계치가 없다고 말한다. 유럽연합은 최근 연구를 통해 비용에 대한 명확한 수치가 없어 기업과 정부, 법 집행당국이 보안에 관한 올바른 결정을 내리지 못하게 됐다고 결론내렸다. 이 보고서 작성에 참여한 보안업체 사이버데프콘의 창업자 자트 아민은 “데이터가 미완성이거나 검증 불가능하다면 기업은 돈을 낭비하게 되거나 전혀 쓰지 않을 가능성이 높다. 결국 자기 자신과 소비자들을 공격에 노출시키는 것”이라고 말했다. 캠브리지대의 앤더슨과 동료들은 그러한 혼란을 해소할 수 있는 연구센터 건립을 준비 중이다. 캠프리지 클라우드 사이버 범죄센터는 일종의 대기업 데이터 교환소의 역할을 할 것이다. 여기서 취합한 데이터로 범죄활동의 패턴을 식별할 수 있다. 앤더슨은 “사이버 범죄에 대해 조치를 취하려면 우선 측정부터 가능해야 한다”고 말한다. 구글, 야후 등 데이터 기부에 관심 있는 기업들과 논의를 진행하고 있다. 앤더슨은 “드디어 이 분야를 대하는 방식의 차원이 달라질 것”이라고 기대했다. 그는 새로운 자료 덕분에 전보다 훨씬 적극적인 대응을 할 수 있도록 사이버 보험의 양식과 비용에 대한 지식이 늘 것으로 기대했다. 전세계 사이버 범죄 비용의 대략적 통계수치 미국 국제전략연구소와 인텔시큐리티가 2014년 진행한 분석조사에 따르면 전세계 사이버 범죄의 비용이 연간 5750억 달러 혹은 전세계 GDP의 0.8%를 차지한다. 비교를 위해 다른 유형의 범죄가 차지하는 GDP 비율도 소개한다. <본 기사는 테크M 제35호(2016년3월) 기사입니다>