우리 학교 경영과학과 안재현 교수팀이 게임 이론에 기초해 개인화 서비스를 위한 기업의 정보 보안 투자 전략을 분석했다. 이 연구 결과는 정보 시스템 분야의 세계적인 저널 <MIS Quarterly> 지난해 6월호에 게재되었다.

증가하는 개인화 서비스
결혼 정보 사이트에는 개인 정보를 입력하면 조건에 맞는 이성을 찾아주는 ‘매칭 시스템’이 있다. 이처럼, 개인 정보를 분석해 소비자에게 적합한 상품이나 서비스를 제공, 제안하는 것을 ‘개인화 서비스’라고 한다. 최근 들어 인터넷 쇼핑몰이나 신용카드 회사 등 개인화 서비스를 제공하는 회사가 증가하고 있다. 일반적으로 개인화 서비스를 제공하면 소비자도 편리하고, 기업도 이익을 증대할 수 있다. 보안이 철저한 경우 소비자가 개인 정보를 믿고 맡길 수 있고, 이로써 소비자 범위가 늘어나기 때문이다.

보안에 대한 투자는 얼마가 적당한가
그러나, 개인 정보를 수집하는 것은 큰 문제를 안고 있다. 개인 정보 보안 문제다. 얼마 전, 대형 포털 사이트가 개인 정보를 해킹당해 큰 물의를 빚은 적이 있었다. 이처럼, 개인 정보를 수집하는 것은 필연적으로 유출의 위험을 동반한다. 따라서 기업의 개인 정보에 대한 보안 규정이 필요한데, 이를 공정 정보 규정(Fair Information Practices)이라고 한다. 이 규정에 따라 개인 정보를 보호하기 위해 기업은 개인 정보 보안에 투자할 비용을 결정해야 하는데, ‘과연 얼마나 투자하는 것이 효율적인 전략인가?’라는 문제가 발생한다.

경쟁자의 전략을 예상하는 게임 이론
안 교수팀은 게임 이론을 도입해 기업들의 최종적인 투자 전략을 유추했다. 게임 이론이란 두 경쟁자가 이성적일 때 상대의 선택을 고려하면서 자신의 선택을 정하는 최종적인 전략을 분석하는 이론이다. 대표적인 예로 ‘죄수의 딜레마’가 있다. 두 공범이 붙잡혀 격리된 상태를 생각해보자. 심문을 받는 상황에서 경찰이 각자에게 거래를 제안하는데, 둘 다 함구하면 3일 정도 구류되면 되지만, 한쪽이 자백하면 상대방이 30년 형을 받게 되며, 둘 다 자백하면 20년 형을 받게 된다. 이때 둘 다 함구하는 것이 가장 이상적인 선택인 듯하지만, 최종적으로 둘 다 자백하는 최악의 선택을 하게 된다. 상대가 자백하거나 안 하거나 자신이 자백하는 것이 더 나은 이익을 가져오기 때문이다.

게임 이론 적용하려 상황 단순화해
안 교수팀은 게임 이론을 적용하기 위해 상황을 단순화했다. 우선, 시장에서 기업은 거대 기업 A와 B, 단 두 개만 있다고 가정했다. 시장 전체를 1로 보고, 크게 세 부분, 기업 A가 독점적으로 소비자를 확보한 부분, 기업 B가 독점적으로 소비자를 확보한 부분, 두 기업 모두 독점적으로 확보하지 못한 유동적인 소비자 부분으로 나누었다. 또한, 기업의 개인 정보 보안을 위한 투자에 영향을 미치는 요인을 크게 두 가지로 보았다. 하나는 투자 비용이고, 또 하나는 그 기업이 독점적으로 확보한 소비자 범위다. 양 기업은 이성적이고, 이윤을 극대화하기 위한 결정을 내린다.

독점적 소비자 범위에 따라 양상 달라져
만약 두 기업이 모두 독점적으로 확보하지 못한 소비자 부분이 넓으면 소비자층을 확보하기 위해 투자를 더 활발히 하고 유동적인 소비자 부분이 좁으면 투자가 줄어들 것으로 예상하기 쉽지만, 결과는 반대로 나타난다. 유동적 소비자 부분이 넓으면 서로 투자를 하게 되어 기업 간의 경쟁이 치열해진다. 경쟁이 심해지면 투자 비용이 높아지고, 이윤이 줄어들게 된다. 따라서 최종적으로는 한 기업이 경쟁을 포기하고 다른 한 기업만 지속해서 투자를 하게 되는 비대칭적인 양상을 보인다. 반면 독점적으로 제공하는 소비자 부분이 좁으면 개인 정보 보안에 대해 투자를 하더라도 충분히 이윤을 취할 수 있기 때문에 최종적으로 대칭적인 투자 양상이 나타난다.

안재현 교수는 이번 연구 결과에 대해 “<MIS Quarterly>는 정보 시스템 분야에서 손꼽히는 세계적인 저널이다”라며, “기존에 주를 이루던 행동 과학적인 논문에서 모형화를 통한 분석적인 논문으로 패러다임이 변하는 현재에 중요한 의미가 있는 논문이다”라고 밝혔다.