본 논문은 기업들이 빈번한 사이버 침해사고를 당하고 있는 현실에서, 사이버 침해사고를 예방하기 위한 기업들의적정한 정보보호 투자의사결정에 필요한 정보를 제공하기 위하여, 사이버 침해사고를 당한 기업들의 경제적 피해금액을 조사하기 위한 목적으로 작성되었다. 이를 위해 국내외 선행연구들을 참고하여 경제적 피해금액 산정모델을 개발하고, 최근 3년간 사이버 침해사고를 당한 국내 기업들을 대상으로 경제적 피해액을 산정하였다. 피해금액 산정모델은 정보보호 프로세스에 따라 탐지-사고조사-대응/복구-재발방지 과정별로 피해액 비용요소를 도출하되, Gordon & Loeb(2005) 모형을 참고하여 사고발생으로 직접적인 피해가 발생한 직접비용과 사고를 예방하고 탐지하는 과정에서 발생하는 간접비용으로 구분하였다. 피해를 당한 기업들을 대상으로 침해사고 분석 전문가와 함께 대면 인터뷰를 통해 침해사고 원인 및 피해상황을 재구성하고, 피해금액 항목을 도출하고, 피해금액을 산정하였다. 특히, 기업규모 및 산업 업종에 따라 정보보호 투자의사결정에 도움이 될 수 있도록 기업 규모별, 피해유형별, 산업 업종별 피해액을 산정하였다. 기업 규모별 침해사고의 경제적 피해액은 대기업(20.9억원), 중견기업(17.4억), 중소기업(4.4 억원), 비영리재단(0.2억원) 순으로 기업규모가 클수록 커지는 것으로 조사되었다. 그러나, 직접적 피해액(직접비용) 은 대기업(4.1억원)에 비해 중견기업(15.1억원)이 더 많은 것으로 나타났으며, 중소기업은 3.8억원이었다. 간접비용에 포함되는 침해사고 탐지, 재발방지 투자금액은 대기업은 16.8억원으로 직접적 피해액 대비 409%인 반면, 중견및 중소기업은 각각 2.3억원, 0.6억원으로 직접적 피해액의 12%, 15%에 해당하였다. 이는 대기업이 예방 및 재발방지를 위해 노력한 결과 직접적 피해액은 상대적으로 적은데 비해, 중견 및 중소기업은 예방을 위한 투자가 적어직접적 피해액이 큰 반면 재발방지를 위한 투자는 여전히 상대적으로 적게 되고 있음을 알 수 있었다. 중견기업, 중소기업 대상 가장 피해가 큰 피해유형은 랜섬웨어 공격으로 조사되어, 금전을 목적으로 랜섬웨어 공격을 하는 해커의 주요 타깃이 중견기업, 중소기업이 되고 있음을 확인할 수 있었으며, 중견기업 및 중소기업을 대상으로 정부의후속 지원정책이 필요한 것으로 조사되었다.