2020.02.19

사이버보안 보험에 대해 알아야 할 5가지

J.M. Porup | CSO
등유에 흠뻑 젖은 걸레를 온 집안에 방치해 둔다. 줄담배를 피운다. 어느 날, 편하게 <CSI: 사이버> 한 편을 보다가 손에 들고 있던 담배를 놓쳐 소파에 불이 붙는다. 집이 다 타버린다. 보험사가 화재 보험금을 지급한다.

이런 것이 바로 오늘날 사이버 보험의 실상이다. 당연히 이런 상황은 오래갈 수 없다. 어느 시점이 오면 보험사는 중대한 과실에 대해 보험금을 지급하지 않으려 할 것이고, 손해 사정인은 청구인의 디지털 기록을 샅샅이 뒤지려 들 것이다.
 
ⓒ GettyImagesBank

사이버 보험은 기업 위험 관리에서 작지만 중요하고 가치 있는 부분을 차지할 수도 있다. 사이버 보험을 최대한 활용하기 위해서는 사이버 보험이 할 수 있는 것과 하지 못하는 것, 그리고 사이버 보험 업계가 나아가는 방향을 파악하는 것이 매우 중요하다. 사이버 보험에 대해 고려해야 할 5가지 중요한 사항은 다음과 같다.
 

사이버 위험을 어느 정도 덜 수 있는지 파악할 것

사이버 보험에 맡길 수 있는 책임은 일부에 지나지 않는다. 보험은 보안 위험을 전부 사라지게 만드는 요술 지팡이가 아니다. 사이버 보험에 가입한다고 해도 사내에 제대로 된 보안 부서를 설립하여 운영하는 힘든 일을 대체할 수는 없다.  

사이버 보안 분야에 교육이나 배경이 부족한 비전문가 임원들은 보안 담당자가 수십 년 동안 목소리 높여 경고해 왔던 위험을 과소평가하는 경우가 많았다. 보안 담당자의 예언은 맞아떨어졌다. 사이버 보험으로 PR과 사고 대응은 처리될지 몰라도 부주의로 인한 손실은 전혀 보전하지 않는다. 

그렇다면 전가 가능한 위험은 어떤 것인가? 보험사와 가입자 간에 알아서 할 문제이긴 하지만, 보통 총 손실액 중 일부만 보장된다. 에퀴팩스의 경우 자체적으로 추산한 손실액은 10억 달러에 가까웠으나 수령한 보험금은 1억 달러 안팎에 머물렀다.

대부분의 보험 약관은 앞서 언급한 PR 위험 관리 담당자, 기술 조언을 포함한 일부 사고 대응 업무, 그리고 일부 손실액을 보장한다. 그러나 중대한 보안 사고가 발생한 경우, 사이버 보험의 효과는 도끼에 찍힌 상처에 붙이는 반창고 정도에 불과할 것이다.
 

사이버 위험을 최대한 잘 측정할 것

사이버 보험이 유용한 진짜 이유는 보장 내용보다는 보험에 가입하려면 필요한 사전 작업 때문일 수도 있다. 대부분 사이버 보험 약관에는 해당 조직에 마련된 구체적인 보안 통제 조치에 대한 긴 설문지가 포함되어 있는데, 질의 내용이 점점 상세해지는 추세다. 즉, 사이버 보험에 가입만 하려고 해도 사실상 자산과 절차, 과정에 대한 감사를 실시해야 한다. 이를 통해 본인과 보험사 모두 생각할 거리를 얻게 된다.

‘생각할 거리’라고 한 것은 오늘날 사이버 위험에 대비한 보험은 과학보다는 예술에 가깝기 때문이다. 화재, 지진, 홍수 등을 다루는 확실한 보험 계리학에 비해, 사이버 보험은 아무리 생각해도 중요한 부분이 빠져 있다.

여기에는 2가지 요인이 있다. 첫째, 위협 양상이 계속 바뀌기 때문에 특정 순간에 위험을 발견해 내기가 어렵다. 둘째, 더 중요한 것은 파괴 행위에 대한 위험을 어떻게 평가할 것인가 하는 점이다. 악의를 품은 사람에 의해 지진이 발생하는 일은 없다. 방화 사건은 발생하지만, 우발적인 화재에 비해서는 드물다.

예를 들어, 2014년 당시의 소니 엔터테인먼트라면, 북한이 회사 네트워크에 침입하여 자료를 파괴하고 지적 자산(그리고 민감한 이메일)을 인터넷에 공개해 버리는 위험을 어떻게 측정할 것인가? 보험사들은 위험을 보다 과학적인 방식으로 수량화해야 한다는 것을 잘 알고 있으며, 이를 위해 분투 중이다. 그러나 문제 해결과는 아직도 거리가 멀다.
 

어떤 상황이 전쟁 면책에 해당하는지 문의할 것

낫페트야같은 사태가 다시 발생할 경우 해당 보험 약관으로 보장되는가? 캐드버리(Cadbury)와 나비스코(Nabisco)를 보유한 제과업체 몬델리즈 인터내셔널은 2017년 러시아의 지원을 받은 공격 집단의 작품으로 널리 알려진 낫페트야 와이퍼웨어에 의해 1,700대의 서버와 2만 4,000대의 노트북에 저장된 자료가 파괴되는 피해를 봤다. 몬델리즈는 가입된 보험사인 취리히 어메리칸 보험사에 보험금 1억 달러를 청구했다. 취리히 측은 낫페트야가 러시아에 의한 ‘적대적 행위 또는 전쟁에 준하는 행위’라는 이유로 보험금 지급을 거절했다. 이에 몬델리즈는 현재 취리히를 상대로 소송을 진행 중이다. 

전쟁에 대해서는 보험 가입이 가능했던 적이 없다. 또한, 전쟁 행위로 인한 손해 청구는 전통적으로 보험 약관에서 배제된다. 여기에는 함정이 있다. 해적 행위에 대한 보험 가입은 그 역사가 오래되었다. 그리고 무엇이 ‘전쟁 행위’에 해당하는지는 누가 결정하는가?

사이버보안 보험 약관을 협상할 때는 보장 내용과 보장되지 않는 내용을 확실히 해야 한다. 이러한 세부 조항 때문에 몬델리즈와 같은 처지가 되기를 바라지는 않을 것이기 때문이다.

물론, 전면전이 발발하는 경우에는 보험 약관은 여전히 도움이 안될 것이다. 사실 전쟁이 나면 보험 같은 것은 생각할 겨를도 없다. 낫페트야 공격과 같은 ‘전쟁에 준하는 행위’(또는 본 적도 생각한 적도 없는 그 어떤 것)가 발생할 경우, 그러한 만일의 사태가 보장되는지 확인해야 한다.
 

다양한 사이버 보험 제품을 알아볼 것

사이버 보험 약관의 경우 모든 것을 협상할 수 있다. 사이버 보험은 사이버 분야의 모든 것이 그렇듯이 아직 서부 개척시대 같은 상태이다. 이를 길들이기 위해 많은 사람이 노력 중이지만, 아직 그 상태에 이르지 못했다.

더구나 사이버 보안 회사들은 여전히 시장을 형성하려고 노력 중이다. 오늘날 사이버 보험의 시장 규모는 향후 규모의 10%에도 못 미칠 것이다. 즉, 조건, 그리고 특히 가격 등 모든 것이 협상의 여지가 있다는 뜻이다.

기업이 사이버 보험 약관에서 필요로 하는 것은 무엇인가? 모든 상황에 두루 적용되는 것은 없다. 수직 구조는 어떠한가? 어떤 점을 우려하고 있는가? 특히 보험으로 보장했으면 하는 구체적인 위험은 무엇인가? 위협 모델은 어떤 모습인가? 다양한 사이버보안 사고가 어떤 영향을 미칠 것인가? 

이러한 질문에 대한 답변은 기업의 네트워크, 시스템, 통제장치, 프로세스, 위험에 대해 깊고 넓게 알고 있는 사람만이 내부적으로 할 수 있다. 일찌감치 이런 사람을 찾아 보험 가입 작업에 참여시켜야 한다.
 

주의 의무를 다할 것

최신 빌딩에는 첨단 화재 진압 시스템이 구비되어 있다. 그 이유는, 화재 보험사들이 강하게 밀어붙였고, 그러한 기술을 배치하고 주의 의무를 다하는 가입자에게는 보험료를 대폭 할인해 주었기 때문이다. 정부 규정이라는 채찍과 보험료 할인이라는 당근 사이에서 건물의 안전은 더욱 강화되었다.

사이버 공간에도 같은 일이 발생할 것으로 예상된다. 사이버 보험 회사는 기업을 압박할 것이다. 저렴한 보험료를 적용받으려면 기업의 보안 프로세스와 통제장치, 직원 등의 질을 계속 높이라고 요구할 날이 머지않았다.

현재의 기업 보안은 아직 갈 길이 먼 상태이다. 사이버보안 위험에 대비할 의미 있는 보험 계리학 수립은 고사하고, 사이버보안 위험 자체와 그 측정 방법을 완전히 파악하지도 못한 상태다. 똑똑한 사람들이 이 문제 해결에 노력 중이며, 생성되는 데이터가 늘어날수록 아는 것과 모르는 것 사이의 격차가 줄어들 것이다.

아마도 많은 기업은 괜찮은 사이버 보험이 필요할 것이다. 균형 잡힌 위험 관리를 위해 사이버 보험에 가입하는 것이 현명하다. 단, 사이버 보험은 요술 지팡이는 아니며, 책임 중 일부만 전가할 수 있을 뿐이다. 나머지 일은 좋든 싫든 기업 스스로 해결해야 한다. editor@itworld.co.kr


2020.02.19

사이버보안 보험에 대해 알아야 할 5가지

J.M. Porup | CSO
등유에 흠뻑 젖은 걸레를 온 집안에 방치해 둔다. 줄담배를 피운다. 어느 날, 편하게 <CSI: 사이버> 한 편을 보다가 손에 들고 있던 담배를 놓쳐 소파에 불이 붙는다. 집이 다 타버린다. 보험사가 화재 보험금을 지급한다.

이런 것이 바로 오늘날 사이버 보험의 실상이다. 당연히 이런 상황은 오래갈 수 없다. 어느 시점이 오면 보험사는 중대한 과실에 대해 보험금을 지급하지 않으려 할 것이고, 손해 사정인은 청구인의 디지털 기록을 샅샅이 뒤지려 들 것이다.
 
ⓒ GettyImagesBank

사이버 보험은 기업 위험 관리에서 작지만 중요하고 가치 있는 부분을 차지할 수도 있다. 사이버 보험을 최대한 활용하기 위해서는 사이버 보험이 할 수 있는 것과 하지 못하는 것, 그리고 사이버 보험 업계가 나아가는 방향을 파악하는 것이 매우 중요하다. 사이버 보험에 대해 고려해야 할 5가지 중요한 사항은 다음과 같다.
 

사이버 위험을 어느 정도 덜 수 있는지 파악할 것

사이버 보험에 맡길 수 있는 책임은 일부에 지나지 않는다. 보험은 보안 위험을 전부 사라지게 만드는 요술 지팡이가 아니다. 사이버 보험에 가입한다고 해도 사내에 제대로 된 보안 부서를 설립하여 운영하는 힘든 일을 대체할 수는 없다.  

사이버 보안 분야에 교육이나 배경이 부족한 비전문가 임원들은 보안 담당자가 수십 년 동안 목소리 높여 경고해 왔던 위험을 과소평가하는 경우가 많았다. 보안 담당자의 예언은 맞아떨어졌다. 사이버 보험으로 PR과 사고 대응은 처리될지 몰라도 부주의로 인한 손실은 전혀 보전하지 않는다. 

그렇다면 전가 가능한 위험은 어떤 것인가? 보험사와 가입자 간에 알아서 할 문제이긴 하지만, 보통 총 손실액 중 일부만 보장된다. 에퀴팩스의 경우 자체적으로 추산한 손실액은 10억 달러에 가까웠으나 수령한 보험금은 1억 달러 안팎에 머물렀다.

대부분의 보험 약관은 앞서 언급한 PR 위험 관리 담당자, 기술 조언을 포함한 일부 사고 대응 업무, 그리고 일부 손실액을 보장한다. 그러나 중대한 보안 사고가 발생한 경우, 사이버 보험의 효과는 도끼에 찍힌 상처에 붙이는 반창고 정도에 불과할 것이다.
 

사이버 위험을 최대한 잘 측정할 것

사이버 보험이 유용한 진짜 이유는 보장 내용보다는 보험에 가입하려면 필요한 사전 작업 때문일 수도 있다. 대부분 사이버 보험 약관에는 해당 조직에 마련된 구체적인 보안 통제 조치에 대한 긴 설문지가 포함되어 있는데, 질의 내용이 점점 상세해지는 추세다. 즉, 사이버 보험에 가입만 하려고 해도 사실상 자산과 절차, 과정에 대한 감사를 실시해야 한다. 이를 통해 본인과 보험사 모두 생각할 거리를 얻게 된다.

‘생각할 거리’라고 한 것은 오늘날 사이버 위험에 대비한 보험은 과학보다는 예술에 가깝기 때문이다. 화재, 지진, 홍수 등을 다루는 확실한 보험 계리학에 비해, 사이버 보험은 아무리 생각해도 중요한 부분이 빠져 있다.

여기에는 2가지 요인이 있다. 첫째, 위협 양상이 계속 바뀌기 때문에 특정 순간에 위험을 발견해 내기가 어렵다. 둘째, 더 중요한 것은 파괴 행위에 대한 위험을 어떻게 평가할 것인가 하는 점이다. 악의를 품은 사람에 의해 지진이 발생하는 일은 없다. 방화 사건은 발생하지만, 우발적인 화재에 비해서는 드물다.

예를 들어, 2014년 당시의 소니 엔터테인먼트라면, 북한이 회사 네트워크에 침입하여 자료를 파괴하고 지적 자산(그리고 민감한 이메일)을 인터넷에 공개해 버리는 위험을 어떻게 측정할 것인가? 보험사들은 위험을 보다 과학적인 방식으로 수량화해야 한다는 것을 잘 알고 있으며, 이를 위해 분투 중이다. 그러나 문제 해결과는 아직도 거리가 멀다.
 

어떤 상황이 전쟁 면책에 해당하는지 문의할 것

낫페트야같은 사태가 다시 발생할 경우 해당 보험 약관으로 보장되는가? 캐드버리(Cadbury)와 나비스코(Nabisco)를 보유한 제과업체 몬델리즈 인터내셔널은 2017년 러시아의 지원을 받은 공격 집단의 작품으로 널리 알려진 낫페트야 와이퍼웨어에 의해 1,700대의 서버와 2만 4,000대의 노트북에 저장된 자료가 파괴되는 피해를 봤다. 몬델리즈는 가입된 보험사인 취리히 어메리칸 보험사에 보험금 1억 달러를 청구했다. 취리히 측은 낫페트야가 러시아에 의한 ‘적대적 행위 또는 전쟁에 준하는 행위’라는 이유로 보험금 지급을 거절했다. 이에 몬델리즈는 현재 취리히를 상대로 소송을 진행 중이다. 

전쟁에 대해서는 보험 가입이 가능했던 적이 없다. 또한, 전쟁 행위로 인한 손해 청구는 전통적으로 보험 약관에서 배제된다. 여기에는 함정이 있다. 해적 행위에 대한 보험 가입은 그 역사가 오래되었다. 그리고 무엇이 ‘전쟁 행위’에 해당하는지는 누가 결정하는가?

사이버보안 보험 약관을 협상할 때는 보장 내용과 보장되지 않는 내용을 확실히 해야 한다. 이러한 세부 조항 때문에 몬델리즈와 같은 처지가 되기를 바라지는 않을 것이기 때문이다.

물론, 전면전이 발발하는 경우에는 보험 약관은 여전히 도움이 안될 것이다. 사실 전쟁이 나면 보험 같은 것은 생각할 겨를도 없다. 낫페트야 공격과 같은 ‘전쟁에 준하는 행위’(또는 본 적도 생각한 적도 없는 그 어떤 것)가 발생할 경우, 그러한 만일의 사태가 보장되는지 확인해야 한다.
 

다양한 사이버 보험 제품을 알아볼 것

사이버 보험 약관의 경우 모든 것을 협상할 수 있다. 사이버 보험은 사이버 분야의 모든 것이 그렇듯이 아직 서부 개척시대 같은 상태이다. 이를 길들이기 위해 많은 사람이 노력 중이지만, 아직 그 상태에 이르지 못했다.

더구나 사이버 보안 회사들은 여전히 시장을 형성하려고 노력 중이다. 오늘날 사이버 보험의 시장 규모는 향후 규모의 10%에도 못 미칠 것이다. 즉, 조건, 그리고 특히 가격 등 모든 것이 협상의 여지가 있다는 뜻이다.

기업이 사이버 보험 약관에서 필요로 하는 것은 무엇인가? 모든 상황에 두루 적용되는 것은 없다. 수직 구조는 어떠한가? 어떤 점을 우려하고 있는가? 특히 보험으로 보장했으면 하는 구체적인 위험은 무엇인가? 위협 모델은 어떤 모습인가? 다양한 사이버보안 사고가 어떤 영향을 미칠 것인가? 

이러한 질문에 대한 답변은 기업의 네트워크, 시스템, 통제장치, 프로세스, 위험에 대해 깊고 넓게 알고 있는 사람만이 내부적으로 할 수 있다. 일찌감치 이런 사람을 찾아 보험 가입 작업에 참여시켜야 한다.
 

주의 의무를 다할 것

최신 빌딩에는 첨단 화재 진압 시스템이 구비되어 있다. 그 이유는, 화재 보험사들이 강하게 밀어붙였고, 그러한 기술을 배치하고 주의 의무를 다하는 가입자에게는 보험료를 대폭 할인해 주었기 때문이다. 정부 규정이라는 채찍과 보험료 할인이라는 당근 사이에서 건물의 안전은 더욱 강화되었다.

사이버 공간에도 같은 일이 발생할 것으로 예상된다. 사이버 보험 회사는 기업을 압박할 것이다. 저렴한 보험료를 적용받으려면 기업의 보안 프로세스와 통제장치, 직원 등의 질을 계속 높이라고 요구할 날이 머지않았다.

현재의 기업 보안은 아직 갈 길이 먼 상태이다. 사이버보안 위험에 대비할 의미 있는 보험 계리학 수립은 고사하고, 사이버보안 위험 자체와 그 측정 방법을 완전히 파악하지도 못한 상태다. 똑똑한 사람들이 이 문제 해결에 노력 중이며, 생성되는 데이터가 늘어날수록 아는 것과 모르는 것 사이의 격차가 줄어들 것이다.

아마도 많은 기업은 괜찮은 사이버 보험이 필요할 것이다. 균형 잡힌 위험 관리를 위해 사이버 보험에 가입하는 것이 현명하다. 단, 사이버 보험은 요술 지팡이는 아니며, 책임 중 일부만 전가할 수 있을 뿐이다. 나머지 일은 좋든 싫든 기업 스스로 해결해야 한다. editor@itworld.co.kr


X