2021.02.25

뉴욕, 랜섬웨어와 솔라윈즈로 인한 비용 증가로 사이버 보험 프레임워크 발행

Cynthia Brumfield | CSO
2021년 2월 4일 뉴욕은 미국 최초로 모든 공인된 재산 및 손해 보험업체에게 사이버보안 보험 위험 프레임워크를 발행했다. 이 프레임워크를 발표하면서 뉴욕의 금융 서비스부(Department of Financial Services, DFS)는 “최근 랜섬웨어의 부상과 솔라윈즈 기반의 사이버 첩보 캠페인으로 인해 사이버보안은 이제 소비자 보호에서 국가 안보에 이르기까지 현대 생활의 모든 측면에서 매우 중요해졌다”라고 밝혔다.
 
ⓒ Getty Images Bank
  
이 프레임워크는 사이버보안 보험을 작성하는 모든 재산 또는 손해 보험업체에 적용된다. 그러나 DFS는 사이버보안 보험을 제공하지 않는 보험업체들도 이 ‘조용한 위험’에 대해 평가하고, 이를 줄이기 위한 적절한 조치를 취하길 바라고 있다. 

 
DFS의 몸값 요구에 대한 조언, "보험이 오히려 몸값을 높인다" 

DFS는 랜섬웨어 보험 청구가 2018년부터 2019년까지 180% 증가했고, 2019년부터 2020년까지 2배로 증가했다는 점에 주목하면서 보험업체에 다음과 같은 3가지 이유로 랜섬웨어 몸값을 지불하지 말 것을 조언했다.
 
미국 재무부의 해외자산통제국(OFAC)은 몸값 지불이 국가 안보에 미치는 영향에 대해 언급하면서 보험업체가 제재 대상에 지불한 몸값에 대해 책임을 질 수 있다고 경고했다. 또한 보험업체가 몸값을 지불하더라도 피해자가 암호화된 파일이나 도난당한 데이터를 되찾을 것이라는 보장이 없다. 

많은 보험업체는 아직 사이버보안 위험을 정확하게 측정할 수 없다. 게다가 사이버 보험은 사이버 위험을 증가시키는 역효과를 가져올 수 있는데, 이는 곧 보험업체에 부담으로 작용한다. 
 
DFS는 “러시아 정부가 2017년에 내놓은 ‘낫페트야(NotPetya) 악성코드로 인해 30억 달러의 보험 청구가 발생했으며, 이 가운데 보험업체는 사이버보안 위험에 대한 침묵 정책에 따라 27억 달러를 지불했다”라고 비교했다. 

뉴욕의 프레임워크 자체는 짧고 보험업체가 위험을 관리하는 데 도움이 되는 일련의 관행을 설명한다. 이런 관행은 다음과 같은 7가지 범주로 분류된다.
 
  • 공식적인 사이버 보험 위험 전략 수립
  • 조용한 사이버 보험 위험에 대한 노출 관리 및 제거 
  • 체계적 위험 평가
  • 보험 위험을 엄격하게 측정 
  • 피보험자 및 보험 생산자 교육
  • 사이버보안 전문 지식 확보
  • 법 집행기관에 고지 필요 


이미 DFS 권장 사항을 따르고 있는 주요 보험업체 

마쉬(Marsh) USA의 미국 사이버 중개업 책임자인 메레디스 슈누르는 “AIG 및 취리히(Zurich)와 같은 주요 보험업체는 대부분 권장 사항을 따르고 있다. DFS의 지침은 매우 타당하지만, 보험업체들은 이미 랜섬웨어 문제에 대처하기 위해 유사한 관행과 절차를 구현하고 있다”라고 지적했다.

뉴욕은 미 연방정부와 다른 주가 유사한 프레임워크를 구현할 수 있도록 주도할 수 있다. 슈누르는 “일부 주정부가 그들만의 방식으로 모방하는 것을 목격하게 될 것이다. 이런 몇 가지 관행에 대해서는 미 연방정부의 지침이 있다. 그러나 미국의 금융 허브인 뉴욕은 독특하며, 금융 서비스 관점에서도 유별나다”라고 설명했다. 


솔라윈즈의 교정 비용, 높아질 수 있다

잠재적으로 수천 개의 기업에 악성 백도어를 설치한 솔라윈즈는 많은 보험업체에게 동시에 피해를 입힐 수 있는 ‘체계적 위험’의 한 예이며, 보험업체를 막대하고 지속 불가능한 비용의 늪에 빠뜨릴 수 있다. DFS는 위험 프레임워크를 공개할 때 여전히 첩보 활동의 비용을 평가하고 있지만, 피해 기업의 수를 고려할 때 총 교정 비용은 상당할 것이라고 말했다. 

AON의 미국 실무 리더이자 E&O 및 사이버 책임자인 브렌트 리스는 “DFS 프레임워크는 기업이 솔라윈즈와 같은 위험을 관리해야 한다는 것을 강조하고 있다"라고 평가했다.

슈누르는 “현재까지 솔라윈즈 교정 조치에 소요되는 대부분의 비용은 교정 조치의 조사 단계에서 발생하는 이벤트 관리 또는 위기 관리 비용이다. 이런 비용에는 ‘어디에 있었는지, 어떻게 들어갔는지, 어떤 유형의 데이터 유출이 있었는지, 어떤 데이터에 접근할 수 있었는지를 파악하는 데 필요한 비용이 포함된다. 전체 비용을 산출하기에는 너무 이르다”라고 설명했다. 

리스는 “피해 기업은 최소한 사고 대응 업체인 침해 법률 고문과 계약을 체결해 조사를 진행할 것이다. 이들은 법 집행 기관에 통보하는 것을 선택할 수 있다. 이런 초기 단계에서도 비용이 발생한다”라며, “조사 과정에서 발견된 내용을 기반으로 총 비용이 얼마인지 예상하는 것은 시기상조다. 손실 관점에서 전체 비용을 파악하기까지는 꽤 오랜 시간이 걸릴 것이다”라고 예상했다.


솔라윈즈, 보험 약관의 제외 사항이 될 수 있나  

슈누르는 “보험업체들은 1월 1일부터 솔라윈즈에 대한 질문을 하기 시작했으며, 기업이 영향을 받았는지, 감염을 치료하고 있는지, 조사를 수행하고 있는지 여부를 묻기 시작했다. 중소 규모 보험업체부터 가장 큰 업체에 이르기까지 수많은 보험업체들은 솔라윈즈에 대해 알아가기 시작했다.

보험업체들은 질문을 하고 대답이 만족스럽지 않으면 약관에 대한 제외 사항으로 적용한다. 이 작업은 사건 발생 후 6~8주 정도 걸릴 것으로 보인다. 이런 제외 사항은 솔라윈즈와 관련된, 또는 이에 근거하거나 발생하는 향후 클레임이 보험 약관에 포함되지 않을 것이라고 매우 광범위하게 언급하고 있다. 

슈누르는 “브로커 관점에서 볼 때, 앞으로 약관에 대해 배제적 표현을 하는 것은 문제가 있다”며, “제외 사항으로 받아들이려면 최대한 범위를 좁혀야 한다”라고 말했다. 리스는 “보험업체들이 제안한 몇 가지 제외 사항을 확인했다. 그 제외 사항이 실제로 추가됐거나 유사한 제외가 추가된 약관을 배치했는지는 모르겠다"라고 말했다. 

솔라윈즈와 같은 사건을 제외 사항으로 적용하는 가장 큰 우려는 선례를 남긴다는 것이다. 리스는 “선례적이라는 측면에서 장기적인 의미가 될 수 있다고 생각한다. 다음에도 솔라윈즈와 같은 유형의 사건에 그대로 적용될 수 있음을 의미하는 것이다"라고 전했다.
 
리스는 "솔라윈즈 오리온 취약점에서 기인하거나, 발생하거나 이와 관련한 내용을 언급하면 문제가 발생하기 시작한다. 위협 행위자가 일반적인 위협 요소일 수 있기 때문이다. 그러나 백도어를 사용해 기업 환경에 접근하는 것과 같은 유사한 전술을 사용하는 동일한 위협 행위자이기 때문에 관련된 것으로 간주될 수 있다. 이는 약관에 포괄적인 제외 사항을 도입할 때마다 발생하는 문제로, 피보험자는 원하는 대로 적용할 수 있다"라고 경고했다.  editor@itworld.co.kr 


2021.02.25

뉴욕, 랜섬웨어와 솔라윈즈로 인한 비용 증가로 사이버 보험 프레임워크 발행

Cynthia Brumfield | CSO
2021년 2월 4일 뉴욕은 미국 최초로 모든 공인된 재산 및 손해 보험업체에게 사이버보안 보험 위험 프레임워크를 발행했다. 이 프레임워크를 발표하면서 뉴욕의 금융 서비스부(Department of Financial Services, DFS)는 “최근 랜섬웨어의 부상과 솔라윈즈 기반의 사이버 첩보 캠페인으로 인해 사이버보안은 이제 소비자 보호에서 국가 안보에 이르기까지 현대 생활의 모든 측면에서 매우 중요해졌다”라고 밝혔다.
 
ⓒ Getty Images Bank
  
이 프레임워크는 사이버보안 보험을 작성하는 모든 재산 또는 손해 보험업체에 적용된다. 그러나 DFS는 사이버보안 보험을 제공하지 않는 보험업체들도 이 ‘조용한 위험’에 대해 평가하고, 이를 줄이기 위한 적절한 조치를 취하길 바라고 있다. 

 
DFS의 몸값 요구에 대한 조언, "보험이 오히려 몸값을 높인다" 

DFS는 랜섬웨어 보험 청구가 2018년부터 2019년까지 180% 증가했고, 2019년부터 2020년까지 2배로 증가했다는 점에 주목하면서 보험업체에 다음과 같은 3가지 이유로 랜섬웨어 몸값을 지불하지 말 것을 조언했다.
 
미국 재무부의 해외자산통제국(OFAC)은 몸값 지불이 국가 안보에 미치는 영향에 대해 언급하면서 보험업체가 제재 대상에 지불한 몸값에 대해 책임을 질 수 있다고 경고했다. 또한 보험업체가 몸값을 지불하더라도 피해자가 암호화된 파일이나 도난당한 데이터를 되찾을 것이라는 보장이 없다. 

많은 보험업체는 아직 사이버보안 위험을 정확하게 측정할 수 없다. 게다가 사이버 보험은 사이버 위험을 증가시키는 역효과를 가져올 수 있는데, 이는 곧 보험업체에 부담으로 작용한다. 
 
DFS는 “러시아 정부가 2017년에 내놓은 ‘낫페트야(NotPetya) 악성코드로 인해 30억 달러의 보험 청구가 발생했으며, 이 가운데 보험업체는 사이버보안 위험에 대한 침묵 정책에 따라 27억 달러를 지불했다”라고 비교했다. 

뉴욕의 프레임워크 자체는 짧고 보험업체가 위험을 관리하는 데 도움이 되는 일련의 관행을 설명한다. 이런 관행은 다음과 같은 7가지 범주로 분류된다.
 
  • 공식적인 사이버 보험 위험 전략 수립
  • 조용한 사이버 보험 위험에 대한 노출 관리 및 제거 
  • 체계적 위험 평가
  • 보험 위험을 엄격하게 측정 
  • 피보험자 및 보험 생산자 교육
  • 사이버보안 전문 지식 확보
  • 법 집행기관에 고지 필요 


이미 DFS 권장 사항을 따르고 있는 주요 보험업체 

마쉬(Marsh) USA의 미국 사이버 중개업 책임자인 메레디스 슈누르는 “AIG 및 취리히(Zurich)와 같은 주요 보험업체는 대부분 권장 사항을 따르고 있다. DFS의 지침은 매우 타당하지만, 보험업체들은 이미 랜섬웨어 문제에 대처하기 위해 유사한 관행과 절차를 구현하고 있다”라고 지적했다.

뉴욕은 미 연방정부와 다른 주가 유사한 프레임워크를 구현할 수 있도록 주도할 수 있다. 슈누르는 “일부 주정부가 그들만의 방식으로 모방하는 것을 목격하게 될 것이다. 이런 몇 가지 관행에 대해서는 미 연방정부의 지침이 있다. 그러나 미국의 금융 허브인 뉴욕은 독특하며, 금융 서비스 관점에서도 유별나다”라고 설명했다. 


솔라윈즈의 교정 비용, 높아질 수 있다

잠재적으로 수천 개의 기업에 악성 백도어를 설치한 솔라윈즈는 많은 보험업체에게 동시에 피해를 입힐 수 있는 ‘체계적 위험’의 한 예이며, 보험업체를 막대하고 지속 불가능한 비용의 늪에 빠뜨릴 수 있다. DFS는 위험 프레임워크를 공개할 때 여전히 첩보 활동의 비용을 평가하고 있지만, 피해 기업의 수를 고려할 때 총 교정 비용은 상당할 것이라고 말했다. 

AON의 미국 실무 리더이자 E&O 및 사이버 책임자인 브렌트 리스는 “DFS 프레임워크는 기업이 솔라윈즈와 같은 위험을 관리해야 한다는 것을 강조하고 있다"라고 평가했다.

슈누르는 “현재까지 솔라윈즈 교정 조치에 소요되는 대부분의 비용은 교정 조치의 조사 단계에서 발생하는 이벤트 관리 또는 위기 관리 비용이다. 이런 비용에는 ‘어디에 있었는지, 어떻게 들어갔는지, 어떤 유형의 데이터 유출이 있었는지, 어떤 데이터에 접근할 수 있었는지를 파악하는 데 필요한 비용이 포함된다. 전체 비용을 산출하기에는 너무 이르다”라고 설명했다. 

리스는 “피해 기업은 최소한 사고 대응 업체인 침해 법률 고문과 계약을 체결해 조사를 진행할 것이다. 이들은 법 집행 기관에 통보하는 것을 선택할 수 있다. 이런 초기 단계에서도 비용이 발생한다”라며, “조사 과정에서 발견된 내용을 기반으로 총 비용이 얼마인지 예상하는 것은 시기상조다. 손실 관점에서 전체 비용을 파악하기까지는 꽤 오랜 시간이 걸릴 것이다”라고 예상했다.


솔라윈즈, 보험 약관의 제외 사항이 될 수 있나  

슈누르는 “보험업체들은 1월 1일부터 솔라윈즈에 대한 질문을 하기 시작했으며, 기업이 영향을 받았는지, 감염을 치료하고 있는지, 조사를 수행하고 있는지 여부를 묻기 시작했다. 중소 규모 보험업체부터 가장 큰 업체에 이르기까지 수많은 보험업체들은 솔라윈즈에 대해 알아가기 시작했다.

보험업체들은 질문을 하고 대답이 만족스럽지 않으면 약관에 대한 제외 사항으로 적용한다. 이 작업은 사건 발생 후 6~8주 정도 걸릴 것으로 보인다. 이런 제외 사항은 솔라윈즈와 관련된, 또는 이에 근거하거나 발생하는 향후 클레임이 보험 약관에 포함되지 않을 것이라고 매우 광범위하게 언급하고 있다. 

슈누르는 “브로커 관점에서 볼 때, 앞으로 약관에 대해 배제적 표현을 하는 것은 문제가 있다”며, “제외 사항으로 받아들이려면 최대한 범위를 좁혀야 한다”라고 말했다. 리스는 “보험업체들이 제안한 몇 가지 제외 사항을 확인했다. 그 제외 사항이 실제로 추가됐거나 유사한 제외가 추가된 약관을 배치했는지는 모르겠다"라고 말했다. 

솔라윈즈와 같은 사건을 제외 사항으로 적용하는 가장 큰 우려는 선례를 남긴다는 것이다. 리스는 “선례적이라는 측면에서 장기적인 의미가 될 수 있다고 생각한다. 다음에도 솔라윈즈와 같은 유형의 사건에 그대로 적용될 수 있음을 의미하는 것이다"라고 전했다.
 
리스는 "솔라윈즈 오리온 취약점에서 기인하거나, 발생하거나 이와 관련한 내용을 언급하면 문제가 발생하기 시작한다. 위협 행위자가 일반적인 위협 요소일 수 있기 때문이다. 그러나 백도어를 사용해 기업 환경에 접근하는 것과 같은 유사한 전술을 사용하는 동일한 위협 행위자이기 때문에 관련된 것으로 간주될 수 있다. 이는 약관에 포괄적인 제외 사항을 도입할 때마다 발생하는 문제로, 피보험자는 원하는 대로 적용할 수 있다"라고 경고했다.  editor@itworld.co.kr 


X