Offcanvas

CIO / CSO / 리더십|조직관리 / 보안 / 분쟁|갈등 / 비즈니스|경제

'무엇을? 어떻게? 얼마나?' 사이버 보험 가입 전 확인할 것들

2016.07.12 Clint Boulton  |  CIO
다수의 보안 전문가에 따르면, 사이버보안 사고 때문에 사이버 보험이 인기를 끌 수도 있지만 사이버 보험의 보호 대상부터 피해 범위 등 복잡한 문제들이 있다. 



사이버 보안 사고가 발생한 이후 CIO나 CISO는 피해 규모를 산정하는 일을 맡는다. 이때 기업이 제시한 피해 보상을 선뜻 받아들이는 소비자는 별로 없으며 오히려 비난하는 사람들은 많다. 그리고 사이버 보험료를 청구하는 것과 관련해 이러한 비난은 더욱 거세진다.

일반적으로 기업 사이버 보험에 관한 논의는 다음과 같이 진행된다. CEO나 이사회장이 CISO를 호출하고 보험사가 청구 금액의 38%만 지불할 것이며 그 이유가 "영향을 받는 애플리케이션에서 암호화를 이행하지 않았기 때문"이라고 이야기한다.

이때 CISO는 다음과 같이 말한다.

"첫째, 나는 회사가 사이버 보안 보험에 가입했는지 몰랐다. 둘째, 영향을 받는 앱은 ATM 기계를 운용하고 있으며 이를 암호화하면 고객들의 접근이 불가능했을 것이기 때문에 분명 나를 해고했을 것이다. 이러한 정책을 실행하기 전에 나와 논의했어야 했다."

사이버 공격에 대한 대비책으로 회사가 보험에 가입했다는 이야기는 실제 비즈니스 사례보다는 미국 드라마인 ‘실리콘밸리(Silicon Valley)’의 에피소드처럼 들릴 것이다. 하지만 PPRA(PivotPoint Risk Analytics)의 CEO 줄리안 웨이츠 주니어(왼쪽 사진)는 해킹 발견 시 이러한 일이 자주 발생한다고 밝혔다. 그는 "CISO에게 알리지 않고 사이버 보험에 가입한다"며 "재무 위험 전가 문제를 해결하기 위해 서로 협력해야 한다고 생각하는 것들에 관해 논의하지 않는 경우가 많다"고 지적했다.

무엇을 보호해야 하나? ‘합의’된 내용이 없다
CISO와 논의하지 않고 사이버 보험에 가입한 결과, 기업들은 보험 증서에서 말하는 ‘보호 범위’에 관해 잘 모르며 잘못된 대상에 보험을 적용하는 바람에 부적절한 사이버 보안 시험 절차와 감사, 오래된 패치, 부적절한 사이버 사건 대응 계획, 부적절한 백업 및 복구 프로세스 등을 이유로 보험료 청구를 거부당하게 된다.

한편, 보험사는 기업 고객의 특정 요구 사항에는 반드시 부합해야 하는 것은 아니지만 모든 증서에 적합한 총체적인 위험 모델을 토대로 보험 규정을 구성한다. PwC에 따르면 전세계 사이버 보험 시장에서 연간 보험료가 2018년까지 50억 달러로, 2020년까지 75억 달러로 성장할 것으로 전망되는데, 보험사가 총체적인 위험 모델을 토대로만 사이버 보험 규정을 작성한다면 이 같은 성장 전망에 제동이 걸릴 수 있다.

사이버 보험에 대해 더욱 잘 파악하기 위해 웨이츠 주니어는 IT회사와 보험사의 투입 요소를 기준으로 조사했다. SANS의 애널리스트 바바라 필킨스가 쓴 보고서 ‘보험/정보보안의 간극 메우기: SANS 2016 사이버 보험 조사(Bridging the Insurance/InfoSec Gap: The SANS 2016 Cyber Insurance Survey)’를 위해 사이버 보안 연구소 어드바이슨(Advisen)은 195개의 보험사 및 중개사를 대상으로 설문조사를 실시했고 SANS 인스티튜트는 203명의 정보보안 및 IT 전문가를 대상으로 조사했다.

필킨스는 사이버 보험 증서를 효과적으로 작성하기 위해서 다음의 4가지 분야에서 해결해야 하는 문제점을 발견했다.

• 용어. 정보보안 및 보험 전문가들은 ‘위험’의 개념에 대해 기업과 보험사 간의 합의된 정의가 없다고 지적했다. 정보보안 담당자들은 위협과 취약성 측면에서 생각하고 방어책, 정책, 프로그램을 구축하여 이를 없앤다. 반면, 보험사는 조직의 사이버 사건으로 인한 금융 손실 감소 측면에서 생각한다.

• 평가. 평가 프레임워크는 최소 수준의 사이버 보안에 대한 표준 활동, 지표, 비용을 기준으로 다른 조직 및 규정에 대한 방어책을 측정하고 참조하는 데 사용된다. 하지만 보험사는 정성적 모델보다는 정량적 모델을 우선시하며, 정보보안 담당자 가운데 구체적인 정량적 모델을 채택했다고 말한 응답자는 25%에 불과했다.

• 커뮤니케이션. 커뮤니케이션 단절 문제는 정보보안 담당자와 보험사 간에만 있는 게 아니라 정보보안 전문가와 위험 관리자 그리고 보험사 간에도, 손해사정사와 중개인 간에도 있다.

• 투자. 손해사정 기준으로 투명하지 않다는 문제는 사이버 보험이 필요한 구매자가 여기에 투자하지 않는 결과를 낳았다. 정보보안 담당자들은 막연히 보험이 적용될 것으로 생각하며 선뜻 보험에 가입한다고 생각할 수 있다. 아니면 가입한 보험이 자사의 손실과 일치하지 않아 청구가 거부될 것으로 생각할 수 있다. 또 변호사가 해석해야 하는 정책을 넣거나 뺌으로써 상황이 더욱 복잡해질 수 있다. 예를 들어, P.F. 챙(Chang)은 보험사로부터 2014년 해킹 사전 이후의 집단 소송에서 해킹 후 비용 및 방어를 위해 170만 달러를 보상받았다. 하지만 이 회사는 PCI DSS 평가를 위해 신용카드 처리기에 쏟아부은 190만 달러를 보상받지 못했다.

CISO는 사이버 보험 가입에 반드시 개입해야 한다
간호 제공 시설 제공사인 CSH(Creative Solutions in Healthcare)의 CIO 겸 CISO인 숀 위오라는 SANS 보고서에서 말한 문제가 사이버 보험 증서 평가 및 구매와 관련된 자신의 경험과 일치한다고 이야기했다. 위오라는 NIST(National Institute of Standards and Technology)가 수립한 사이버 프레임워크에 기준으로 한 자신의 보안 모델과 비교했을 때 많은 증서가 부족하다는 사실을 발견했다. 그는 CISO가 구매하기로 선택한 증서와 자신의 보안에 대한 태도를 연계시키는 데 도움이 되는 툴 또는 평가 지표가 있다고 말했다. 또 다른 문제는 사이버 보험 청구로 기업들이 받은 금액이 너무 적었기 때문에 기업들이 이를 잘 모른다는 점이다.

위오라에 따르면, 사이버 보험은 모두가 알고 싶어 하는 부분이지만 사람들은 사이버 위험 논의 자체를 불편해하기 때문에 그 누구도 이야기하고 싶어 하지 않는다. 그는 자사의 임원 전체에 사이버 위험 및 보험에 관해 교육하기 위해 조처를 했다. 위오라는 "많은 것이 혼란스럽고 아직 초기 단계"라며 "보험사들을 이를 이해하지 못한다"고 말했다.

그렇다면 CISO와 CIO는 무엇을 해야 할까? 어드바이슨의 공동 설립자 겸 CSO 데이비드 K. 브래드포드는 "CISO가 초기 단계부터 개입해 회사의 어떤 정보가 유출됐을 때 어떤 피해가 발생하는지를 정리하고 위기 관리자와 협력해 이런 위험이 무엇인지 파악해야 정확한 보호 범위를 선택할 수 있다"고 조언했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.