2021.05.03

'깐깐해지고 보험료도 오른다' 사이버 보험 전망과 현명한 가입 방법

Michael Hill | CSO
전 세계의 법, 위험, 사이버 보안 전문가의 전망에 따르면, 올해 기업과 기관은 사이버 보험에 가입, 갱신하고, 보상을 받을 때 어려움을 겪을 것으로 보인다. 여러 요인이 이 부문을 더 엄격하고, 더 전문화된 포지션으로 바꾸고 있기 때문이다. 예를 들면 랜섬웨어 공격과 광범위한 공급망 보안 문제를 중심으로 2020년 전체와 2021년 첫 몇 달 동안 사이버 위협이 계속 진화했고 이로 인해 영향을 받았다.
 
ⓒ Getty Images Bank

그 결과 보험사는 올해 보험에 가입하거나 갱신하는 기업의 사이버보안 위험에 대한 분석을 강화하고, 보험료를 인상하고, 면책 조항을 더 엄격히 제한하고, 보험료를 전액 지급하는 것을 거부하거나, 심지어 보험 가입을 거절할 가능성이 있다.

미국 소재 AI 기반 사이버 보안 보험사인 카우벨 사이버(Cowbell Cyber)의 창업자 잭 쿠데일은 “사이버보안 시장이 까다로워지고 있다. 보험 서비스를 제공하는 업체는 보험 가입이나 갱신 전에 보험 계약자에 더 많은 것을 요구한다”고 말했다.

네텐리치(Netenrich)의 보안 어드바이저인 숀 코르데르는 보험사가 처음으로 보험 계약자에 사이버보안 태세의 적절성을 증명하고, 위험 노출을 최소화하고 있음을 보여주는 새로운 증거와 증명을 요구할 것으로 내다봤다.

그는 “보상 범위(커버리지)를 새로 요청할 때마다 면밀한 조사가 따라붙을 것이다. 보장 범위를 늘리거나 유지하려는 기업은 충분한 보장 범위를 확보하기 더 어려워질 수 있다. 보증 과정에 보험 계약자의 보안에 대한 관행과 위험 노출을 더 면밀히 조사할 것이기 때문이다"라고 말했다.

쿠데일도 "기업의 보험 대상 위험 프로필을 더 면밀히 평가하는 것은 환영할 변화다. 그러나 기존 보험사가 손해율을 일정 수준으로 유지하기 위해 특정 산업은 보험을 갱신하지 않거나 책임 한도를 반으로 줄이거나, 보험료를 2배 인상하는 경우도 있다"라고 말했다.
 

사이버 위협이 사이버 보험에 미치는 영향

지난해 사이버 위협은 다양한 규모의 여러 기업과 조직에 영향을 미쳤을 뿐 아니라 특정 공격 트렌드와 기법은 더 진화했다. 특히 기업의 데이터를 암호화해 랜섬을 요구하는 것은 물론, 이를 복사해 일반 대중에 공개하겠다고 위협하는 ‘다중 갈취(Multi-extortion) 공격이 증가했다.

사이버 범죄자는 데이터 암호를 풀어주고 이후 보관한 정보를 삭제해 주겠다는 위협하는 방식으로 2배의 랜섬을 요구할 수 있다. 그러나 돈을 내도 보유한 데이터가 공개되지 않는 것은 아니다. 이런 이유로 랜섬웨어 공격을 예측하기 점점 어려워지고 있다. 또한 복구에 드는 비용도 늘어나고 있다. 사이버 보험에 매우 큰 영향을 주는 이유다.

쿠데일은 “랜섬웨어 급증이 업계를 더 까다롭게 만들 것이다. 최근 솔라윈즈(SolarWinds) 해킹과 마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 공격에서 볼 수 있듯 공급망 위험이 더 커지고 있다. 2020년, 랜섬웨어 공격의 물결과 사이버 범죄, 기타 위협 때문에 보험에 계약한 기업은 이를 갱신할 때 더 많은 질문을 받게 될 것으로 보인다”라고 말했다.

실제로 사이버 보험 업계는 점점 더 어려워지고 있다. 사이버 범죄자가 의도적으로 보험을 가진 기업과 기관을 표적으로 공격한다는 증거도 있다. 랜섬웨어 공격 발생 시 재정적으로 보호를 받기 때문에 돈을 벌 확률이 더 높다고 생각하기 때문이다. 보험사도 이 부분을 더 경계하는 추세다.

A&O IT 그룹의 비즈니스 개발과 글로벌 사이버보안 책임자인 산지브 체리안은 “무서운 속도로 증가하고 있는 사이버 공격에 대한 보험사의 우려가 커지고 있다. 이들은 결국 보험료를 인상할 것이다. 보험 계약자의 위험이 자사로 옮겨올 것을 알고 있기 때문이다. 이들 보험사의 애널리스트들은 알고리즘을 개선해 보장 범위 한도에 부수적인 제한을 추가하고, 시나리오를 기반으로 사고를 다루는 세밀한 조항을 추가할 것으로 보인다"라고 말했다.
 

2021년에는 사이버 보험에 조심스럽게 접근

전문가들은 올해 사이버 보험을 구매하거나 갱신하려는 기업은 주의를 기울여야 한다고 강조했다. 프로세스를 가능한 효율적으로 만들기 위해 여러 요인과 요소를 신중하게 고려해야 한다.

첫째, 보험사는 사이버 보안에 관한 더 상세한 정보를 요구하고 있고, 보험을 제공할 기업과 방법에 더 까다로워지고 있다. 따라서 기업은 더 면밀한 심사에 대비해야 한다. 쿠데일은 “기업이 보험에 가입하기 전에 해야 할 기본적인 사항이 있다”라고 말했다.

코르데르도 “보험사의 검토 수준이 강화될 것에 대비해야 한다. 이들과 협력해 규명된 위험 노출 분야를 다뤄야 한다. 보험 보장 범위에 대한 적격성과 가격을 결정하는 주된 방법으로 진술만 요구했던 사이버 보험사에 가입했다고 하자. 이런 보험사가 위험 계산에 사용하는 모델과 역량을 바꾸면 올해 말에 보험을 갱신하는 과정에서 어려움을 겪을 수 있다”라고 말했다.

코르데리(Cordery)의 기술 및 컴플라이언스 전문 파트너 변호사인 조나단 암스트롱은 클레임 처리와 책임 있는 행동에 능숙한 보험사가 있는 반면, 경험이 많지 않은 보험사도 있다고 지적했다. 그는 “기업은 자사를 돕고, 해당 분야에 관련 경험이 있는 보험사를 신중히 선택해야 한다”라고 말했다.

코르데르는 새로 시장에 진입한 ‘새로운 세대’의 사이버 보험사를 추천했다. 그는 “이 새로운 업체는 고객과 함께 침해 사고의 비용과 영향을 줄이는 데 많은 관심이 있다. 고객과 업체 모두에 좋은 일이다. 더 많은 옵션, 보험 보장 범위 유지, 검증과 관련된 부분이 강력한 보안 관행과 통제책을 유도하기 때문이다"라고 말했다.

베털리 리스크 컨설턴트(Betterley Risk Consultants)의 대표로 배털리 보고서(Betterley Report)를 쓴 릭 베털리에 따르면, 보험사 선택과 관리 프로세스에 도움을 줄 수 있는 평판 높은 브로커 서비스를 이용하는 것도 방법이다.

그는 “브로커 업체 내부에 우리 회사와 보험사 간의 논의에 참여하고 고객 기업을 대표할 사이버 보험 중개 전문가가 있어야 한다. 중소기업이라면 담당 브로커가 사이버 보험 전문가의 지원을 받고 있는지 확인해야 한다. 시장 상황이 모든 기업에 다 불리하다며 좋지 않은 갱신 조건을 강요하거나 갱신이 아예 안됐을 때 이를 받아들여서는 안 된다. 잘 표현된 적절한 보안 위협은 보험으로 공정하게 보장받을 수 있다"라고 말했다.

사이버 보험 시장이 성장하면서 여러 보험사가 점차 더 다양한 보험을 제공하고 있다. 예를 들어 데이터 침해 사고 발생 시 매우 특별한 상황까지 커버하는 상품도 있다. 체리안은 “포렌식 비용만 다루는 보험, 서드파티와 관련된 책임 문제만 다루는 보험이 있다"라고 말했다. 하지만 대부분은 예외 조항이 있으므로 신중히 살펴야 한다. 기업이 필요로 하는 모든 우려 사항이 보장되는지 확인한 후 가입해야 한다.

또한 보험금을 청구할 때 업체가 어떻게 대응할 수 있는지도 확인해야 한다. 예를 들어, 보험 계약자가 선택한 변호사를 선임할 수 있는지, 보험사가 랜섬 지급에 관한 결정권을 가졌는지 등이다. 체리안은 “보험사가 기업의 뜻과 달리 랜섬을 지불하는 사례가 늘어나고 있다. 이 경우 규제 기관이 이를 알게 되거나 랜섬웨어 범죄자가 다시 공격했을 때 기업에 더 큰 비용이 초래될 수 있다”라고 말했다.
 

표준화된 전문 사이버 보험 산업

올해 기업은 극복해야 할 장애물, 새로운 사이버 보험 관련 문제에 직면하겠지만, 이런 변화는 사이버 보험 업계가 더 전문화되도록 하는 기폭제이기도 하다. 보험사와 기업 모두에 도움이 되는 반가운 변화이기도 하다.

쿠데일은 “사이버 보험 시장이 성숙하면서 신청부터 위험 평가, 커버리지까지 표준화의 필요성이 커지고 있다. 기업은 몇 년 전보다 더 자세한 디지털 발자국에 대한 정보를 제공해야 보험에 가입할 수 있게 됐다. 환영할 만한 변화이다. 투명성이 강화되고 보험 대상인 위험에 대한 이해가 높아지는 것, 기업에 보험을 넘어 사이버 위험에 대해 조언할 수 있는 것 등은 보험 계약자와 에이전트, 보험사, 재보험사 모두에게 이익이다"라고 말했다.

코르데르는 사이버 보험 시장의 이러한 변화가 더 헌신적이고 집중화된 시장을 만드는 데 도움이 될 것으로 기대했다. 그는 "보증이나 클레임 프로세스를 지원할 수 없는 일부 보험사는 시장에서 퇴출당할 것이다. 바면 예측과 보증에 대한 신뢰도를 높이는 모델과 기술에 투자한 보험사엔 성장의 기폭제가 될 것이다. 이런 변화가 위험 노출과 위험 그 자체를 잘 관리하는 기업에 보장 범위에 대한 옵션을 늘리는 결과로 이어졌으면 한다"라고 말했다.

올해 사이버 보험 분야는 변화가 많을 것이다. 더 전문적이고 표준화되는 것은 분명 반가운 일이다. 그러나 기업이 필요한 보장을 제공하는 사이버 보험을 적합한 조건과 조항, 비용에 확보하려면 기업 내부에 대한 실사를 반드시 해야 한다. editor@itworld.co.kr



2021.05.03

'깐깐해지고 보험료도 오른다' 사이버 보험 전망과 현명한 가입 방법

Michael Hill | CSO
전 세계의 법, 위험, 사이버 보안 전문가의 전망에 따르면, 올해 기업과 기관은 사이버 보험에 가입, 갱신하고, 보상을 받을 때 어려움을 겪을 것으로 보인다. 여러 요인이 이 부문을 더 엄격하고, 더 전문화된 포지션으로 바꾸고 있기 때문이다. 예를 들면 랜섬웨어 공격과 광범위한 공급망 보안 문제를 중심으로 2020년 전체와 2021년 첫 몇 달 동안 사이버 위협이 계속 진화했고 이로 인해 영향을 받았다.
 
ⓒ Getty Images Bank

그 결과 보험사는 올해 보험에 가입하거나 갱신하는 기업의 사이버보안 위험에 대한 분석을 강화하고, 보험료를 인상하고, 면책 조항을 더 엄격히 제한하고, 보험료를 전액 지급하는 것을 거부하거나, 심지어 보험 가입을 거절할 가능성이 있다.

미국 소재 AI 기반 사이버 보안 보험사인 카우벨 사이버(Cowbell Cyber)의 창업자 잭 쿠데일은 “사이버보안 시장이 까다로워지고 있다. 보험 서비스를 제공하는 업체는 보험 가입이나 갱신 전에 보험 계약자에 더 많은 것을 요구한다”고 말했다.

네텐리치(Netenrich)의 보안 어드바이저인 숀 코르데르는 보험사가 처음으로 보험 계약자에 사이버보안 태세의 적절성을 증명하고, 위험 노출을 최소화하고 있음을 보여주는 새로운 증거와 증명을 요구할 것으로 내다봤다.

그는 “보상 범위(커버리지)를 새로 요청할 때마다 면밀한 조사가 따라붙을 것이다. 보장 범위를 늘리거나 유지하려는 기업은 충분한 보장 범위를 확보하기 더 어려워질 수 있다. 보증 과정에 보험 계약자의 보안에 대한 관행과 위험 노출을 더 면밀히 조사할 것이기 때문이다"라고 말했다.

쿠데일도 "기업의 보험 대상 위험 프로필을 더 면밀히 평가하는 것은 환영할 변화다. 그러나 기존 보험사가 손해율을 일정 수준으로 유지하기 위해 특정 산업은 보험을 갱신하지 않거나 책임 한도를 반으로 줄이거나, 보험료를 2배 인상하는 경우도 있다"라고 말했다.
 

사이버 위협이 사이버 보험에 미치는 영향

지난해 사이버 위협은 다양한 규모의 여러 기업과 조직에 영향을 미쳤을 뿐 아니라 특정 공격 트렌드와 기법은 더 진화했다. 특히 기업의 데이터를 암호화해 랜섬을 요구하는 것은 물론, 이를 복사해 일반 대중에 공개하겠다고 위협하는 ‘다중 갈취(Multi-extortion) 공격이 증가했다.

사이버 범죄자는 데이터 암호를 풀어주고 이후 보관한 정보를 삭제해 주겠다는 위협하는 방식으로 2배의 랜섬을 요구할 수 있다. 그러나 돈을 내도 보유한 데이터가 공개되지 않는 것은 아니다. 이런 이유로 랜섬웨어 공격을 예측하기 점점 어려워지고 있다. 또한 복구에 드는 비용도 늘어나고 있다. 사이버 보험에 매우 큰 영향을 주는 이유다.

쿠데일은 “랜섬웨어 급증이 업계를 더 까다롭게 만들 것이다. 최근 솔라윈즈(SolarWinds) 해킹과 마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 공격에서 볼 수 있듯 공급망 위험이 더 커지고 있다. 2020년, 랜섬웨어 공격의 물결과 사이버 범죄, 기타 위협 때문에 보험에 계약한 기업은 이를 갱신할 때 더 많은 질문을 받게 될 것으로 보인다”라고 말했다.

실제로 사이버 보험 업계는 점점 더 어려워지고 있다. 사이버 범죄자가 의도적으로 보험을 가진 기업과 기관을 표적으로 공격한다는 증거도 있다. 랜섬웨어 공격 발생 시 재정적으로 보호를 받기 때문에 돈을 벌 확률이 더 높다고 생각하기 때문이다. 보험사도 이 부분을 더 경계하는 추세다.

A&O IT 그룹의 비즈니스 개발과 글로벌 사이버보안 책임자인 산지브 체리안은 “무서운 속도로 증가하고 있는 사이버 공격에 대한 보험사의 우려가 커지고 있다. 이들은 결국 보험료를 인상할 것이다. 보험 계약자의 위험이 자사로 옮겨올 것을 알고 있기 때문이다. 이들 보험사의 애널리스트들은 알고리즘을 개선해 보장 범위 한도에 부수적인 제한을 추가하고, 시나리오를 기반으로 사고를 다루는 세밀한 조항을 추가할 것으로 보인다"라고 말했다.
 

2021년에는 사이버 보험에 조심스럽게 접근

전문가들은 올해 사이버 보험을 구매하거나 갱신하려는 기업은 주의를 기울여야 한다고 강조했다. 프로세스를 가능한 효율적으로 만들기 위해 여러 요인과 요소를 신중하게 고려해야 한다.

첫째, 보험사는 사이버 보안에 관한 더 상세한 정보를 요구하고 있고, 보험을 제공할 기업과 방법에 더 까다로워지고 있다. 따라서 기업은 더 면밀한 심사에 대비해야 한다. 쿠데일은 “기업이 보험에 가입하기 전에 해야 할 기본적인 사항이 있다”라고 말했다.

코르데르도 “보험사의 검토 수준이 강화될 것에 대비해야 한다. 이들과 협력해 규명된 위험 노출 분야를 다뤄야 한다. 보험 보장 범위에 대한 적격성과 가격을 결정하는 주된 방법으로 진술만 요구했던 사이버 보험사에 가입했다고 하자. 이런 보험사가 위험 계산에 사용하는 모델과 역량을 바꾸면 올해 말에 보험을 갱신하는 과정에서 어려움을 겪을 수 있다”라고 말했다.

코르데리(Cordery)의 기술 및 컴플라이언스 전문 파트너 변호사인 조나단 암스트롱은 클레임 처리와 책임 있는 행동에 능숙한 보험사가 있는 반면, 경험이 많지 않은 보험사도 있다고 지적했다. 그는 “기업은 자사를 돕고, 해당 분야에 관련 경험이 있는 보험사를 신중히 선택해야 한다”라고 말했다.

코르데르는 새로 시장에 진입한 ‘새로운 세대’의 사이버 보험사를 추천했다. 그는 “이 새로운 업체는 고객과 함께 침해 사고의 비용과 영향을 줄이는 데 많은 관심이 있다. 고객과 업체 모두에 좋은 일이다. 더 많은 옵션, 보험 보장 범위 유지, 검증과 관련된 부분이 강력한 보안 관행과 통제책을 유도하기 때문이다"라고 말했다.

베털리 리스크 컨설턴트(Betterley Risk Consultants)의 대표로 배털리 보고서(Betterley Report)를 쓴 릭 베털리에 따르면, 보험사 선택과 관리 프로세스에 도움을 줄 수 있는 평판 높은 브로커 서비스를 이용하는 것도 방법이다.

그는 “브로커 업체 내부에 우리 회사와 보험사 간의 논의에 참여하고 고객 기업을 대표할 사이버 보험 중개 전문가가 있어야 한다. 중소기업이라면 담당 브로커가 사이버 보험 전문가의 지원을 받고 있는지 확인해야 한다. 시장 상황이 모든 기업에 다 불리하다며 좋지 않은 갱신 조건을 강요하거나 갱신이 아예 안됐을 때 이를 받아들여서는 안 된다. 잘 표현된 적절한 보안 위협은 보험으로 공정하게 보장받을 수 있다"라고 말했다.

사이버 보험 시장이 성장하면서 여러 보험사가 점차 더 다양한 보험을 제공하고 있다. 예를 들어 데이터 침해 사고 발생 시 매우 특별한 상황까지 커버하는 상품도 있다. 체리안은 “포렌식 비용만 다루는 보험, 서드파티와 관련된 책임 문제만 다루는 보험이 있다"라고 말했다. 하지만 대부분은 예외 조항이 있으므로 신중히 살펴야 한다. 기업이 필요로 하는 모든 우려 사항이 보장되는지 확인한 후 가입해야 한다.

또한 보험금을 청구할 때 업체가 어떻게 대응할 수 있는지도 확인해야 한다. 예를 들어, 보험 계약자가 선택한 변호사를 선임할 수 있는지, 보험사가 랜섬 지급에 관한 결정권을 가졌는지 등이다. 체리안은 “보험사가 기업의 뜻과 달리 랜섬을 지불하는 사례가 늘어나고 있다. 이 경우 규제 기관이 이를 알게 되거나 랜섬웨어 범죄자가 다시 공격했을 때 기업에 더 큰 비용이 초래될 수 있다”라고 말했다.
 

표준화된 전문 사이버 보험 산업

올해 기업은 극복해야 할 장애물, 새로운 사이버 보험 관련 문제에 직면하겠지만, 이런 변화는 사이버 보험 업계가 더 전문화되도록 하는 기폭제이기도 하다. 보험사와 기업 모두에 도움이 되는 반가운 변화이기도 하다.

쿠데일은 “사이버 보험 시장이 성숙하면서 신청부터 위험 평가, 커버리지까지 표준화의 필요성이 커지고 있다. 기업은 몇 년 전보다 더 자세한 디지털 발자국에 대한 정보를 제공해야 보험에 가입할 수 있게 됐다. 환영할 만한 변화이다. 투명성이 강화되고 보험 대상인 위험에 대한 이해가 높아지는 것, 기업에 보험을 넘어 사이버 위험에 대해 조언할 수 있는 것 등은 보험 계약자와 에이전트, 보험사, 재보험사 모두에게 이익이다"라고 말했다.

코르데르는 사이버 보험 시장의 이러한 변화가 더 헌신적이고 집중화된 시장을 만드는 데 도움이 될 것으로 기대했다. 그는 "보증이나 클레임 프로세스를 지원할 수 없는 일부 보험사는 시장에서 퇴출당할 것이다. 바면 예측과 보증에 대한 신뢰도를 높이는 모델과 기술에 투자한 보험사엔 성장의 기폭제가 될 것이다. 이런 변화가 위험 노출과 위험 그 자체를 잘 관리하는 기업에 보장 범위에 대한 옵션을 늘리는 결과로 이어졌으면 한다"라고 말했다.

올해 사이버 보험 분야는 변화가 많을 것이다. 더 전문적이고 표준화되는 것은 분명 반가운 일이다. 그러나 기업이 필요한 보장을 제공하는 사이버 보험을 적합한 조건과 조항, 비용에 확보하려면 기업 내부에 대한 실사를 반드시 해야 한다. editor@itworld.co.kr

X