Offcanvas

보안

'사고 나도 보상 못 받는다던데···' 사이버 보안 보험 들어야 할까

2019.06.28 Charlotte Trueman  |  Computerworld UK
사이버보안이 대부분 기업의 가장 중요한 현안이라는 것은 두말할 나위가 없다. 일부 형태의 공격은 줄고 있지만 데이터 유출로 고통받는 기업의 끔찍한 이야기와 그 재앙적 결과가 끝없이 회자하고 있다.



실제로 지난달 노르웨이의 알루미늄 생산업체 노스키 하이드로(Norsk Hydro)가 랜섬웨어 공격을 받아 170개 지역에서 총 2만 2000대의 컴퓨터를 오프라인으로 전환해 사용해야 했다. 업체는 컴퓨터 복구를 놓고 해커와 협상하지 않기로 최종적으로 결정했지만 오프라인 상태인 장비를 다시 온라인으로 전환하는 데 현재까지 4500만 유로 이상을 사용했다.

데이터가 점점 더 기업 비즈니스 모델의 중추 역할을 하고, 데이터 보호를 소홀히 했을 때의 벌금과 사회적 반향의 위험이 커지면서, 최악의 경우 심각한 데이터 유출로 인해 회사가 문을 닫아야 할 수도 있다. 불행하게도 전통적인 사이버 보안 대책은 점점 증가하는 복잡하고 표적화된 공격을 막는 데 완벽하지 않다. 더욱이 국가의 지원을 받는 해킹이 만연하면서, 이제는 많은 기업이 데이터 유출을 마치 죽음과 세금처럼 '피할 수 없는 것'으로 봐야 하는 것은 아닌지 우려하고 있다.

그렇다면 이런 우려의 해법은 무엇일까? 보험이 한가지 대안이 될 수 있다. 예를 들어 기업이 물리적인 자산을 도둑맞으면 적절한 보험을 통해 손해를 메울 수 있다. 같은 방식을 데이터 유출에도 적용하는 것이다. 즉 사이버 보험이다. 남은 의문은 이런 보험이 노스키 하이드로 같은 대규모 공격의 피해를 줄이는 데 실제로 도움이 될지다.

사이버 보험은 기업을 보호할까
사이버 보험은 새로운 개념이 아니다. 이미 1990년대에 처음 등장했고 이후 점점 인기를 얻고 있다. 그러나 텔스트라 시큐리티(Telstra Security)의 최신 보고서에 따르면, 사이버 보안 보험에 가입한 기업의 36%가 사이버 공격을 받았을 때 어떤 보장을 받을 수 있는지 여전히 많은 부분이 모호하고 의문투성이라고 답했다.

실제로 올해 초 미국 식료품 업체인 몬델레즈(Mondelez)가 서버 1700대와 노트북 2만 4000대에 낫페트야(NotPetya) 랜섬웨어 공격을 받았을 때 주리치 아메리카 인슈어런스 컴퍼니(Zurich American Insurance Company)는 보상금 지급을 거절했다.

보험 규정에는 '전자적 데이터와 프로그램 또는 소프트웨어에 대한 물리적 손실 혹은 피해'를 보상한다고 돼 있었다. 여기에는 악의적인 기계 코드나 명령의 삽입에 의한 손해와 피해가 포함된다는 내용도 있었다. 그러나 주리치는 사이버 공격은 '전쟁 행위(act of war)'의 일환이므로, 전쟁이나 천재지변으로 인한 피해를 보상하지 않는 약관에 따라 보상금을 지급할 수 없다고 버텼다. 결국 몬델레즈는 보험사를 상대로 1억 달러 규모의 소송을 제기했다.

에퀴팩스(Equifax)의 데이터 유출 사고도 논쟁거리다. 1억 4700만 명 이상의 개인정보가 유출됐고 기업은 4억 3900만 달러의 손실을 봤다. 그러나 보험으로 처리된 부분은 일부에 불과했다. 최종적으로 에퀴팩스는 보험사로부터 1억 2500만 달러 정도를 받았다.

사이버 보안 전문업체 레피드파이어 툴스(RapidFire Tools)의 대표이자 제너럴 매니저인 마이클 미텔은 "최근 들어 사이버 보험 제품을 둘러싼 혼란이 많이 늘어났다. 중소중견기업 수천 곳이 기술적 우발사고에 대비할 수 있다는 보험사의 말을 믿고 가입하고 있기 때문이다. 그러나 보험사의 이런 홍보는 종종 공허한 것이 되곤 한다"라고 말했다.

기업이 보장 범위를 명확하게 하지 않은 채 보험 상품을 구매하면, 약관에 따라 어떤 상황에서 어떤 보상을 받을 수 있는지 거의 알 수 없는 상황이 된다. 그렇다면 기업은 사이버 공격에 의한 매출 손실을 실제 보험 보장을 받을 수 있을까? 아마도 쉽지 않을 것이다. 랜섬웨어로 암호화돼 더는 사용할 수 없는 하드웨어를 대체 구매하는 비용은 어떨까? 이것은 아마도 가능할 수 있다. 해킹이 불법적인 침략 행위이고 법적으로 공격자를 증명해야 보상할 수 있다는 보험사에는 어떻게 대응해야 할까? 이는 현재 진행 중인 주리치에 대한 법원 판례가 답변이 될 것이다.
 
위험을 관리하는 더 좋은 방법
노스키 하이드로가 랜섬웨어 공격을 받은 후 다양한 기업이 노스키 하이드로가 강력한 사이버 보험에 가입했다는 점에 주목했다. 그러나 노스키 하이드로의 CFO 이바인 칼러빅에 따르면 이 보험은 보상금 한도가 있다. 그는 구체적인 액수를 밝히지 않았지만 노스크 하이드로가 이번 공격에 따른 손해를 메우기에는 여전히 많이 부족한 상황이다. 사이버 보험을 둘러싼 또 다른 어려움은 기업이 보안 위험을 산출하는 것이다. 다양한 업종의 여러 기업의 상황을 고려해 계산하는 것은 쉬운 일이 아니다. 데이터 유출 피해를 봤다고 기꺼이 공개하는 경우도 많지 않아, 사이버 보험 시장에 새로 진출하려는 보험사가 필요한 데이터를 찾는 데부터 어려움을 겪을 정도다.

더구나 보험을 구매하는 것은 일반적으로 CFO의 승인 사항이다. 이는 곧 기업 내 보안 전문가가 약관 검토 과정에서 깊숙이 개입하지 못할 수 있음을 의미한다. 그 결과 기업이 필요로 하는 보장 수준을 맞춰 보험 규정을 검토하는 경우는 매우 드물다. 보안 전략에서 이러한 차이는 결과적으로 데이터 유출이 발생했을 때 보험 계약자를 더 불리하게 만든다.

액센추어 디지털(Accenture Digital)의 매니징 디렉터 조지 마코트는 "기업이 보험에 가입할 때 보호해야 할 자산은 아직도 전통적인 5개 구분에 머물러 있다. 재정, 설비, 관계, 조직, 사람이다. 데이터는 아직 이 범주에 들어가지 않았다. 오직 새로운 플랫폼 기업 만이 데이터를 6번째 자산으로 본다. 그들은 이 새로운 자산을 보험으로 보호하는 것은 물론 여기에 투자하는 그다음 단계로 나아가고 있다. 이제 데이터는 기업의 성공에 점점 더 핵심 요소가 되고 있다. 따라서 이를 보호하기 위해 모든 수단을 마련하지 않는 것은 기업의 가장 매력적인 부분을 보호하지 않은 것과 다를 바 없다"라고 말했다.

한 가지 긍정적인 것은 최근 판매를 시작한 사이버 보험은 가입 전 기업이 보안 위협을 측정하도록 한다는 점이다. 이러한 측정 작업은 천차만별이기는 하지만, 보안 전략을 객관적으로 평가하는 외부 업체를 두고 패치나 암호화 같은 기본적인 작업이 이루어졌는지 확인하는 것은 장기적으로 위험을 낮추는 데 도움이 될 수 있다.

정리하면 현시점에서 사이버보안 부문에서 보험이 한 대안인 것은 분명하다. 그러나 이 사이버 보험이 제 역할을 하려면 보험사는 물론 여기에 가입하는 기업 역시 해야 할 작업이 많다. 가장 우려되는 것은 오늘날 사이버 보험의 투명성의 부족 상황이 계속되는 것이다. 이런 상태가 지속하면 보험사에 대한 신뢰가 망가질 뿐만 아니라 기업은 해킹으로 인해 얼마나 재무적인 피해를 볼 수 있는지 그저 어둠 속에서 떨어야 한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.