사이버 보험 What is cyber insurance and why you need it
해킹으로 고객정보 유출한 소니,
보험금 지급요청 소송 패소하면서 수면 위
해킹사고 걱정 끝?
자동차 보험과 비교해본 국내 사이버 보험 현황
과거와 달리 해킹이 자기 만족에서 금전적 이득을 취하는 방향으로 바뀌고, 랜섬웨어 등 돈을 요구하는 사이버 공격이 다양화되면서 이로 인해 금전적 손실을 입는 기관이나 기업들이 기하급수적으로 늘어나고 있다.
source Apphocus
What is cyber insurance and why you need it
edited by kcontents
하지만 지난 2011년 고객정보 유출로 피해를 입은 소니가 보험금을 받기 위한 지급요청 소송에서 패소하면서 일반보험으로 사이버 공격에 대한 피해 보상을 받는 것은 더 이상 어렵게 됐다는 견해다.
사이버 보험의 등장
이런 상황에서 빛을 보기 시작한 게 바로 ‘사이버 보험’이다. 앞서 예를 들었던 소니는 물론 홈 데포(Home Depot), JP 모건 체이스 등 미국 대형기업들이 사이버 공격으로 고객정보가 유출된 이후, 경제적 손실을 최소화하기 위해 사이버 보험에 가입하면서 급격하게 성장했다. 보험연구원(KIRI)에 따르면 2014년 미국 기업의 사이버 보험 가입 증가율은 32%에 달하며, 시장규모는 23억 달러(2013년 10억 달러)로 크게 확대됐다.
우리가 보험을 드는 이유는 예상하지 못한 사고가 발생했을 때 생기는 손실을 보장받기 위함이다. 예를 들면, 자동차 보험의 경우 ‘문 콕’과 같은 작은 사고가 아닌, 차량 충돌 등으로 이른바 ‘목돈’이 나갈 때를 대비하고 있는 것이다. 이 때문에 기존 기업 보험시장은 화재 등 자연재해나 사고로 인한 ‘재물’의 손실을 메워주는 재물보험이 주를 이뤘다. 그러나 서비스 시장이 점차 성장하면서 재물의 손실보다 남(고객)한테 피해를 입혔을 때 보상해주는 형태로 보험이 바뀌기 시작했다.
사이버 보험시장 역시 마찬가지다. 사실 보험에 사이버란 이름이 최근에 처음 등장한 것은 아니다. 멀게는 Y2K 밀레니엄 시대 때도 있었고, 전자기기 보험도 있었다. 점차 IT 산업이 커지고 사이버 환경이 성장하면서 사이버 보험도 힘을 얻게 된 것이다. 특히, 글로벌 보험회사들은 사이버 환경이 확대된다는 확신 하에 사이버 보험을 새 시대의 먹거리로 선택하고 있다.
회사 기밀과 고객 정보 유출시 보험료 지급
그렇다면 사이버 보험은 어떤 것을 보장할까? 기본적으로 사이버상의 의도적인 공격에 의한 손해(물리적인 공격은 담보하지 않는다), 예를 들면 해킹이나 랜섬웨어 등으로 인해 공격을 받거나 내부직원에 의한 정보유출로 고객의 개인정보 혹은 회사의 기밀이 유출됐을 때 발생하는 피해를 담보해준다. 단, 유출 등으로 인한 ‘무형’의 피해는 포함하지 않는다. 보험사기와 같은 모럴헤저드가 발생할 수 있기 때문이다.
이 때문에 현재 사이버 보험은 ‘회사 기밀’과 ‘고객 개인정보’가 유출됐을 때를 중심으로 판매되고 있다. 물론 자동차 보험을 들 때, 자차보험과 대인, 운전자 등 선택해서 고를 수 있는 것처럼 사이버 보험에서도 선택이 가능하다.
좀 더 상세하게 살펴보면 △개인정보 유출의 경우 사고발생시 대응비용, 개인정보 당사자에게 통지하는 통지비용, 법률적 자문비용, 피해자 소송시 대응 비용, 배상책임 비용, 신용카드 정보 유출로 인한 모니터링 비용, 포렌식 조사비용 등 다양하다. △회사기밀의 유출시에도 조사비용, 소송비용, 배상비용 등 항목이 많다.
또한 △증권회사가 시스템 다운으로 고객들에게 배상해야 하는 접근불가 배상책임이나 △좀비 PC가 되어 해킹 등 공격에 경유지로 활용, 남에게 피해를 입혔을 경우 배상해야 하는 경유배상책임도 있다. 최근 유행하는 랜섬웨어로 인한 손해나 개인정보 유출 후 돈을 요구하는 사이버 협박 등 금전 범죄에는 사이버 갈취 손해 항목도 있으며, 데이터를 복구하는 데 드는 비용인 데이터 복구비용도 있다.
물론 이러한 항목은 보험사마다 다르며, 무조건 적용되는 것이 아닌 가입자 선택에 따라 포함된다. 또한, 보상한도나 보험료 역시 각각 다르다. 자동차 보험처럼 사용자가 보상한도를 정하면 그에 따라 보험료가 바뀌는 것처럼 말이다. 여기에 가입자의 업종과 위치, 사용자 숫자 역시 중요하다고 업계에서는 설명한다.
고객의 사이버 리스크 평가할 사이버 보안 컨설팅 제공
그렇다면 사이버 보험은 사고 발생시 보험료를 제공하는 것으로 끝일까? 물론 아니다. 현재 사이버 보험 업계에서는 보험료 산정과 배상을 위해 ‘통합 리스크 관리 네트워크’를 구성하고 있다. 자동차 보험이 사고시 ‘견인차’ 서비스나 평소 자동차 ‘정비’ 서비스 등을 제공하는 것처럼 사이버 보안에서도 고객을 위한 별도의 서비스를 제공하겠다는 전략이다.
사고가 발생하기 전에 고객의 사이버 리스크를 평가하고 이를 보완함으로써 사고 발생을 줄여주고, 혹시라도 문제가 발생하면 빠른 대처를 통해 고객의 손실을 줄여주는 것이 바로 보험회사가 해야 할 일이라는 얘기다. 여기서 한 걸음 더 나아가 고객에게 사이버 보안 컨설팅도 제공하는 것이 필요하다고 사이버 보험업계는 설명하고 있다.
아직 국내에서는 삼성화재를 포함해 KB손해보험이나 동부화재 등 상위 보험사만 사이버 보험을 시작했거나 준비 중인 것으로 파악된다. 해외에서는 사이버 보험 시장이 빠르게 성장하고 있지만 국내는 아직 걸음마 수준인 셈이다. 특히, 기업보험 자체가 의사결정에만 몇 달 이상 걸리는 것을 감안하면 활성화되기까지는 시간이 좀 더 걸릴 것으로 업계는 보고 있다. 더욱이 사이버 보험이 필요한 곳이 대기업보다는 재정 마련이 힘든 중소기업이라는 의견도 있어 국내 사이버 보험시장이 앞으로 얼마나 성장할 것인지 지켜볼 필요가 있어 보인다.
하지만 해외에서는 사이버 보험 시장이 빠르게 성장하고 있고, 사이버 보안이 기업 경영 전반에 영향을 미치면서 국내에서도 성장속도가 빨라질 것으로 보는 시각도 있다. 특히, 2017년은 사이버 보험 시장이 본격적인 외형을 갖추는 한해가 될 것이라는 데 의견을 함께 하고 있다.
원병철 기자(boanone@boannews.com)[보안뉴스]
케이콘텐츠
