보험의 역사는 길지만 사이버 보험은 그렇지 않다. 꽤나 최근에 나온 신생 금융 서비스의 일종이다. 그렇기 때문에 보험을 제공하는 자나 받는 자나 뭘 주고받아야 하는지 잘 모른다. 그렇기 때문에 지금은 둘 다 앉아서 이야기를 할 필요가 있다.

[보안뉴스 문정후 기자] 사이버 보험 시장은 여전히 변수가 많은 곳이다. 솔직히 말해, 보험사들조차도 아직 고객들에게 정확히 뭘 제공해야 하는지 잘 알지 못한다. 늘 그랬던 건 아니다. 불과 얼마 전까지만 하더라도 사이버 보험 상품이 그리 복잡한 것도 아니고, 그리 비싼 것도 아니었다. 해킹 사고가 나면 그에 따라 어느 정도 합의된 금액을 보상해주면 되는 것이 전부였으니까. 하지만 랜섬웨어가 팬데믹처럼 늘어나고, 피해액이 천문학적으로 증가하는 상황에서 보험 시장 역시 변화할 수밖에 없었다.


그러니 보험사와 가입 기업 간 마찰이 잦다. 보험사는 보장해줄 수 없는 경우가 늘어나고, 가입 기업은 억울한 경우가 늘어난다. 어제만 해도 서로 믿던 파트너사였는데, 오늘은 법정에서 서로를 노려본다. 사이버 보험 업계의 잘못은 아니지만, 사이버 범죄가 갑자기 늘어나면서 사이버 보험이라는 것의 의미가 많이 퇴색된 건 사실이다. 사이버 보험이 궤도에 오를 때까지 우리는 계속 기다려야 할까? 아니, 사이버 보험이라는 게 필요하긴 할까?

이 질문은 이제 사이버 보험에 가입한 모든 기업들이 스스로에게 물어야 할 것이다. 그리고 그 실마리는 보험사가 제공하는 상품과 보장의 내용을 다시 한 번 확실하게 확인하는 것에서 얻을 수 있다. 보험사가 요즘 보장을 잘 안 해 주더라, 라거나, 보험사가 알아서 다 해 주겠지, 와 같은 생각들은 다 버리고 진짜 내용을 들여다봐야 한다. 보험사가 우리 회사의 보안 체계를 같이 수립하고 싶어 하는가? 전문가 조언을 제공 받을 수 있나? 모의 해킹 서비스가 있나? 전 사원을 대상으로 한 모의 훈련도 서비스에 포함되나? 만약 아니라면, 보험사와 다시 이야기를 해 볼 수 있을까? 그래야 할까?

사이버 보험사와의 파트너십
인간과 인간 사이의 관계를 이뤄갈 때 집착하는 것과 배려하는 것 사이에는 미묘한 선이 하나 그어진다. 딱 부러지게 정의하기는 힘들지만(그래서 실수들이 있지만), 그 선을 지켜가며 우리는 사람들과의 관계를 유지한다. 보험사와 고객사 사이에도 이러한 선이 존재한다. 매우 미묘하며, 민감하기까지 한 선이다. 보통은 협상에 의해 희미하게 그려지는데, 그렇기 때문에 최초 보험 협상과 가입 단계에서 구체적으로 선을 그어 양방이 정확히 자기의 할 일을 하면서 또 선을 넘지 않도록 하는 게 중요하다.

리스크 관리 전문 업체 브레이크워터솔루션즈(Breakwater Solutions)의 총괄인 케빈 노박(Kevin Novak)은 “요 몇 년 동안 수많은 사이버 범죄 사건이 일어났고, 사이버 보험사들은 적잖은 돈을 고객사에 지불했다”고 말하며 “그런 기록이 고객을 유치하고 설득하는 데에 훌륭한 포트폴리오가 되고 있다”고 말한다. “하지만 거기서만 만족하면 안 됩니다. 더 많은 정보를 요구해야 합니다. 보험사가 어떤 식으로 고객과 관계를 맺는지, 고객사의 보안 강화에 어느 선까지 개입하는지, 어떤 경우에 보장을 해주고 또 못해주는지, 최근 보험사로서 어떤 침해 사고에 연루됐고 고객사와 어떻게 그 일을 해결했는지 등을 꼼꼼하게 물어봐야 합니다.”

보험사에 아무리 많은 것을 요구해도 이상하지 않은 게 잠재 고객의 입장이다. “사이버 보험사가 가지고 있는 모든 서비스들을 최대한 활용하기 위해 애써야 합니다. 그저 사고가 났을 때 돈만 받으면 된다는 건 좋은 접근법이 아닙니다. 적어도 사이버 보험이라는 상품은 더욱 그렇습니다. 보험사에 따라 차이가 있긴 하지만, 보안 교육과 훈련 도구, 전문 서비스, 보안 업체와의 파트너십 등을 제공해 가면서 보험 사고가 일어나지 않도록 해 주는 곳들이 점점 많아지고 있거든요.” 사이버 보험 전문 업체 카우벨사이버(Cowbell Cyber)의 부회장 이사벨 듀몬트(Isabel Dumont)의 설명이다.

노박도 여기에 동의한다. “물론 모든 서비스를 공짜로 퍼주는 보험사는 없습니다. 하지만 그런 서비스를 제공할 여력과 능력이 되는 업체와, 아예 그런 서비스를 생각지도 못하는 업체 사이에는 커다란 차이가 존재합니다. 각종 서비스를 요구하는 건 보험사의 역량을 알아보는 데에도 큰 도움이 되는 일입니다. 그렇다고 보험사의 그런 서비스들을 가지고 전문 보안 서비스들을 대체해서는 안 됩니다. 보험사의 서비스는 어디까지나 보장의 조건을 만족시키기 위한 파트너십 프로그램 정도에 불과하니까요.”

불이 나면 유리창을 깨라?
사이버 보험 업체인 컨버지(Converge)의 CEO 안토니 다고스티노(Anthony Dagostino)는 “보험 업체들이 제공하는 보안 관련 서비스는 독자적으로 보안을 강화시키기 어려운 중소기업들이 활용하기 좋다”고 귀띔한다. “사이버 공간이 그렇게 위험하다고는 하지만, 아직은 대기업들의 이야기일 때가 많지요. 왜냐면 보안이 너무나 비싸거든요. 그래서 수많은 중소기업에서는 ‘불 나면 유리창 깨고 탈줄하면 되지 뭐’라는 식으로 보안에 접근합니다. 전문 보안 서비스요? 포기하는 회사가 훨씬 더 많습니다. 보험 업체들과 파트너십을 맺어 보험 업체가 제공하거나 외주를 받아 오는 서비스를 이용하는 게 괜찮은 해결책이 될 수 있습니다.”

베리인폼드닷컴(Veryinformed.com)의 CEO인 오베론 코플랜드(Oberon Copeland) 역시 “거의 모든 사이버 보험 상품들이 침해 사고 시 대응 서비스, 포렌식 기업 알선 및 소개, 신용도 조회 서비스 기업과의 연결 등을 기본적으로 제공한다”며 “실체 침해 사고를 처음 당해보는 기업이 혼자서 처리할 수 없는 일들을 보험 업체가 어느 정도 메워줄 수 있다”고 말한다.

노박은 “사이버 보험 업체가 고객사에 여러 서비스를 제공하는 게 필수적인 건 아니고, 계약서에도 명시되지 않는 경우가 대부분”이라고 말한다. “하지만 고객사의 사이버 보안 사고에 의한 영향을 최대한 줄이고 싶은 건 보험금을 지불해야 할지 모르는 보험사도 마찬가지입니다. 그 어떤 보험사도 고객의 사고를 보고 ‘우리는 약속된 돈만 줄 테니 알아서 처리하시오’라고 하지 않습니다. 사실은 보험금을 내지 않아도 되도록 사고가 생기기 전에 고객사의 보안 상황을 미리 알아내 강화하고자 애 쓰는 게 정상이죠.”

고객사에도 주어지는 책임
설사 보험사가 고객사의 보안 강화를 위해 발 벗고 뛴다고 하더라도 고객사가 손 놓고 있으면 될 일도 안 된다. 데이터과학 및 사이버 보험 업체 세이프시큐리티(Safe Security)의 부회장 판카이 고얄(Pankaj Goyal)은 “사이버 보안은 물론 사건 대응을 전문으로 하는 기업들과 파트너십을 맺어두는 게 그 어떤 보험 고객사들이더라도 꼭 필요한 일”이라고 강조한다. “그리고 그런 업체들이 할 일과 보험사가 할 일을 고객사가 정확히 구분해 주어야 합니다. 보험사가 보안 관련 서비스를 좀 한다고 해서 보안 전문 업체를 대신할 수는 없어요. 보험사는 보험사일 뿐이죠.”

고얄은 “보험사가 아니라 보안 관리 대행 서비스(MSSP)에 보안을 맡기는 편이 훨씬 안전하고 안정적”이라고 권고한다. “특히 장기간 리스크 관리까지 해 주는 업체가 좋습니다. 실제 침해 사고가 일어났을 때에도 사업 연속성을 보장해 주는 곳을 찾아야 합니다. 그런 곳들이 사건을 빠르게 처리해 충격을 최소화시키는 데 도움이 되기 때문입니다.”

컨설팅 업체 가이드하우스(Guidehouse)의 사이버 보안 부문 책임자 존 엑켄로드(John Eckenrode)는 “결국 딱 맞는 보험 업체를 찾으려면 서로 대화를 길고 건강하게 할 수 있어야 한다”고 강조한다. “처음 상품을 결정할 때도, 갱신할 때도, 보안 강화와 보장/보상 원칙에 대하여 이야기를 나누고 서로의 역할을 분명하게 정하는 게 중요합니다. 사이버 보안 공격이 있었다면 그것에 대해서도, 최근 사업을 확장했기 때문에 보안 사고 위험성이 높아졌다면 그것에 대해서도, 여러 가지 위험 요인들과 보안 추세에 대해서도 이야기를 나누십시오. 고객사와 보험사의 관계를 건강하게 유지하는 게 중요합니다.”

글 : 리차드 팔라디(Richard Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>