사이버 공격자들이 점점 악랄해지고 있으며, 이 때문에 기업들의 지갑은 바람 잘 날이 없다. 이 때문에 보험에 가입하는 경우가 늘고 있는데, 좋은 보험 상품 찾는 게 만만치 않다.

[보안뉴스 문정후 기자] 크기와 상관 없이 모든 기업들은 ‘사이버 위험’을 직면하고 있다. 기술이 발전하면 할수록 사이버 공격도 교묘해지고 고도화 된다. 이 때문에 사이버 공격에 대한 기술적 대비도 필요하지만 제도적 완충 장치도 필요하다. 그런 완충 장치 중 하나가 사이버 보험이다.


어떤 조직이든 IT 인프라를 보유하고 있다면 언제라도 기능 마비 혹은 전체 인프라 다운을 겪을 수 있다. 사이버 위험 관리 전문 업체인 액시오(Axio)의 부회장 피터 홀리(Peter Hawley)는 “IT 기술에 대한 의존도가 전혀 없는 기업이 이제는 있을 수 없고, 그렇다는 건 사실상 모든 기업들이 사이버 보험 상품 하나 둘은 고려하고 있어야 한다는 뜻”이라고 설명한다. “해커들의 공격이 거센 지금 최악의 상황을 항상 염두에 두어야 하고, 그럴 때 사이버 보험 만큼 든든한 게 없습니다.”

하지만 사이버 보험 상품만 콕 짚어서 가입하고 있는 기업들은 거의 없다. 보통은 다른 위험 요소에 대한 보험을 가입하면서 곁다리로 사이버 보험도 하나 들어 놓는다. 기업 컨설팅 업체 어헤드(AHEAD)의 규정 준수 부문 책임자인 스티븐 아이엘로(Steven Aiello)는 “그렇게 했을 때 가격적인 면에서 유리할 수 있기 때문”이라고 설명한다. “하지만 이제는 사이버 보험 상품끼리 놓고 비교하는 게 필요합니다. 보험료가 전 세계적으로 크게 올라갔으며, 보상 규정은 더 빡빡해지고 있기 때문입니다.”

좋은 사이버 보험 상품 찾기
괜찮은 사이버 보험 상품을 찾기 위해 첫 번째로 해야 할 일은 브로커를 찾는 것이라고 HR 및 비즈니스 컨설팅 업체인 세갈(Segal)의 부회장 마크 도브로우(Mark Dobrow)는 강조한다. “보험의 보상이라는 부분을 잘 이해하고 있으며, 시장 내 여러 가지 상품 정보를 가지고 있는 사람이면 적절합니다. 다만 사이버 보험이라는 분야 자체가 생겨난 지 얼마 되지 않았기 때문에 풍부한 경험과 지식을 갖고 있는 사람이 그리 많지는 않을 겁니다. 그래서 이 단계가 중요하다고 강조하는 것이죠. 어찌됐든 브로커라면 시장과 기업 상황을 고려해 알맞은 상품을 추천해줄 수 있어야 합니다.”

하지만 홀리는 “보험 상품을 찾는 기업이 먼저 자신들의 위협에 대해 인지하고 있어야 한다”고 강조한다. “기업 스스로가 자신들의 고유한 위협 요인들을 통합적으로 이해하고 있어야 합니다. 그리고 심지어 어느 정도는 어떤 방어책이 필요한지도 대략 인지하고 있어야 합니다. 그게 꼭 정확히 올바를 필요는 없어요. 대략이라도 위험과 방어 수단에 대해 이해하고 있어야, 그것을 바탕으로 사이버 보험사가 제시하는 상품을 검토할 수 있게 되거든요. 아무 것도 모르고 보험사부터 찾아가 첫 설명을 듣고 계약을 해 버리면 낭패를 볼 확률이 높습니다.”

보상 범위
사이버 보험 상품들은 보통 정보 침해, 시스템 공격, 시스템 장애와 같은 상황에 보상금을 내준다는 내용을 담고 있다. “그 외에도 사고 발생 시 대응 서비스를 제공하고, 포렌식 및 법무 전문가들과 연결시켜 주기도 합니다. 관계자들에게 편지를 보내고, 콜센터 직원들에게 할 말을 가르치고, 신용 정보 모니터링 서비스를 제공하고, 복구 과정을 모니터링 하기도 하고요.” 홀리의 설명이다. 돈만 주는 보험사의 상품들에 굳이 눈을 돌릴 필요가 없다는 뜻이다.

하지만 사이버 보험 상품의 보상 범위가 가입 당사자이기만 해서는 부족하다. 사이버 보안 사고는 제3자에게도 피해를 미치는 경우가 다수 있기 때문이다. 그리고 그 제3자가 집단소송을 준비하는 경우가 태반이다. “또한 데이터 침해나 시스템 장애만이 아니라 랜섬웨어와 각종 협박 공격들에 대한 정책을 가지고 있는 상품들을 고르는 게 좋습니다. 사이버 보안 사고는 종류나 영향력이라는 면에서 어마어마하게 광범위해지고 있지요. 범위가 좁아서 아무 데에도 사용할 수 없는 보험 상품보다는 여러 부분에서 보호받을 수 있는 상품이 좋습니다.” 도브로우의 설명이다.

홀리는 “사이버 보험 상품 상담가가 보안 전문가일 가능성이 낮다는 걸 기억해야 한다”고 귀띔한다. “보험 전문가들은 사이버 보안에 대해 이야기를 해도 보안을 전문으로 하는 사람들과 관점이 다를 수밖에 없습니다. 간단히 말해 보험사들은 보다 사업적인 필요에 초점을 맞춰서 상품을 추천하려는 경향이 있습니다. 위험 요소들에 대해서는 비교적 이해도가 낮습니다. 보안 전문가들과 반대라고도 볼 수 있죠. 그러니 회사가 보험 가입을 할 때 스스로의 위험에 대해 잘 설명할 수 있어야 합니다.” 홀리의 설명이다.

저지를 수 있는 실수
사이버 보험 가입자가 저지를 수 있는 실수들이 몇 가지 있는데 그 중 최악은 “상품의 상세 내용을 들여다보지 않는 것”이라고 아이엘로는 말한다. “세부 항목들을 꼼꼼하게 읽지 않는 기업들이 의외로 많습니다. 이렇게 말하면 좀 지나친 감이 있긴 한데, 보험사들은 바로 그 세부 항목들 사이로 도망갈 틈을 만들어 둡니다. 가입자는 보험사가 그런 틈새로 도망갈 수 있다고 상상하면서 상세 내용을 검토하는 게 좋습니다. 이 단계를 허술하게 지나쳤다가 나중에 보상도 못 받고 후회할 수 있습니다.”

홀리 역시 이 부분에 있어서 동의한다. “보험사들마다 용어와 언어를 다르게 씁니다. 가입자 입장에서는 골치가 아플 수밖에 없는데, 어쩔 수 없습니다. 그런 것이 상품 세부 내용을 꼼꼼하게 들여다보는 데 장애가 되어서는 안 됩니다. 결국 시간과 노력이 들어갈 수밖에 없습니다. 이 절차를 간과한다는 건 돌이킬 수 없는 실수를 저지르는 겁니다.”

도브로우는 “보험 상품을 결정할 때 가격을 제일 먼저 보는 게 보통인데, 가격이 안 중요한 건 아니지만 상품의 내용을 처음부터 끝까지 이해하는 게 제일 중요하다”고 강조한다. “그렇게 상품 내용을 샅샅이 이해하고 나면, 그 때부터는 가입자가 보험사 여러 군데를 저울질 할 수 있게 됩니다. 그리고 그 사실을 굳이 숨기지 않아도 됩니다. 보험사들끼리 경쟁을 하게 만드는 것이죠. 그런 가운데 더 좋은 계약 조건을 따낼 수도 있습니다.”

아이엘로는 “문구 중에 내용이 지나치게 광범위한 것이 있다면 지적해서 상호 간에 해결을 봐야 한다”고 강조한다. “예를 들어 요즘 보험사들은 ‘국가 지원 해커들의 공격은 보상 범위가 아니다’라고 주장하고 있는데요, 실제 보험 항목에 그러한 문구가 있다면 ‘이게 정확히 무슨 뜻이냐’고 물어야 합니다. 어디서부터 어디까지가 국가 지원 해커들의 공격인지, 그걸 어떻게 판단할 것인지, 반박하려면 어떤 근거를 제시해야 하는지 등 낱낱이 묻고 확실하게 하세요.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>