기업이 무너진다는 건 국가로서 어떻게 해서든 막고 싶은 일이다. 그렇기에 사이버 보험이 최소한의 안전 장치로서 역할을 해주기를 정부는 바라고 있다. 그런데 그 바람이 바람으로만 그친다면 아무런 효력을 발휘하지 못한다.

[보안뉴스 문정후 기자] 연방거래위원회(Federal Trade Commission, FTC)와 전미보험위원회(National Association of Insurance Commissioners, NAIC)는 기업들에 사이버 보험 상품에 가입하라는 권고 내용을 합동으로 전달했다. 그렇게 했을 때 기업의 ‘사이버 리질리언스’라는 게 좀 더 굳건해질 수 있다는 것이었다. 옳은 말이긴 하지만 ‘현장의 분위기를 알고 하는 소리일까’하는 의문이 든다. 사이버 보험이라는 상품이 이해하기도 쉽지 않고 보장 받기도 쉽지 않으며 심지어 저렴하지도 않아 중소기업에서 고려하기에 애매한 상품이기 때문이다.


디지털 시대가 되면서 우리는 여러 가지 기술적 혜택을 누리고 있다. 하지만 작용이 있으면 반작용도 있는 법인지라, 디지털 시대라서 경험하는 각종 위협들에 우리 모두가 노출되어 있기도 하다. 누구나 자동차를 모는 시대에 자동차 보험에 가입하는 게 반쯤은 필수로 인식되듯이 디지털 시대에 사이버 보험 역시 필수 중 필수로 여겨지기 시작했다. 특히 기업들 사이에서 사이버 보험은 꼭 있어야 할 것으로 인식되고 있다. 특히 서방 국가들에서는 이 현상이 두드러지게 나타나는 중이다.

사이버 보험은 어지간하면 하나쯤 가지고 있는 게 사업적 리스크를 관리하고 줄인다는 면에서는 좋다. 다만 사이버 보험 하나로 모든 보안 문제로부터 해방되는 것은 아니라는 걸 명심해야 한다. 또한 의외로 많은 기업들에 사이버 보험은 고려 대상이 되지 못한다. 대부분 높은 비용 때문이다. 그리고 그 비용은 계속해서 올라가는 중이다. 전미보험위원회에 의하면 2021년 한 해에만 사이버 보험료는 61% 증가했다고 한다. 당시 100만 달러의 보상금을 지불하나는 보험 상품의 가격이 한 달 1485 달러였다. 지금은 더 높다.

한 달에 1485 정도 되는 돈을 보험금으로 낼 수 있는 기업이라고 하더라도 사이버 보험 구매 결정을 쉽게 내리기 어렵다. 왜냐하면 ‘모든 보안 사고에 대해 보상금을 지급한다’는 보험 상품은 없기 때문이다. 보험 상품마다 보상금을 지급하는 사건과 그렇지 않은 사건을 따로 정해둔다. 심지어 사건이 어떤 식으로 터졌느냐에 따라서 지급되는 액수가 달라지기도 한다. 보험 가입자가 기대했던 것과 실제 보험이 발휘하는 효과가 딴판이 되는 일이 흔하다는 것이다. 이 사실을 회사들도 알고 있고, 그래서 ‘사이버 보험은 복잡한 상품’이라는 인식이 늘어가고 있다.

사이버 보험에 가입하여 리질리언스를 증가시키라는 건 대단히 좋은 조언이지만, 위와 같은 상황이라 그 조언 자체로 끝나서는 안 된다. 사이버 보험에 가입할 수 있도록 더 많은 장치들을 마련해 줘야 한다. 알맞은 보험을 고르는 데 도움을 주고, 가격을 좀 더 알맞게 바꿔주는 것, 그리고 보험사들이 일방적으로 손해를 보지 않게 보안 자체를 강화시켜주는 것이 급선무다. 기업과 보험사를 연결시켜주는 에이전시를 마련하는 것도 좋은 방안이 될 수 있을 것으로 보인다. 여기서 보안 교육도 실시하는 등 보안이라는 것 자체를 보다 ‘다가갈 수 있을 만한 것’으로 만들어주는 역할을 한다면 매우 이상적일 것으로 예상된다.

현재 사이버 보험 시장에는 ‘표준’이라고 할 만한 것이 없다. 보험사마다 각자의 상품을 만들어 제공하고, 기업들도 이런 것들 중 가장 마음에 드는 것을 기준 없이 고른다. 그러니 상품들 마다의 정확한 비교도 어렵고, 어떤 것이 적정한 가격인지 아무도 모른다. 이는 소비자들에게도 어려움이지만, 보험을 판매하는 입장에서도 개선되어야 할 부분이다. 에이전시가 마련된다면 표준이라는 면에서 가장 먼저 작업을 시작해야 하지 않을까 한다. 에이전시 스스로가 표준을 마련하기 어려운 상황이라면 산업 자체적으로 표준을 개발할 수 있도록 여러 프로그램이나 혜택을 제공할 수도 있을 것이다.

의료 분야나 교통 사고를 통해서도 알 수 있지만 보험이 있는 것과 없는 것은 매우 큰 차이를 만든다. 자국 기업들이 보험이라는 최소한의 안전 장치를 보유하도록 유도하는 것 역시 정부에는 중요한 일일 수 있다. 기업 하나가 보험 없이 타격을 받아 무너지면, 그 여파가 사회에 크게 퍼져갈 수 있다. FTC가 나서서 보험 가입을 권유한 것도 그러한 차원에서 이해가 가능하다. 실제로 보험의 보험인 재보험 산업은 국가 주요 인프라 취급을 받기도 한다.

게다가 기업을 겨냥하는 사이버 공격자들이 단순 민간 해커들이 아니라 적국 정부 기관의 지원을 받는 세력일 수도 있다. 그러니 정부가 이런 공격으로부터 기업을 보호하는 건 당연하다. 사이버 보험 가입하려 할 때 국가가 비용 일부를 지원해준다거나, 세금을 감면해 주는 방식으로 기업들은 뒷받침해줄 명분은 충분하다. 심지어 국가에서 사이버 보험 프로그램을 만들어 운영하는 것도 충분히 생각해봄직 한 일이다. 이미 국가는 태풍이나 홍수와 같은 자연 재난에 대비해 구제 기금을 일부 예비해두고 있는데, APT 단체에 의한 보안 사고도 이런 식으로 취급하는 게 불가능하지 않을 것이다.

결국 정부가 정말로 기업들의 사이버 보험 가입을 원한다면, 여러 가지 지원이 뒤따라야 한다. 그리고 그 지원은 돈과 관련된 것이어야 한다. 사이버 보안 사고가 재앙과 같은 것으로 우리 사회를 뒤흔드는 시대가 되었으므로, 우리에게는 더 많은 안전 장치가 필요하고, 국가는 이런 것들을 마련해 줘야 할 책임을 가지고 있다.

글 : 지아 무하마드(Zia Muhammad), 박사, 노스다코타주립대학
제레미 스트로브(Jeremy Straub), 교수, 노스다코타주립대학
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>