사이버 보안 담당자인 CISO들과 보험사들의 관계는 지금보다 조금 더 가까워질 필요가 있다. 서로가 서로를 견제하는 지금의 상황은 전체적으로 큰 도움이 되지 않는다. 그러기 위해 필요한 일들이 있다.

[보안뉴스=롭 젠크스 부회장, 태니엄] 사이버 보험사와 각 기업의 보안 정책 담당자들 간 관계는 매우 경직되어 있다. 사실 보험 업계 전체와 보안 업계 전체의 이야기라고 봐도 된다. 한 때 사이버 보험이 보안을 대체할 수도 있다는 이야기가 나오면서 보안은 보험을 경쟁자로 보기 시작했는데, 그러면서 관계가 틀어졌다고 볼 수 있다. 게다가 보험 업계가 보험료를 계속해서 올리고, 일부 사이버 보안 사고의 경우 보험금을 지급할 수 없다는 식으로 움직이기 시작하면서 둘의 사이는 더 벌어졌다.


사이버 보험사와 보안 담당자들의 사이가 벌어지는 건 그리 좋은 소식이 아니다. 사이버 보안이 아무리 모든 일을 완벽하게 처리한다 해도 사고를 100% 막을 수는 없기에 보험이 필요하고, 보험은 아직 사이버 사건 사고에 대한 비용 처리 방법을 정립하는 과정 중에 있기에 보안의 전문성이 필요하다. 둘은 벌써부터 멀어질 필요가 없으며, 오히려 점점 더 가까워져야 한다.

사이버 보험은 보험이라는 역사와 전통이 깊은 산업에 속하는 하위 분야로 다른 종류의 보험보다 훨씬 젊으며, 따라서 아직 아무런 형태도 갖춰지지 않은 상황이다. 물론 AIG라는 유력한 보험사가 이미 97년에 사이버 보험과 관련된 상품을 처음으로 출시한 적이 있지만 그것이 업계 표준으로 자리를 잡지는 못했다. 참고로 생명 보험은 250년 전부터, 자동차 보험은 125년 전부터 존재했던 것으로, 사이버 보험과 비교했을 때 유서가 상당히 깊다는 걸 알 수 있다.

지금 이 시기에 도달하기까지
CISO들이 사이버 보험 회사와 조금 더 가까워지려면, 일단 사이버 보험이라는 산업이 어떤 식으로 발전해 왔는지를 이해하는 게 좋다. 사이버 보험이라는 것은 처음에 ‘본능적인 직감’이라는 것에 크게 의존한 상황에서 보험 상품이라는 것을 만들었다. ‘이런 사고가 일어나면 이 정도 금액을 보상해주면 되겠고, 그러면 보험료를 이만큼 받으면 적당하겠다’는 것에서 크게 벗어나지 않았다. 당연하겠지만 이런 식으로 근거가 흐릿한 상품이 시장에서 문제 없이 받아들여졌을 리 없다.

그래서 보험사들은 거시적인 관점으로 보안 사고를 바라보기 시작했다. 시장 전체가 잃는 금액을 기초로 보험금을 책정한 것인데, 이러니 무슨 일이 일어나도 가입자들은 일괄적으로 비슷한 보험금을 받는 일이 발생했다. 사고마다 특징이 달라지는데 일괄적이다시피 한 금액을 받게 되니 어떻게 됐을까? 모두가 불만족하게 됐다. 게다가 보안 사고로 시장 전체에서 발생하는 피해액은 하루가 다르게 증가했고, 따라서 보험 업계가 상정한 보상금은 상대적으로 작아지기만 했다. 고객들이 부족한 보험금을 받아가든가, 보험사가 예상 외의 지출을 해야만 했다. 혼란은 커졌고 보험사와 피보험사의 관계는 심하게 엉키기 시작했다. 하지만 보험사는 이 복잡한 실타래를 어디서부터 풀어야 할지 감도 잡지 못하고 있다.

그러면서 사이버 보험사가 고객을 확보할 때 우선순위는 서서히 보험사 자신의 손해를 최소화하는 것이 됐다. 가입 희망자의 보안 상황을 보다 까다롭게 검사하기 시작했다. 보험 가입 절차 자체가 까다로워졌다. 보험사와 많은 문답을 교환하고, 면담도 실시하고, 현장 실사도 필요하게 됐다. 보험에 가입하려면 채워야 하는 조건들도 많아졌다. 그러니 보험 가입을 위해 점점 더 많은 준비를 해야만 하게 됐고, 돈도 많이 써야 했다.

그렇다고 이런 상황이 보험금과 보험료를 적정하게 책정하는 데 도움이 됐느냐 하면 그렇다고 하기도 힘들다. 왜냐하면 IT 분야와 사이버 공간이라는 것은 항상 변하는 상태에 있기 때문이다. 어제의 검사 기준이 오늘의 검사 기준이 될 수 없으며, 따라서 어제 고객사를 들들볶아 얻어낸 정보를 토대로 정한 오늘의 보험 상품이 딱 맞아떨어지지 않는다. 정확하고 공정한 보험 상품을 제공하려면 여러 가지를 질문해야 하는데, 이 질문들조차도 계속해서 바뀌어야 한다는 것이다. 심지어 어떤 질문이 가장 적절한 질문인지 가르쳐줄 사람도 없다. 그러니 보험료이나 보험금이 회사마다 널뛰기를 하는 것이다.

여기서부터 우리는 어디로 가야 하는가
그러니 CISO들은 보험 업계를 조금 더 너그럽게 바라봐야 한다. 그들이 모든 상황을 영악하게 깨닫고 우리 머리 위에 앉아서 우리 지갑을 털고 있는 게 아니다. 자신들이 무슨 일을 어떻게 해야 하는지 모르고 있으며 좌충우돌을 하는 과정 중에 있다고 하는 게 더 정확하다. 게다가 결국 보험 업계나 CISO나 목표는 동일하다. 바로 기업의 리스크를 줄이는 것. 그들이 그 많은 질문을 하고, 엄청나게 까다롭게 구는 것도 바로 리스크를 평가하고 줄이기 위해서다. 어쩌면 CISO들이 해야 할 일을 하고 있는 것일 수도 있다.

여기까지 상황을 이해하는 것은 어렵지 않다. 그렇다면 이를 바탕으로 서로가 만족할 만한 리스크 감소 방안을 마련하는 게 남은 과제가 될 것이다. 그래야 가장 중요한 보험료와 보험금에 대한 합의가 이뤄질 수 있으니까 말이다. 어떻게 해야 할까? 필자가 보기에는 딱 한 가지 방법이 존재한다. 보험을 신청한 기업의 방화벽 내부에서부터 기계적으로 수집된 정보를 투명하게 공유하는 것이다. 수기로 작성한(많은 보험사가 신청자로부터 신청서 수기 작성을 요구한다) 정보가, 기계가 자동으로 기록한 정보보다 객관적이거나 정확하기는 힘들다. 방화벽에서부터 수집된 것이기에 기업의 보안 상태의 단면을 보여주기도 한다.

하지만 이 제안에 부담을 느끼는 CISO들이 적지 않을 것이라고 본다. 방화벽에 기록된 정보는 매우 민감할 수 있고, 기업 외부로 내보내기에 꺼려지는 게 사실이기 때문이다. 게다가 그 정보를 보험사가 어떤 식으로 해석할지도 확실히 알 수 없다. 기껏 정보를 보냈더니 도리어 보험료만 높아질 수도 있는 것이다. 개인적인 경험이라 강력한 설득력을 갖기 힘들겠지만 필자는 짧지 않은 기간 동안 여러 보험 업체와 일을 같이 해왔고, 고객으로부터 어떻게든 한 푼이라도 더 긁고 모으고자는 의도로 보험 상품을 개발하는 업체는 한 번도 본 적이 없다는 걸 강조하고 싶다. 방화벽 정보를 보험사에 보냈더니 더 높아진 보험료가 되돌아 왔다면 사실 보험을 신청한 쪽의 보안 상태가 생각보다 좋지 않았음을 뜻하는 경우가 더 많을 거라고 본다.

CISO들과 보험사는 한 배에 타고 있는 운명이다. 서로 간에 돈이 얽혀 있기 때문에 100% 신뢰할 수는 없고 어쩔 수 없이 의심의 눈을 치켜떠야 하는 것도 맞지만, 그것이 둘 사이 관계의 모든 것이 될 수는 없다. 무조건 신뢰하라는 게 아니다. 의심하되 파트너로서 서로를 받아들이지도 못할 정도로 모든 것을 적대시 하지 말라는 것이다. 의심하면서도 가까워질 수 있고 협업할 수 있다. 그러면서 의심이 서서히 사라지기도 한다. 그랬을 때 조직들은 두 겹의 보호막을 입을 수 있게 된다.

글 : 롭 젠크스(Rob Jenks), 기업 전략 부문 부회장, Tanium
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>