현재 대부분의 주식회사들이 이미 사이버보안 보험에 가입
90% 이상이 소프트웨어 공급 벤더에 법적 책임 있다 생각

[보안뉴스 주소형] 현재 미국에 있는 대부분의 주식회사들이 사이버보안 보험에 가입한 것으로 드러났다. 이유는 유출사고가 발생했을 때 법적인 책임과 금전적인 손해를 최소화하기 위해서다. 또한 미국 기업의 90%가 정보 유출시 해당기업이 자사 데이터에 대한 보안관리를 제대로 하지 않았을 경우 규제기관이 이를 문책해야 한다고 생각하고 있는 것으로 나타나기도 했다.


서드파티 소프트웨어 벤더 즉, 외주 업체에 대한 관심도 뜨거웠다. 90% 이상의 기업이 자신들이 사용하고 있는, 타사 제작 소프트웨어에서 발견된 취약점은 이를 공급한 업체에게 책임이 있다고 보고 있으며, 65%는 소프트웨어 계약서에 해당 내용을 추가했거나 그럴 계획을 갖고 있다고 답했다.

사이버보안 보험이라고 해도 다 같지는 않다. 세부적인 요건들에 따라 종류가 있다는 것. 뉴욕증권거래소(NYSE) 거버넌스 서비스와 글로벌 보안기업인 베라코드(Veracode)사가 276명의 기업 임원진들을 대상으로 해당 내용에 대한 설문조사를 진행했다. 그 결과, 무려 91%의 기업이 유출사고로 비즈니스 지속이 불가하게 되었을 경우와 데이터 복원 시 발생되는 비용에 대한 부분까지 포함된 보험에 가입한 것으로 나타났다. 54%의 경우 컴플라이언스 위반 벌금 등에 대한 변제 및 유출 알림을 처리해주고 있는 보험에 가입한 것으로 집계됐다. 소프트웨어 코딩이나 사람의 실수로 인한 사고까지 보험에 포함되기를 바란다는 비중은 전체의 35% 수준으로 조사됐다.

사실 전체 피조사자 중 52%는 내부직원의 실수나 내부자 위협에 대한 요소를 보험에 이미 추가하고 있는 것으로 나타났다. 또한 이는 점점 늘어나고 있는 추세다. “35%의 기업이 이미 코딩과 사람에 대한 내용이 포함된 보험을 생각하고, 심지어 찾고 있다는 사실이 놀라웠다. 게다가 이 수치는 점점 늘어나고 있다. 즉 사이버 보안 보험에서 해당내용이 보편화될 것으로 예상된다.” 베라코드의 CTO이자 설립자인 크리스 와이소팔(Chris Wysopal)이 말했다. “이제 보험사들은 이에 대한 기준과 조항을 구체화 시킬 것으로 보인다.”

앞으로 사이버보안 보험에는 재구축이나 클린업 비용 등과 같은 유출사고 후 작업에 대한 내용이 기본적으로 포함될 것이라고 와이소팔은 내다봤다. “현재 사이버보안 보험은 과도기적인 단계에 놓여있다. 연방거래위원회(FTC)나 증시 감시 감독 기관인 SEC와 같은 규제기관과 이에 대한 논의를 할 필요가 있다.”

뉴욕증권거래소의 리서치 총괄자인 데보라 스캘리(Deborah Scally)도 사이버보안 보험이 우리가 생각하는 것보다 빠르게 성장하고 있다고 말했다. “보험이라는 것은 어디에든 항상 있다. 본인이 자각하지 못하더라도 더 큰 차원에서 커버된다는 것을 모를 수 있지만 보험은 항상 준비되어 있다. 사이버보안 보험은 이미 대중화가 시작되었다.”

90% 이상의 경영자들이 기업이 자사의 데이터 보안을 등한시 했을 경우에 대한 책임을 연방거래위원회와 같은 규제기관이 맡아서 통제해주기를 기대하고 있다는 데 공감하고 있다. 기업의 주주 절반 이상도 사이버보안에 대한 투명성을 요구하고 있는 것으로 나타났다. “임원진들이 유출사고로 인해 기업이 입는 피해를 고민하고 있다는 사실이 실제적으로 드러난 설문 결과”라고 와이소팔은 말했다.


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>