사이버 보안 업계와 위협에 대한 전반적인 이해 부족
불충분한 상품, 고객 입장에서는 매력 떨어져

[보안뉴스 문가용 기자] 사이버 보험 상품이 생각보다 절찬리에 판매되고 있지는 않다고 한다. 이유는 사이버 보안 사건에 대해 공개되는 정보가 너무 적고, 용어 정립이 충분히 되어 있지 않으며, 리스크 완화 정책에 대한 이해가 보험 업자나 보험 가입자 모두 부족하기 때문이다. 이는 회계 감사 전문업체인 딜로이트(Deloitte)가 발표한 내용이다.


사이버 보험 시장은 현재 15억 달러에서 30억 달러 규모로 추정된다. 보험 시장 전체 규모가 2015년 기준 5천억 달러인 것을 생각하면 이는 상당히 적은 수치라고 볼 수 있다. 아직 기업들이 사이버 보험 상품을 많이 구입하지 않아서이다. 미국 내에서 2016년 10월 조사한 결과, 사이버 보험 상품을 산 기업은 29%에 불과했다.

딜로이트의 보고서에 의하면 포춘 500대 기업 중 사이버 보험에 가입한 기업은 40%였다고 한다. 그나마도 굉장히 제한적인 조건이 붙는, 저렴한 보험 상품이 대부분이었다. 물론 “사이버 보험 상품이 반드시 필요한 것인가?”하는 의문이 들 수 있다. 또한 보험 회사에서 내놓는 상품들이 그다지 매력적이지 않은 것일 수도 있다.

딜로이트의 보고서는 그런 의미에서 보험 회사들의 발전 방향에 초점을 맞추고 있다. 딜로이트의 보험 파트 연구 책임자인 샘 프라이드만(Sam Friedman)은 “정책 향상은 물론, 보험 적용범위의 산업 표준화, 소비자와 판매자 모두를 아우르는 교육이 필요해 보인다”고 정리한다.

현재 사이버 보험은 대부분 기업들이 흔히 드는 일반적인 보험 상품의 부속물이나 첨가물처럼 따라붙는 형태를 취한다. 독립적인 상품도 없는 것은 아니나 일반적이진 않다. 따라서 사이버 사건에 대해 적절한 조치가 취해지지 않은 경우가 많다. 일반적인 사업상 손해에 따라 배상액이 산출되기 때문에 사이버 보안 사건의 특수성이 반영되지 않는 것이다. “보험 상품의 표준화가 제일 시급해 보입니다. 용어 정립과 함께 이루어져야 할 일이죠.”

게다가 독립적인 상품이라고 하더라도 그 격차가 너무나 크다. 보험 계약서마다 용어를 다르게 사용하고 있고, 보상액 산출 근거도 현격히 다르다. “사이버 보안 사고의 역사가 20년이 다 되어가는데, 알려진 게 너무나 적습니다. 사고에 대한 정보가 비공개되어 있다든지 너무 전문적으로 기술되어 있어 다른 산업에서 활용도가 떨어진다든지... 그러니 정확하게 상품을 기획할 수가 없죠. 사이버 보안 업계가 폐쇄적이라기보다 민감한 사고 경험을 피해 기업들이 친절히 알릴 의무가 없기 때문입니다. 게다가 고객정보라도 끼어있는 사고라면 더더욱 조심시럽고요.”

프라이드만은 보안 사고라는 것이 산업별로 다양한 특징을 가지고 있어 한 가지로 규격화된 정책으로 모든 것을 아우를 수 없다는 점도 지적한다. “현재 보안 사고에 가장 많이 노출된 곳은 의료산업과 금융산업이에요. 이 둘에 대해서는 그래도 많은 정보들이 나와 있어 적절한 정책과 표준화도 마련되어 있죠. 하지만 이 둘에서부터 파생된 정책이 다른 산업에서도 똑같이 적용되지는 않아요. 정책과 산업 표준마저도 아직 명확해지지 않은 판에, 사이버 보험이 제대로 된 상품을 마련할 수 있을 리 없죠.”

이런 상황이 지속되면 사이버 보험 산업의 미래는 밝지 않을 것이다. 딜로이트는 보험 산업 관계자들에게 “확정적이고 과거 통계를 기반으로 한 상품이 아니라 리스크에 근거한 보험 상품을 개발할 것”이라고 조언한다. 그리고 “산업별로 축적된 데이터를 확보하고 세부적으로 쪼개서 보험 상품을 보다 구체적이고 정확하게 산출해야 할 필요도 있다”고 덧붙인다. “또, 사이버 보안 환경 속에서 위험이라는 요소가 항상 변한다는 것도 염두에 두어야 합니다. 하지만 시시각각 변화가 일어나는 속도에 보험 업계가 발맞추기가 힘들어 보입니다.”

그러니 한 가지 공격 유형에 대한 상품에 가입한다고 해도, 다른 유형의 보안 범죄에 당하면 보상을 받지 못하게 된다. 세상에 수많은 공격 유형이 존재하는데, 이 중 몇 가지에만 상품을 가입해야 한다면, 누가 ‘그거라도 가입하자’고 보험 계약서에 서명을 할까. “결국 사이버 보험 상품이란 ‘전체적인 위험’에 대한 대비책을 제시하지 않는 이상 소용이 없습니다. 그걸 더 많은 업체들이 깨닫고 있는 중이고요.”

그런 혼란의 시기를 지나가고 있기 때문에 사는 사람들도, 파는 사람들도 정확히 뭘 거래해야 할지 모른다. “보험 상품을 살 때 대부분 설계사의 설명을 듣고 사지, 계약서를 꼼꼼히 읽고 그 내용을 전부 다 이해한 다음에 사는 사람은 얼마 없습니다. 사이버 보안 상품의 경우 그나마 설명해줄 사람도 부족한 상황인 거죠. 우리가 익숙하게 알고 있는 보험 판매 통로가 아직 정립되지 않았다고 보면 됩니다. 그래서 판매자에 대한 교육이 더 필요하다고 보는 거고요.”

프라이드만은 “보험 산업이 위험 관리 측면에서 상품 개발에 접근한다면 실질적인 기업 보호에 크게 도움이 될 수 있다”며 “그저 사고 났을 때 돈 몇 푼 쥐어주는 역할이 아니라 진정한 보호의 역할을 고민해야 할 것”이라고 충고한다. “보험 업체들도 사이버 보안 업계의 고객입니다. 보험 회사들도 사이버 보안을 철저히 하거든요. 그러니 사이버 보안 서비스를 받는 입장에서 보험으로 보충할 수 있는 부분을 고민해봄직 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>