보험사 입장에서는 충분한 과거 데이터 없어 미래 예측 불가능
고객사 입장에서는 위협 지형도 매일 바뀌어 ‘가치 환산’ 어려워

[보안뉴스 문가용 기자] 보험 시장이 갖가지 프리미엄 상품과 공제액, 질 낮은 상품이나 산업 윤리로 가득해 사실상 회사나 상품을 비교하는 게 ‘도찐개찐’이라면 어떨까? 아니면 상품이 너무나 어려워 고객들은 도대체 자기가 어떤 보호를 받고 있는지 이해할 수도 없고, 뭘 요구해야 하는지도 모르며, 그렇기에 상품을 비교한다는 게 불가능에 가깝다면 어떨까?


그런데 정말 이러한 보험 시장이 있다. 건강 보험이나 생명 보험은 친절히 설계사들이 찾아와서 설명해주고 좋은 상품을 추천해주며, 인터넷에도 이미 보험 관련 정보가 많아 보험 종사자가 아니더라도 이 분야를 잘 아는 사람도 많은데, 사이버 보험만큼은 다르다. 사이버 보험 시장은 아직 위에서 언급한 혼돈의 상황 그대로다.

사이버 위협 지형도는 매일 더 심각해지고 있다. 그런데도 미국 기준 절반의 기업들이 아직도 사이버 보험 상품을 보유하고 있지 않다. 27%는 사이버 보험에 가입할 것을 생각해보지도 않았고, 16% 정도만 사건이 터질 경우 보상을 받을 수 있도록 준비하고 있다.

사이버 보험 가입률이 낮다고 해서 사이버 보험 상품이 엉망이라고 말 할 수는 없다. 분명 ‘난 해킹 당하지 않을 거야’라는 이상한 안이함이 사용자 전반의 정서이기 때문이다. 또한 보험이라는 것 자체를 잘 믿지 못하는 경향이 최근 퍼지고 있다는 것도 고려해야 한다. 정작 큰 수술을 할 때는 무용지물이 되는 보험 상품이 많은 것처럼, 해킹 당하면 어차피 끝나는 것 아니냐는 생각도 은근 보편적이다.

최근 사이버 보험업체를 고객이 고소하는 사건이 있었다. 아메리포지 그룹(Ameriforge Group)이 자신의 사이버 보험업체인 처브 그룹(Chubb Group)에 소송을 건 것이다. 이유는 약속한 보상금 4억 8천만원을 주지 않았다는 것인데, 아메리포지는 최근 CEO 이메일을 통한 피싱 공격을 받고 큰 손해를 본 적이 있었다. 당시 처브 측은 손해의 일부만을 보상했다. 처브는 레스토랑 체인인 P.F 창스(P.F Chang’s)에서 발생한 지불카드 유출 사고에 대해서도 일부 금액만을 보상했는데, P.F 창스 측에서 PCI DSS 표준을 일부 지키지 않은 것이 발견되었기 때문이다. 아직 사건이 공개되진 않았지만 아메리포지 역시 비슷한 이유로 보상금이 전액 지불되지 않았을 가능성이 높다.

지난 2월 델로이트(Deloitte)에서 발행한 사이버 보험 관련 보고서에는 “사이버 보험 시장은 매우 유망한 시장이기는 하나 아직까지는 제대로 된 기능을 발휘하고 있지 않다”는 언급이 나온다. 또한 사이버 보험이라는 것이 가입자나 보업사 측 모두에게 골칫거리로 작용한다고도 했다. 그 이유는 위협 지형도가 워낙 자주 바뀌기 때문에 기존 보험 상품들처럼 과거 데이터가 충분할 수 없으며, 따라서 안정성 있는 예측 모델을 만드는 것이 불가능에 가깝기 때문이다.

보험사들은 워너크라이나 낫페트야 같은 사건이 터져서 다수의 고객들에게 보상금을 지불해줘야 하는 사태가 생길까봐 두려워한다. 그렇기에 적극적인 상품 개발을 하기가 어렵다. 또한 개인식별정보의 보호 등에 지나치게 초점을 맞추고 있다. 하지만 현실 세계에서 일어나는 사이버 보안 사고 중 가장 심각한 것들은 랜섬웨어나 각종 사이버 협박, 신상털기 등이다. 괴리가 있다는 것이다.

한편 고객들은 자기를 위협하는 위험에 대한 전반적인 이해도가 부족할 때가 많다. 사이버 세상에서의 위험이란 인터넷 전체 환경에 시시 때때로 유행처럼 도는 요소가 될 수도 있고(워너크라이처럼), 자기 조직에게만 특별히 위협으로 다가오는 요소가 될 수도 있는데, 이걸 구분해서 적절히 이해하고 돈으로 환산하는 것도 어려울뿐더러, 이런 것에 대한 맞춤형 보험 상품을 찾는 건 더 어려운 일이다.

하지만 가장 중요한 건 사이버 보험과 사이버 보안이 상호 대체할 수 있는 성질의 것이 아니라는 것이다. 이걸 반드시 기억해야 한다. 사이버 보험 상품이 있으니 그걸 믿고 사이버 보안 솔루션에 전혀 투자하지 않는 기업들도 상당히 많다. 반대로 보안이 잘 되어 있다고 믿고 보험 상품에 관심도 없는 기업들은 더 많다. 하지만 이 둘은 상호보완적이다. P.F 창스가 보안을 제대로 하지 않고 있으니, 보험금이 다 지급되지 않은 것처럼 말이다.

보험 상품이 고르는 것이 어렵기 때문에 시간이 끌린다고 보안을 소홀히 할 수 없다. 보험 상품을 보유하고 있든 아니든 다음 사항은 모든 조직들이 반드시 지켜야 하는 것들이다.
- 모든 OS 및 소프트웨어를 최신 버전으로 유지하라.
- 전사적으로 멀웨어 및 바이러스를 검사해주는 최신 백신 솔루션을 사용하라.
- 산업 및 정책적 표준은 반드시 지켜야 한다. 그래야 법적 싸움의 근거가 된다.
- 네트워크를 항상 모니터링 해서 수상한 활동 및 접근 시도가 있나 없나 살피라. 이는 24시간 계속되는 활동이어야 한다.
- 보안 전문가를 내부나 외부에 둬서 이상한 일이 발생할 때 즉시 도움을 받을 수 있도록 한다.
- 명문화된 사이버 보안 정책을 마련하고 항상 최신화한다.
- 임직원 모두 사이버 보안 교육을 주기적으로 받고 강제적으로 실천할 수 있도록 정책을 마련한다.
- 서버룸 등 민감한 공간의 물리적 보안 장치는 기본 중 기본이다.
- 방화벽, 망분리, 암호화 등 역시 현대 보안의 기본이다.
- 랜섬웨어가 기승을 부리면서, 보안의 기본 실천 사항 중 백업이 필수로 굳어졌다.

글 : 크리스 맥다니엘스(Chris McDaniels), Mosaic451
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>