사이버 보안 산업에 대한 일반 기업의 신뢰는 이미 희박
‘어차피 사고 날 텐데...’ 사이버 보험으로 눈 돌리는 사람들

[시큐리티월드 문가용] 블랙햇에서 보안 전문가 예레미야 그로스만(Jeremiah Grossman)이 산업이 나아가야 할 방향을 설정하는 데에 있어 보다 구체적인 제안을 했다고 해서 화제다.

그로스만은 자신의 키노트를 통해 사이버 보험을 주로 다뤘는데, “하루에도 수많은 보안 전문가들이 양성되고, 보안 전문업체는 셀 수도 없이 많은데 현대의 기업들은 불안에 떨고 있는 게 현실”이라고 꼬집은 후 “보안 업체가 이제는 품질보증서를 발급해줘야 한다”고 주장했다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
그로스만은 “보안 전문가들의 15%가 1년 안에 사고를 겪을 것으로 확신하고 있다”며 “산업 전체의 변화가 필요하다”고 말했다.

“인정하긴 싫겠지만 보안 산업에 대한 신뢰가 바닥난 상태입니다. 사람들이 저희를 믿지 않아요. ‘설치해봐야 뚫리긴 마찬가지’라던가 ‘어차피 다 막지 못한다며?’라는 반응이 나오는 이유죠. 그런 산업이 이상하게 품질보증이라는 제도도 가지고 있지 않다니, 생각해보세요, 정말 이상하죠?”

현재 센티널원(SentinelOne)이라는 보안 전문업체에 적을 두고 있는 그로스만은 자사에서 최근 도입한 품질보증제에 대한 경험을 나누기도 했다. “센티널원에서는 자사 고객이 랜섬웨어 공격을 받을 경우 엔드포인트당 1000달러, 최대 총액 1백만 달러를 보장합니다. 해당 보험 상품의 가격은 연간 15만~30만 달러이고요.”

사이버 보험 상품을 구입하는 미국의 기업들이 점점 늘어나고 있다는 건 굳이 그로스만의 설명이 없어도 익히 알려진 바다.

“제가 조사한 바에 따르면 현재 미국의 기업들은 기존의 보안 제품들인 백신, 방화벽, 침입탐지 솔루션 등을 구매하는 데에 38억 달러를 쓰고 있으며, 따로 사이버 보험에만 32억 달러를 지출하고 있습니다.”

이 역시 보안 관련 기술을 믿지 못하고 있다는 걸 방증한다. “사고가 날 거라고 예상하고 있다는 뜻이고, 우리가 막지 못할 것이 뻔하니 다른 방책을 마련하겠다는 의도인 것이죠.” 그런데 사이버 보험이라고 완벽한 건 아니다.

그 유명한 타깃(Target) 사건 때, 회사가 본 손해는 2억 4,800만 달러였는데, 보험 회사가 지불한 건 9,000만 달러에 불과했다. “홈데포(Home Depot) 사건 때도 4,300만 달러 손해를 입은 기업에게 보험회사가 지불한 건 1,500만 달러 뿐이었죠.”

그로스만은 “지금 우리 기업의 안전 구조가 ‘해킹을 당하고, 피해가 발생하고, 보험사가 지불한다’의 3단 구조로 정착되고 있다”는 점 또한 강조했다.

이 구조 안에 정보보안 산업은 들어가 있지 않다. 그렇다면 투자를 늘릴 기업들은 어디에 관심을 둘까? 보험사다. “게다가 보험 상품 하나로는 커버가 다 되지 않으니 여러 상품을 사는 회사가 늘어나고 있습니다. 하나로 5천만 달러를 보장받으면 1억 달러 보장이 되는 보험에 가입하는 식이죠.”

그로스만은 사이버 보험 시장이 짧은 기간 내에 폭발할 것이라고 예측하고 있다. 그렇다면 자연스럽게 정보보안을 잘 알고 있는 브로커가 중간역할을 해주어야 한다.

“보안 등급을 매기는 평가지수 같은 게 등장할 것도 같습니다. 정보보안의 현황을 한 눈에 파악하고 싶어할 사람들이 늘어날 거니까요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[글 시큐리티월드 김성미 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>