현재 시장 규모는 전 세계 40억 달러 정도...2025년에는 200억 달러
보험의 가장 큰 단점은 “잘못된 자신감”...수많은 보호 장치 중 하나일 뿐

[보안뉴스 문가용 기자] 이제 사이버 공격이라는 위협은 세상 모든 조직들에 있어 항시 존재하는 것이 되어버렸다. 가장 탄탄할 것 같았던 조직의 비밀이 내부에서 새어나오기도 하고, 해커들의 관심을 끌지 못할 것 같은 조직도 당하고 있다. 그리고 이런 사건들은 조직의 운명을 좌지우지할 만한 위력을 발휘한다.


예를 들어 2018년 10월, 테스코은행(Tesco Bank)은 2016년 발생한 사이버 공격에 대한 분쟁 합의금으로 1640만 파운드(약 238억 원)를 내는 데 동의했다. 해킹으로 인한 피해를 뺀, 사실상 벌금과 같은 돈으로서 어마어마한 지출을 해야만 했던 것이다. 테스코은행이나 되니 버텼지, 사실상 많은 기업들은 도산했을 것이다.

그렇기 때문에 이러한 위협으로부터 조직을 보호하는 방법과 도구들에 대한 이야기는 임원 회의의 단골 주제로 자리를 잡고 있다. 처음에는 보안 솔루션과 기업들에 대한 이야기가 나왔는데, 어느 덧 여기에 하나의 보호 장치가 더 등장했다. 바로 사이버 보험이다. 조직의 지갑을 보호한다는 측면에서 사이버 보험은 큰 관심을 끌고 있다.

사이버 보험이란 무엇인가?
하지만 사이버 보험이란 것 자체에 대한 이해도가 아직 높지 않은 상태다. 그건 보험 업계도 마찬가지다. 시장 조사 전문 기관인 451리서치(451 Research)의 정보 보안 책임자인 다니엘 케네디(Daniel Kennedy)는 사이버 보험에 대해 “사업 행위에 대한 위험 전가의 한 형태”라고 설명한다.

“기업들은 마비, 데이터 유출 등 보안 문제로 인한 금전적 피해가 발생하는 상황이 일어났을 때의 잠재적 충격을 식별합니다. 이를 바탕으로 기업을 외부 포렌식 서비스나 보안 전문 서비스, 금전적 보상 제도를 활용하고 지불할 수 있는 능력을 구축할 수 있습니다.”

조금 어렵게 말을 했지만 그의 말은 결국 이런 것이다. “우리는 집에 보관해 둔 것들을 지키기 위해 문에 잠금장치를 하지만, 그래도 누군가 쳐들어오는 데 성공할 것에 대비해 주택 보험에 가입합니다. 사이버 보험도 바로 이런 것으로, 소중한 디지털 소유물을 보호하기 위해 보안 장치를 마련하는 것을 넘어, 실제 피해를 당했을 때를 대비해 금전적 보상 장치를 마련하는 겁니다.”

또 다른 시장 조사 기관인 IDC의 분석가 사비타 마주쿠마(Sabitha Majukumar)는 비슷하면서도 조금 다른 정의를 내린다. “사이버 보험은 문에 자물쇠를 하나 더 걸어놓는 것과 같습니다.” 그러나 조심스럽게 접근할 것을 권장한다.

“1년 정도는 위험 관리 전문가, 금융 분석가의 컨설팅을 충분히 받으셔서, 보험 가입이 적절한 것인지 확인하십시오. 이건 조직마다 상황이 달라서 무조건 좋다고만은 할 수 없습니다. 게다가 보험 업계도 아직 사이버 보험 상품에 대해 정확히 이해하지 못하고 있거든요. 평가를 마쳤다면 그 다음 2년 정도는 보험에 가입했을 때 바뀌어야 할 점들을 조직 내에 미리 정착시키는 작업을 해야 합니다. 보험에 가입하면 여러 가지 정책적 변화가 있을 겁니다.”

사이버 보험, 왜 인기를 끌고 있나?
시장 조사 보고서인 베털리 리포트(The Betterley Report)에 의하면, 2010~2017년 사이 사이버 보험 시장의 성장률은 전 세계적으로 31%를 기록했다고 한다. 꽤나 준수한 속도로 자라고 있는 분야라고 봐도 된다는 것이다. 전 세계적인 사이버 보험 시장의 규모는 40억 달러라고 한다. 이 중 보험료 수입의 90%는 미국에서 발생하고 있다.

영국문화미디어스포츠부(Department for Culture, Media and Sport)에서 조사한 바에 의하면 기업들의 약 9%가 사이버 보험에 가입한 상태인데, 대기업만을 따지면 약 24%가 보험 가입 기업이라고 한다. 앞으로 이는 계속 높아질 전망이다.

가트너(Gartner)의 부사장인 유에르겐 바이스(Juergen Weiss)는 이 수치에 다른 의미가 있다고 설명한다. “사이버 보험 가입률은 사이버 위험에 대한 기업의 이해도를 반영하기도 합니다. 기업의 9%가 보험에 가입했다는 건, 아직 9%의 기업만이 사이버 위험을 이해하고 있다는 건 아니지만, 그런 이해도를 가지고 조치를 실천적으로 취하는 기업이 상당히 적다는 뜻으로 볼 수 있습니다.”

그렇다는 건 위험에 대한 인식이 오를수록 보험 시장의 규모가 커질 거라는 뜻도 된다. 세계적인 보험 회사 알리안츠(Allianz)는 “사이버 보험 시장이 2025년까지 200억 달러 규모로 성장할 것”이라고 예측한 바 있다. 그렇다면 사이버 보험 시장의 규모가 커지는 건, 사이버 위험에 대한 인식이 높아지고 있어서만 일까? 바이스는 “아니”라고 말한다.

“최근 몇 년 동안 사이버 보험 시장의 성장에 가장 큰 기여를 한 건 다름 아닌 GDPR입니다. 기업들이 사고에 대한 걱정을 하는 것보다, 새로운 정책으로 인한 벌금 등에 대한 손실을 더 걱정하면서 보험 가입에 눈을 돌린 겁니다. GDPR은 예고됐을 때부터 그 어마어마한 벌금 때문에 관심을 끌었죠. 2천만 유로 혹은 1년 총 매출의 4%라니 말입니다.”

영국 보험협회의 사이버 정책 고문인 조셉 에이헌(Joseph Ahern) 역시 어느 정도 동의한다. “GDPR이 요란하게 등장한 덕분에 정보 보호에 대한 중요성을 사람들이 인식하기 시작했습니다. 진지하게 정보 보안을 제대로 하지 않았을 때 잃을 수 있는 것들을 고민한 것입니다. 미국에서 사이버 보험 시장이 크게 성장하고 있는 건, 여러 주들에서 GDPR과 비슷한 개념의 규정을 지키고 있기 때문입니다.”

물론 다양한 사이버 보안 사건들도 보험 시장의 성장에 영향을 주긴 한다. 매일 기업들은 수천~수만 번의 공격을 받는다. 시장 조사 및 통계 전문 기관인 스태티스타(Statista)에 의하면 작년 미국의 기업들이 사이비 공격으로 인해 입은 피해가 210억 달러라고 한다. 이 정도의 피해가 발생하는 나라에서 사이버 보험이 성장하지 않으면, 그건 또 그것대로 이상한 일이다.

그러나 보험이 만능인 건 아니다. 재보험사인 뮌헨리(MunichRe)에 의하면 사이버 보안 사고로 잃는 피해의 5%만이 보험으로 보장된다고 한다. 시장 조사 기관 포레스터(Forrester)의 수석 분석가인 하이디 셰이(Heidi Shey)는 “지난 한 해 동안 발생한 대규모 데이터 유출 사고와 랜섬웨어 공격이 전 세계적으로 헤드라인을 장식했다”며, “여러 모로 안전에 대한 기업의 관심도를 높여주는 데 일조했다”고 말한다. “그러면서 보험을 찾기 시작했지만 보상이 충분치 않은 상태죠. 그래서 새로운 보험 상품에 대한 수요가 늘어나기도 했습니다.”

보험, 가입 기업들에 정확히 뭘 주는가?
케네디는 사이버 보험이라는 장치는 곡예사들의 안전 그물과 같은 기능을 한다고 설명한다. 특히 데이터를 대량으로 손실했을 때 피해를 복구하는 데 도움이 되는 장치라고 그는 지적한다. “제가 상담한 많은 기업들이 데이터 유출로 인한 피해를 걱정하고 있었습니다. 포렌식 수사에 드는 비용, 고객에게 사실을 통보하고 그 반응에 대응할 때 드는 비용, 피해 보상과 신용 모니터링 서비스, 지원센터 비상 운영, 벌금 등 들어가야 할 돈이 이만저만이 아니거든요. 이 때 보험사의 도움을 받으면 좋겠다고 생각하기 시작한 것이죠.”

에이헌의 경우는 사이버 보험의 존재 의미는 “단순 비상금보다 크다”는 의견이다. “보험 상품을 알아보고 조사하는 과정에서 실질적인 상담을 받을 수 있습니다. 보험 회사들도 사고가 일어나서 돈을 지불하는 걸 최대한 피하고 싶거든요. 그래서 어떻게 해야 피해 상황을 최대한 예방할 수 있는지에 관해 맞춤형 제안을 해주죠. 이게 큰 도움이 됩니다. 보험을 유지하는 기간 동안 보험사와 사용자 기업은 파트너가 되는 겁니다.”

셰이는 “그렇기에 보험 상품과 회사를 고르는 데 있어 신중한 검토를 해야 한다”고 주장한다. “싼 연회비, 높은 보상금...이런 것만 찾아서는 안 됩니다. 그런 곳들은 실제 사고 발생 시 조건을 까다롭게 설정하고 해석해 기대만큼의 보상금을 주지 않는 것이 보통입니다. 사이버 위험에 대한 이해도가 높은 보험사, 그 이해도를 바탕으로 객관적으로 회사의 위험성을 측정 및 평가해줄 수 있는 곳을 만나야 합니다. 돈도 중요하지만, 보험사로부터 얻을 것은 돈만이 아닙니다.”

마주쿠마도 비슷한 의견이다. “사이버 보험 프로그램이나 회사와 손을 잡기 전에 CIO들이 꼼꼼한 검토를 해야 합니다. 보험이 보장해주는 위험 요소가 무엇이며, 어느 정도 수준으로 보상해주고, 그게 실질적으로 우리 조직에 얼마나 도움이 될지를 조사하는 게 중요합니다.”

사이버 보험의 단점은?
에이헌은 “단점은 없다”고 잘라 말한다. “굳이 하나를 꼽자면 보험비를 낸다는 건데, 이게 아까운 곳은 사실 현재 사이버 공간의 위험성을 하나도 모르는 거라고 볼 수 있습니다.” 케네디는 “보험은 위험을 관리하는 수많은 방법들 중 하나에 불과하기 때문에 장단을 따지는 게 그리 의미 있는 행위는 아니”라는 의견이다. “여러 겹으로 보호 장치를 하는 건 어느 것 하나 완벽하지 않기 때문이고, 그걸 서로 보완할 수 있어야 구멍 없는 보호막이 완성되기 때문입니다.”

그러면서 그는 굳이 꼽자면 “보험 가입했다고 보안에 소홀해질 수 있는 것”을 단점으로 꼽는다. “비싼 보험료를 내고 있고, 사고가 일어나도 그들이 돈을 주니까 다 된 것으로 생각하는 분들이 간혹 있습니다. 이건 대단히 잘못된 생각이며, 그런 분들은 차라리 보험에 가입하지 않는 게 유익할 겁니다. 보험은 여러 안전 장치 중 하나에 불과할 뿐입니다만 보험사가 가입하려는 회사에 이런 말을 하기는 쉽지 않을 겁니다. 게다가 보안 사고로 잃는 건 돈만이 아닌데, 보험이 줄 수 있는 건 돈 뿐이지요.”

바이스는 “사이버 보험 시장이 아직 성숙하지 않았다는 것이 단점”이라고 꼽는다. “아직 사이버 보안 사고가 가진 위험성을 책정하는 부분에서 통일된 개념이나 방법이 나오지 않았습니다. 그래서 프로그램이 천차만별이고 회사마다 다 다른 보상안을 제 시하고 있죠. 표준화된 상품도 없고, 그래서 파는 자나 사는 자 입장에서 이해하기가 어렵고, 합의점에 이르기도 힘듭니다. 그래서 사고가 발생하고 나서, 보험회사와 싸움이 붙은 조직들도 많죠. 그래서 결국 잘 맞는 보험사를 잘 찾아야 한다는 결론에 이르게 되는 것이고요.”

3줄 요약
1. 사이버 보험 시장, 빠르게 성장 중. 성장 요인은 GDPR과 사이버 보안 사고들.
2. 사이버 보험은 곡예사들의 안전 그물. 정보 유출 사고 시 대처에 필요한 자금 마련에도 유용.
3. 그러나 시장 내 표준화 부족하고, 보안에 대한 잘못된 자신감 심어줄 수 있다는 건 단점.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>