• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보험 업계, 사이버 보안 문제 해결 위해 연합하나 2019.04.01

세계적인 보험사들, 사이버 보안 제품과 서비스 평가하고 공유
이미 보안 품질 평가 기준은 다양해...보안 평가란 복잡한 개념, 소화할까?

[보안뉴스 문가용 기자] 세계에서 손꼽히는 규모를 자랑하는 보험 업체들이 공동으로 사이버 보안과 관련된 프로젝트를 새롭게 시작했다. 보안 제품에 대해 소비자가 평가할 수 있도록 하는 것이 이 프로젝트의 기본 골자다.

[이미지 = iclickart]


이 프로젝트를 제일 먼저 시작한 건 마쉬앤맥레넌(Marsh & McLennan)으로, 해킹 위험을 줄이기 위한 최고의 제품들에 점수를 매기고, 기업들에게 제공되는 사이버 보안 서비스를 평가할 것이라고 한다. 이를 보도한 월스트리트저널에 따르면 “마쉬앤맥레넌은 이 프로젝트에 참여하는 다른 보험 업체들로부터 평가서를 모아 합산해서 현존하는 사이버 위험을 줄이는 데 가장 적합한 제품 및 서비스를 찾아낼 것”이라고 한다. 물론 이 평가 결과는 마쉬앤맥레넌 웹사이트를 통해 공개될 예정이다.

보안 관리 솔루션 전문 업체인 파노레이즈(Panorays)의 CEO 마탄 올엘(Matan Or-El)은 보험 업계의 이 같은 시도를 두고 “모두를 위한 윈윈 전략”이라고 칭찬했다. “사이버 보험 가입자들은 객관적으로 평가가 좋고 심지어 보험 업계가 직접 평가한 제품과 서비스를 사용함으로써 공격에 당할 확률은 낮추고, 보험 업계는 일종의 추천 상품을 직접 제시함으로써 보안 표준을 높여 보험금이 지출될 확률을 줄일 수 있습니다.”

하지만 평가 절차에 있어 적잖은 어려움이 예상되기도 한다. 먼저는 여러 보험 회사들이 여기에 참여해야 평가 결과가 힘을 얻을 수 있다. 또한 사이버 위협은 계속해서 바뀌고 변하기 때문에, 그 시기에 맞는 최고의 상품이나 서비스도 발을 맞춰야 하는데, 이 주기를 모든 보험 업체들과 함께 결정하는 문제도 민감하게 작용할 수 있다.

올엘은 “적절한 타이밍에 시장에 나와, 기능성보다 선점효과를 누리고 있는 유명 제품들에 대한 평가도 있어야 할 것”이라고 지적한다. “신기술을 평가하는 것이나, 이미 존재하는 서비스들에 대한 평가나 같은 기준으로 진행해야 합니다. 즉 현재 얼마나 위험을 잘 막을 수 있는가를 투명하게 측정해야 한다는 것이죠. 그러려면 정말 많은 제품과 서비스를 분석해야 할 텐데, 아마 어마어마한 업무량이 발생할 것입니다.”

보안 업체 콤포트 AG(comforte AG)의 기업 데이터 보호 책임자인 조나단 드보(Jonathan Deveaux)는 “보안 전문가들 모두가 이런 시도에 동의하지는 않는다”는 의견을 펼쳤다. “이미 비슷한 평가 서비스를 제공하는 업체나 기관이 여럿 있습니다. 그런데 여기에 보험 업계까지 참여하겠다면, 오히려 소비자들의 혼란이 가중될 것입니다. 수많은 평가를 받아야 하는 보안 업계로서도 혼란스럽긴 마찬가지일 것이고요.”

드보는 “사이버 보안 문제를 해결하는 방식에는 정답이 없고, 그래서 전문가마다, 회사마다, 기관마다 다른 방식으로 접근한다”고 설명한다. “그러니 같은 결과를 내는 것처럼 보이더라도 보이지 않는 측면에서 천차만별의 기준을 가지고 평가할 수 있습니다. 섣부른 평가 기준만 더해지면, 업체들이 가시적인 결과 내기에만 장점을 가진 솔루션을 출시할 수도 있습니다.”

그러면서 드보는 ‘데이터 보안’이라는 평가 항목을 예로 든다. “데이터를 보호하는 방법은 무수하게 많습니다. 암호화, 익명화, 마스킹 등이 대표적인데, 이 기술들 하나하나도 여러 가지 방법론을 가지고 있습니다. 보안을 평가하는 게 얼마나 복잡하고 어려운 일인지 보험 업계가 알고 있는지도 의문이고, 그걸 잘 수행할 수 있을지도 의심스럽습니다. 또한 접근을 불가하게 만드는 것이 데이터 보호인지, 접근은 허하되 열람이 안 되도록 하는 게 보호인지도 아직 정확히 정의되지 않은 문제입니다.”

또한 드보는 “만약 보험 가입 고객사가 점수가 높은 제품들을 사용했는데도 데이터 유출 사고 등이 발생했을 경우, 보험 업계가 제시한 평가 결과는 어떤 식으로 처리하거나 바라봐야 하는가?”와 같은 질문도 던졌다. “그 복잡한 평가 절차를 다시 시작해야 할까요? 아니면 예외적인 경우라고 치고 그대로 고수해야 할까요? 그런 점도 명시가 되어야 할 부분이라고 생각합니다.”

3줄 요약
1. 보험 업계, 연합해서 보안 서비스와 제품 평가하는 프로젝트 시작함.
2. 긍정론자 : “고객사가 최고의 제품을 사용해 보안 수준 높이고, 보험 업계는 보험금 지출 확률 낮아”
3. 부정론자 : “이미 평가 기준 다양하게 존재하기 때문에 혼란만 가중시킬 것이며, 보다 명확히 해야 할 것 많음”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>