랜섬웨어 공격이 점점 악랄해지면서 사이버 보험비도 덩달아 상승

사이버 공격자들이 활동의 폭을 넓히고 바쁘게 움직이니 기업들의 보험비가 올라가기 시작했다. 그런데 사이버 보험 상품이라는 것 자체에 특별한 기준이나 표준이 없어, 보험사들조차 적절하게 대처하지 못하고 있다. 다만 가격만 올릴 뿐인데, 이는 언젠가 막다른 길에 도달할 수밖에 없는 방법이다.

[보안뉴스 문가용 기자] 랜섬웨어 공격이 기승을 부림에 따라 영국과 미국의 사이버 보험 상품들의 값이 치솟고 있다는 조사 결과가 발표됐다. 지난 2년 동안 미국에서 발생한 랜섬웨어 사건들에서 기업들 범인들에게 지불한 돈의 평균 금액은 350만 달러였다. 보험사 입장에서도 너무나 큰 금액이고, 그렇기 때문에 보험사들은 고객의 내부 보안 관련 사항들을 샅샅이 알고, 관여하고 싶어 하는데, 이것이 보안에 긍정적으로 작용한다고 파나시어(Panaseer)가 발표했다.

[이미지 = utoimage]

하지만 보험 업체는 결국 보험 업체일 뿐, 고객의 보안 상태를 정확히 파악하는 데에는 한계가 있다. 그렇기 때문에 보험 상품의 가격이 치솟는 것이라고 파나시어의 창립자인 닉 휘트필드(Nik Whitfield)는 설명한다. “이번에 저희가 조사한 보험사들의 82%가 앞으로 계속해서 보험료가 오를 것으로 예상하고 있습니다. 랜섬웨어의 가격은 계속해서 오르고, 피해자들도 늘어나고 있기 때문이죠. 그리고 보험 업체들은 고객사들이 처음부터 이런 공격에 당하지 않게 할 방법을 가지고 있지 않고요.”

하지만 보험사라고 해서 돈을 올리는 방법으로만 문제에 접근하려 하는 건 아니다. “응답자의 87%는 사이버 위험을 보다 체계적이고 안정적으로 분석할 수 있었으면 좋겠다는 입장을 표명했습니다. 보다 구체적으로 보안에 접근할 수 있다면 일괄적으로 보험비를 올리는 일을 하지 않아도 되니까요. 보험사가 보험비를 책정할 때에는 수많은 정보가 필요한데, 보안 쪽에서는 그런 정보가 부족하다는 것이죠. 앞으로 고객의 보안 관련 데이터를 실시간으로 받아볼 수 있도록 보험사들이 움직일 것으로 예상됩니다.”

이번 조사에 의하면 잠재 고객의 보안 상황을 평가할 때 보험사들이 가장 중요하게 생각하는 건 클라우드 보안이었다. 응답자의 40%가 클라우드 보안이 가장 중요한 평가 요인이 된다고 꼽은 것이다. 그 다음은 순서대로 보안 인지도(36%), 애플리케이션 보안(32%), 취약점 관리(31%), 높은 권한 관리(31%), 패치 관리(30%)였다.

휘트필드는 보험사들이 실제 현상에서 고객들의 보안 상황을 평가할 때 적잖은 어려움을 느낄 것이라고 말한다. “보안과 관련된 정보는 매우 민감한 정보인 경우가 많습니다. 권한이 높은 사람만이 접근할 수 있는 정보인 것이죠. 그런 정보를 외부인에게 넘길 때 망설여지지 않을 수 없습니다. 아마 정보를 전부 공개하려 하지도 않고, 심지어 평가를 거절하는 곳도 많을 겁니다. 보험사가 제대로 된 평가 시스템을 갖추었다고 하더라도 애초에 어려운 작업일 수밖에 없습니다.”

제대로 된 보안 관련 데이터를 넘기기 어려운 기업들은 보험 가입 자체가 어려워질 수도 있다. 그렇다는 건 랜섬웨어에 아무런 보호 장치 없이 노출되는 것과 같아 위험하다. “그런 경우가 있기 때문에 보험사와 고객사가 같이 방어책을 만들어 기업 전체의 보안 상황을 연구하고 향상시키는 프로그램도 있어야 합니다. 보안을 알아서 하는 대신 비싼 보험료를 납부하는 상품 대신, 보안을 같이 강화하는 대신 좀 더 저렴한 보험료를 내도록 하는 상품도 곧 나타나지 않을까 예상하고 있습니다.”

사이버 보험 시장, 가격은 아직도 일관적이지 않아
이번 조사를 통해 다시 한 번 드러난 사실은 보험사들도 아직 사이버 보험 상품에 대한 가격을 어떻게 정해야 하는지를 명확하게 이해하고 있지 않다는 것이다. 모든 응답자의 47%는 “현재의 보험 상품 계약 과정에 매우 자신이 있다”고 답했지만 44%는 “어느 정도까지만 자신이 있다”고 답했다. “상충되는 답안들이 많습니다. 어떤 부분에서는 자신들의 가격 책정 방식에 무한 자신감을 표현하다가도 또 다른 분야에서는 가격을 어떻게 매겨야 할지 모르겠다고 답하기도 했습니다. 사이버 보험을 어떤 식으로 운영해야 하는지 보험 업계 전체가 터놓고 이야기 하지 않고 각자가 알아서 고민하고 연구하는 것으로 보입니다.”

게다가 ‘예측 가능성’이라는 측면에서 사이버 세계는 너무나 불친절하다는 것 역시 보험사들을 헤매게 만든다. “보험사가 고객사의 위험을 평가하는 건 당연히 해야 하는 일입니다. 그런데 그 위험을 평가하는 데 가장 중요한 요소인 과거 사건들이 미래를 예측하는 데 전혀 도움을 주지 않죠. 새로운 위협 행위자들이 줄지어 등장하고 있고, 새로운 도구와 전략들도 공격자들이 끊임없이 개발하니까요. 차 사고에는 일정한 패턴이 있고, 사람들이 저마다 다른 방식으로 사고를 내기 위해 연구를 하지는 않잖아요? 보험사 입장에서도 매우 난해한 문제일 수밖에 없습니다.”

보안 업체 카스퍼스키(Kaspersky)가 2022년 1월 조사에 발표한 보고서에 의하면 기업들 사이에서 사이버 보험에 가입하려는 움직임이 계속해서 증가하고 있다고 한다. 당시 28%의 응답자들이 매년 2만 5천 달러에서 5만 달러를 사이버 보험에 투자한다고 밝혔다. 휘트필드는 “사이버 공격자들의 행위가 더 극성스러워지고 있기 때문에, 기업들 입장에선 가격이 오르는 보험이라도 가입해 두어야 마음이 편할 수밖에 없다”고 해석한다. “아직 사이버 리스크와 사이버 보험 사이에 저울질을 진지하게 해야 할 정도로 보험 상품이 비싸진 건 아니라고 해석할 수도 있지요.”

하지만 휘트필드는 “보험비가 계속해서 오르기만 해서는 결국 한계에 봉착할 것”이라고 말한다. “사업적으로 봤을 때 결코 좋은 방향이라고 할 수 없습니다. 보험 상품 덕분에 가입 기업은 안심할 수 있어야 하고, 보험사는 적절한 이윤을 남길 수 있어야 합니다. 사이버 사고와 그 피해들을 생각했을 때 그냥 가입비 내고, 사고 시 보장 받는 것만으로는 뭔가 아쉽죠. 보험사는 보다 객관적이고 기술적으로 보안을 평가할 방법을 개발하고, 고객사는 보다 열린 마음으로 보안 강화를 같이 할 수 있어야 하는데, 그렇기 때문에 기존 보험 상품으로는 구성할 수 없었던 파트너십들이 생겨날 수도 있다고 봅니다. 그리고 그런 식의 실질적인 혁신이 산업 내에 일어날 수밖에 없는 분위기가 지금의 상황이라고 생각합니다.”

3줄 요약
1. 랜섬웨어가 기승을 떠니 사이버 보험비도 덩달아 치솟음.
2. 그런데 무작정 보험 상품 비용만 높여서는 고객이나 보험사나 얻을 게 없음.
3. 사이버 보안을 다루는 사이버 보험 상품은 이전 보험 상품과 근본 개념부터 달리할 필요가 있을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)