보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[주말판] 인공지능 기술의 상승세 때문에 변해가는 사이버 보험 업계

입력 : 2023-12-09 13:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
인공지능이 보험사들에 변화를 가져오고 있다. 보험 업무를 처리하는 것 자체에도 그렇지만 사이버 보안 사건과 인공지능이 엮이는 경우가 많아지고 있어 보상금을 계산하고 처리하는 면에서도 잡음이 많이 나고 있다. 보험사와 피보험자 모두 고민이 많다.

[보안뉴스= 캐리 팔라디 IT 칼럼니스트] 인공지능은 양날의 검과 같은 존재다. 한쪽 날로는 사용자가 원하는 걸 이뤄주기도 하지만 다른 날로는 사용자 자신의 손을 피로 물들일 수도 있다. 사이버 보안에 있어서도 인공지능은 기존 방어 능력을 몇 갑절로 강화시키는 도구가 될 수 있지만 반대로 공격자들의 공격 능력 역시 새로운 차원으로 업그레이드시켜줄 수 있다.

[이미지 = gettyimagesbank]


이런 인공지능의 특성은 보험사들 입장에서 매우 골치 아프게 작용한다. 인공지능 기술이 발전할 때마다 보안 위협도 커진다고 봐야 하는가, 아니면 줄어든다고 봐야 하는가? 인공지능 기술의 발전과 함께 사이버 보험 상품은 어떻게 바뀌어야 하는가? 가격과 정책은 어떤 수정을 거쳐야 하는가?

위협 행위자들과 방어자들과 인공지능
먼저 인공지능은 보다 고차원적이고, 보다 광범위한 공격을 가능하게 한다. 해커들이 보다 빠르게 움직이게 해 주고, 보다 빠르게 취약점을 찾게 해 주며, 보다 정확하게 노림수를 던질 수 있게 해 준다. 해킹 공격을 처음 시도해 보는 초보 해커들에게도 큰 도움이 되지만, 이미 해킹 공격에 도가 튼 전문 공격 단체에도 매우 유용하다.

반면 방어자들 역시 인공지능을 활용해 자신들의 방어 능력을 한껏 키울 수 있다. “공격자들이 발전된 도구를 들고 나타나 공략하기 시작하면 보안 업계는 어떻게 했나요? 역시나 그에 발 맞춰 방어 능력을 키웠죠. 최근 방어자들은 인공지능 기술을 활용해 보다 정확하고 보다 빠르게 대응하는 방법을 개발해 도입하는 중입니다. 인공지능에 의한 공격은 인공지능에 의한 방어로 맞설 수 있게 됩니다.” 사이버 보안 업체 심스페이스(SimSpace)의 CFO인 제이미 거버(Jame Gerber)의 설명이다.

방어의 측면에서 인공지능은 위협을 탐지하고 미리 막는 데 큰 효과를 보여준다. “인공지능 기술은 네트워크 트래픽, 사용자 활동, 시스템 로그들을 끊임없이 분석함으로써 모든 가능한 사이버 공격 시나리오를 파악할 수 있습니다. 그러면 조직은 이런 시나리오를 바탕으로 능동적인 방어 계획을 세울 수 있게 되고, 따라서 공격에 당할 가능성을 크게 낮추는 것도 가능합니다. 특히 정책이나 시스템에 있을 수 있는 허점들을 찾는 데에 있어 인공지능은 꽤나 유용합니다.” 보험 업체 블랙파이어사이버인슈어런스(Blackfire Cyber Insurance)의 샤민 레만(Sharmeen Rehman)의 설명이다.

인공지능은 사건이 터진 후 대응과 복구를 하는 데 있어서도 대단히 강력할 수 있다. “사실 요즘 보안은 예방보다는 후속 대처를 신속하게 함으로써 피해 규모를 줄이는 데 초점을 맞추고 있습니다. 그렇기 때문에 대응 절차를 간소화하고 시간을 아껴주는 것이 결정적으로 작용하기에 충분합니다. 사이버 보험을 전문으로 하는 기업이라면 인공지능의 이러한 강점에 주목하는 것이 지금으로서는 맞을 듯 합니다."

하지만 인공지능이라는 기술을 도입하고 구축하는 것만으로도 기업은 위험해질 수 있고, 이 역시 보험사가 간과할 수 없는 부분이라고 악사(AXA)의 사이버 기술 분야 책임자인 레이첼 로시니(Rachel Rossini)는 지적한다. “챗GPT의 경우 잘못 사용하면 기밀과 프라이버시가 새나갈 수 있다는 사실이 여러 차례 증명됐죠. 인공지능이라는 기술 자체의 허점과, 인공지능이 낯선 사용자 편에서의 미숙함 모두 리스크가 되기에 충분합니다.”

이런 상황에서 사이버 보험사가 고민해야 할 질문은 다음 두 가지라고 로시니는 정리한다.
1) 새 인공지능 플랫폼이 출시됐을 때 사용자들(피보험자들)을 어떻게 교육시켜야 사고의 리스크가 줄어들 수 있을까?
2) 교육만으로는 부족할 것이고, 인공지능의 안전한 활용을 위해 어떤 규정과 정책을 정하고 이를 어떻게 적용시키도록 유도할 것인가?
현재로서 보험사는 인공지능의 빠른 발전에 맞춰 이 두 가지 질문만 고민해도 충분할 것이라고 로시니는 장담한다. “왜냐면 이 두 가지만 해도 쉽게 답하기 어렵거든요.”

다음은 보험사와 피보험자들이 인공지능과 관련하여 세부적으로 고민해야 할 내용이다.

언더라이팅
계약자와 피계약자 간 약속을 통해서 비용을 내고 금전적 리스크를 이전시키는 행위를 언더라이팅(underwriting)이라고 한다. 보험이라는 분야 내에도 여러 가지 하위 영역이 있는데, 역사와 전통이 강력한 곳이라면 이 언더라이팅 절차나 규정, 방법들이 견고하게 갖춰져 있기 마련이다. 아쉽게도 사이버 보험은 여기에 해당되지 않는다. 로시니 역시 “사이버 보험 언더라이팅에는 표준도 없고 제대로 확립된 절차도 없다”고 말한다.

사이버 보험의 언더라이팅 절차가 확립되지 않았다는 건 무슨 뜻일까? 보험사나 피보험자나 리스크를 제대로 평가할 방법이 없다는 뜻이라고 거버는 풀어 설명한다. “그렇기 때문에 보험사는 피보험자가 보안 도구를 얼마나 갖추고 있는지부터 봅니다. 피보험자의 회사 인력들이 얼마나 보안 교육을 잘 받았으며, 그러므로 얼마나 대처 능력이 좋은지, 보안 인식 수준이 어느 정도인지, 업무 프로세스가 얼마나 탄탄한 복구력을 갖추고 있는지는 평가하지 않거나, 평가의 기준이 없습니다. 인공지능과 관련된 위협을 보험사가 제대로 파악할 수 없는 여건입니다.”

이는 예전부터 지적되어 온 문제이며, 보험사도 위험 평가 방법을 개선하기 위해 여러 가지로 애를 쓰고 있지만 생각만큼 진전이 빠르지 않다. 하지만 인공지능이 등장해 세간의 관심을 끌면서 보험사도 속도를 내기 시작했다. 사이버 위험을 평가하는 방법에 가시적인 변화가 나타나고 있는데, 예를 들어 악사의 경우 오히려 인공지능 기술을 활용해 언더라이팅 과정을 보다 빠르고 정확하게 하는 방법을 연구하고 실험하는 중이다. 악사의 데이터 과학 및 응용 인공지능 분야 수석인 랜 린(Ran Lin)은 “인공지능 기반 자동화 기술을 통해 복잡한 서류를 만들고 보내고 작성하고 서명하는 모든 과정을 생략할 수 있게 될 것”이라고 보고 있다.

하지만 무리하거나 서두르지는 않는다. “아직은 언더라이팅을 대신 해 줄 수 있는 인공지능 기술이란 게 존재하지 않습니다. 지금은 실험하고 개발하고 확인하여 조금씩 발전해가는 단계이죠. 이 점을 분명히 이해하고 있고, 그래서 저희도 그런 분위기에 맞춰가려 하고 있습니다. 보험 산업 전체가 비슷한 상황인 것으로 알고 있습니다.”

보험사 비즐리(Beazley)의 사이버 보험 전문가 폴 밴틱(Paul Bantick)의 경우 “인공지능을 활용해 언더라이팅 문제를 해결하려면, 인공지능에 주입되는 훈련용 데이터의 품질이 매우 중요한 요소가 된다”고 강조한다. 즉 데이터 품질 문제를 먼저 해결해야 인공지능 활용을 꿈꿔볼 수 있다는 것이다. “결국 인공지능을 통해 위험을 정확히 평가하고, 언더라이팅을 빠르게 진행하려면 데이터 수집과 관리 문제를 재평가해야 할 겁니다. 그렇다는 건 이 데이터 문제를 먼저 해결하는 보험사가 인공지능을 통해 경쟁력을 높일 가능성이 높다는 뜻이 되겠죠.”

보험료
사실 인공지능이 물밀 듯이 몰려들어오는 상황에서 사이버 보험사와 사이버 피보험자가 함께 고민하는 것의 종착점은 ‘비용’이다. 인공지능 때문에 오히려 보험료를 높게 책정해야 마땅한가, 아니면 낮아져야 하는가? 인공지능 기술은 보험료에 어떤 영향을 미치고 있을까?

일단 지난 몇 년 동안 사이버 보험료는 계속해서 증가하는 일관된 추세를 보이고 있다. 보험 브로커인 하우덴브로킹(Howden Broking)에 의하면 작년 전반기 동안 연간 보험 상품의 가격이 100% 증가했다고 한다. 그러다가 최근 몇 개월 동안 보험료 인상률이 주춤한 상황이긴 한데, 그렇다고 사이버 보험에 대한 수요와 필요 자체가 줄어든 건 아니라고 한다.

비앰(Veeam)의 CTO인 대니 알란(Danny Allan)은 “인공지능 기술을 보험사가 적극적으로 활용하기만 한다면 보험료는 줄어들어야 정상”이라는 의견이다. “인공지능은 피보험자의 리스크를 평가하는 면에서든 언더라이팅을 진행하는 면에서든 업무 효율을 크게 높일 수 있는 기술입니다. 사이버 보험 상품을 계약할 때 네트워크 보안, 데이터 보안, 정책, 직원들의 인식 수준 등을 다양하게, 그리고 빠르게 평가할 수도 있고요. 그러므로 사이버 보험료는 장기적으로라도 낮아져야 합니다.”

그러나 정보 보안의 기본기가 제대로 갖춰지지 않은 기업이, 그저 보험사가 인공지능의 효율성을 극대화 한다고 해서 낮은 보험료를 누릴 수 있는 건 아니라고 거버는 지적한다. “평가 절차와 서류 업무 자체의 효율성이 늘어나는 것으로 보험료가 빠져봐야 얼마나 빠질까요. 결국 평가 시 성적이 얼마나 잘 나오느냐가 더 큰 가격 결정 요인이 되겠죠. 즉 사이버 보험료를 정말로 낮추고 싶다면 조직 전체의 보안 수준이 다각도로 올라가야 한다는 뜻이 됩니다.”

보험금 청구
보험금을 청구하는 과정은 대단히 복잡해질 수 있다. 그러므로 인공지능 기술을 활용하여 이 절차를 간소화 하고 효율을 높일 수 있다면 가격적인 면에서나 보험금을 빠르게 받는 면에서나 이득 볼 구석이 많다. 레만 역시 “보험금 청구시 제출되는 데이터들을 머신러닝 알고리즘이 접수하게 한다면 규정에서 어긋나는 부분이나 비정상적인 부분, 미흡한 부분을 사람보다 훨씬 빨리 파악할 수 있다”며 “이것만으로도 청구 처리 과정의 효율은 기하급수적으로 올라간다”고 말한다.

여기서 한 발 더 나아가면 인공지능을 통해 청구서에 적힌 피해 내역과 계약 내용, 피보험자의 책임 이행 등을 빠르게 평가하여 적절한 보상 금액을 책정하는 것도 가능해질 수 있다. 로시니는 "이론 상 인공지능 기술은 피보험자가 요구하는 내용을 검토하고 확인하여 보험사가 지불해야 하는 가장 알맞은 금액을 빠른 속도로 산출할 수 있어야 합니다. 그리고 그 계산 과정과 결과를 피보험자에게 제시함으로써 명확한 소통도 이뤄낼 수 있어야 하지요. 이 두 가지만 된다고 해도 보험사 쪽에서는 많은 자원을 아낄 수 있게 됩니다. 피보험자도 그럴 테고요.”

하지만 이런 일이 보편화 되다보면 인공지능을 악용하여 이런 청구 처리 과정을 조작한 후 보험금을 보다 높게 받아내는 범죄도 가능하게 될 것으로 보인다. 밴틱은 “이미 피싱 공격자들이 딥페이크 기술을 활용해 전과 비교할 수 없을 정도로 정교하고 그럴 듯한 속임수를 쓰고 있는 것을 보라”며 “보험 사기꾼들 역시 인공지능을 활용하기 시작한 보험사들의 사정을 눈여겨보며 빈틈을 노릴 것”이라고 점친다.

인공지능이 청구 금액을 정확히 계산한다는 신뢰가 쌓이기 시작하면 보험사나 피보험자 입장 모두에서 반가울 만한 현상이 나타날 수 있다. 바로 보험사가 지불하는 금액에 대한 신뢰도가 높아진다는 것이다. 그러므로 서로 돈을 너무 적게 줬다거나 책임을 다하지 않았다거나 하는 싸움을 벌일 필요가 없어진다. 법정 공방을 벌이는 경우가 아예 사라지지는 않겠지만 현저히 줄어들 수 있고, 이는 여러 면에서 비용 절감으로 이어질 수 있다.

사이버전
사이버전이 노골적으로 행해짐에 따라 여러 나라의 사회 기반 시설들이 사이버 공격의 표적이 되고 있다. 그런 가운데 인공지능을 활용해 적국의 기반 시설을 치려는 시도들 역시 늘어나는 중이다. 이런 상황은 사이버 보험 상품에 어떤 영향을 미칠까? 예측이 쉽지 않다. “일단 사이버전은 공격 행위자 즉 가해자를 적발하는 게 매우 힘들다는 특성을 가지고 있습니다. 인공지능이 자동으로 공격을 실행한다면 공격자 찾는 게 더더욱 힘들어지죠. 보험을 가지고 접근하기에 쉬운 내용이 아닙니다.”

보험사들과, 보험 정책을 정하는 입법자들 모두 사이버전을 보험으로 어떻게 보장해야 하는지 깊이 고심하고 있는 것으로 알려져 있다. 그 누구도 정답을 가지고 있지 않다. “하지만 점점 굳어져가는 추세라는 건 있습니다. 사이버전을 ‘전쟁 행위’의 일종으로 보는 것이죠. 그럴 경우 보험사들은 보험금 지급의 의무에서 벗어나게 됩니다. 전쟁과 같은 인적 재앙까지 보험사가 보장해줄 필요가 없다는 건 널리 알려진 사실인데 이 논리를 사이버 보험에서 보험사들이 가져가려 하고 있습니다. 인공지능 기술이 개입하는 공격이든 아니든 결국 보험사들의 입장은 대부분 이 방향으로 가지 않을까 합니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대