보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 보험, 여태까지는 선택 사항이었지만 이제는 필수 사항

입력 : 2023-12-08 12:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
기업을 운영하려면 반드시 필요한 것들이 몇 가지 있는데, 이제 여기에 사이버 보험도 추가해야 한다. 다만 덮어놓고 보험사를 찾아 계약서에 서명하는 것은 금물이다. 사이버 보험에 가입하기 전에 해야 할 일들이 있다.

[보안뉴스=조 올렉삭 법률 파트너, 플란트모란] 산업을 불문하고 사업 및 IT 분야 결정권자들 사이에서 적극 받아들여지고 있는 두 가지 ‘개념’이 있다. 하나는 사업적 필요에 의해서 IT를 운영해야 한다는 것이다. 신기술이 새롭기 때문에, 혹은 다른 모든 사람들이 사용하는 것 같아서 도입하다 보면 주객이 전도되기 일쑤다. 물론 새로운 기술들을 적극적으로 탐색하고 연구해 도입하는 건 바람직한 일이지만, 사업 목적이라는 커다란 맥락 안에서 하지 않으면 큰 의미를 갖지 못하게 된다.

[이미지 = gettyimagesbank]


너무나 당연한 이야기 같은가? 하지만 일선에 있는 수많은 기업가들 대부분이 놓치고 있는 사안이다. 도입을 위한 도입을 하지, 기업이 진짜 처리해야 할 문제와 최신 기술을 잘 접목시키지 못하고 있다. 그러니 신기술이 가지고 있는 보안 문제에 대해서는 고민도 하지 않는다. 고민을 한다 하더라도 사이버 보험에 가입하는 것으로 문제를 해결하려 하는 게 보통이다.

그러면서 자연스럽게 두 번째 개념으로 이야기가 넘어간다. 그것은 바로 ‘사이버 보험은 이제 필수품’이라는 것이다. 원래 사이버 보험은 있으면 좋겠지만 꼭 가지고 있어야 하는 건 아니었다. 그러나 요즘 사이버 범죄는 너무나 큰 손해를 야기하며, 아무리 열심히 보안을 강화시켜도 한 번이라도 뚫리면 모든 노력이 허사로 돌아갈 때가 많다. 그래서 점점 더 많은 기업들이 보안 외에도 믿을만한 구석을 하나 더 확보하기 시작했다. 그것이 사이버 보험이다. 그래서일까, 요즘 사이버 보험료는 기하급수적으로 올라가고 있다.

이 두 가지 개념이 맞물려 확산되면서 IT 분야 결정권자들은 자신들이 구축하고 관리하고 있는 IT 생태계와 보안 현황을 새로운 눈으로 바라보기 시작했다. ‘우리는 진짜 문제를 해결하기 위해 기술을 도입하고 있는가, 아니면 기술 도입의 물결에 휘말려들었나’를 점검하기 위해서이기도 하지만 ‘보험료를 낮출 수 있을 정도로 보안 아키텍처가 튼튼한가’를 평가하기 위해서이기도 하다. 이를 위해 다음 순서를 밟는 것을 추천한다.

1) 사업 충격 분석(BIA) : 각종 사이버 공격에 당했을 때 기업은 어떤 충격을 받게 될 것인지를 평가하고, 그것을 정량적으로 표현하는 것부터 시작한다. IT, 사업 운영, 재무, 규정 준수, 법무, HR, 마케팅, PR 등 회사를 구성하고 있는 주요 부서들의 관리자급 인물들이 다 함께 진행하는 것이 가장 이상적이다. 이렇게 다각도로 기업의 위험을 분석하고 파악하게 된다면 사이버 보험 상품을 고를 때 가장 적절한 것을 선택할 가능성이 높아진다.

2) 각종 사이버 보험 상품의 상세 점검 : 해킹 사건 한 번에 건강한 기업 하나가 갑자기 휘청이고 심지어 문을 닫을 수도 있다. 너무 큰 사건이 터지면 보험금을 지급해야 하는 보험사마저 같이 무너질 수 있다. 그렇기 때문에 보험사들은 여러 조항을 통해 피보험자가 반드시 지켜야 하는 항목들을 제시하는 게 보통이다. 그런데 피보험자들 대다수가 자신들이 마땅히 했어야 할 일들이 있다는 사실을 너무 늦게 파악한다. 보험에 가입한 순간 모든 위험을 보험사가 지는 걸로만 이해한다. 그래서 진짜 보험금이 필요할 때 제대로 받지 못한다. 기업에 너무나 치명적인 영향을 주는 실수이므로 미연에 방지하는 게 현명하다.

3) 브로커와의 상담 : 보안 강화의 방법을 찾아 적용하는 것도 중요하지만, 사이버 보험 상품들에 대해 이해하는 것도 피보험자로서는 매우 중요한 일이다. 그러나 혼자서 깨알 같은 글자로 작성된 보험 상품 설명서를 읽는 것에는 한계가 있다(꼭 해야 하는 일이긴 하다). 혼자서 보험 공부를 좀 했다면 그 다음 여러 보험 상품에 대해 잘 이해하고 있으며, 판매까지 하고 있는 브로커들을 만나 필요한 질문들을 하고 답을 듣는 시간을 갖는 게 좋다. 그리고 구매하고자 하는 보험 상품의 범위가 어느 정도 좁혀지면 여러 브로커들에게 견적서를 요청해 비교하는 단계도 밟아야 한다.

4) 실질적인 보안 강화 : 회사의 리스크도 알았고, 사이버 보험 상품에 대해서 충분히 조사했다면 이제 보험료 낮추는 작업을 진행해야 한다. 보험사마다, 그리고 상품마다 가격 책정 정책은 다르다. 하지만 큰 틀에서는 ‘보안 사고 리스크가 적으면 적을수록 보험료가 낮아진다’는 추세를 따른다. 산업들마다 정해둔 규정이나 표준을 잘 준수하고 있는지, ISO 2700, NIST-CSF, SOC, HiTRUST, PCI-DSS 등 필요한 보안 인증서들을 제대로 갖추고 있는지부터 점검하는 게 좋다. 이런 건 보험사에 가시적으로 제시하기에 좋은 자료가 된다.

5) 서드파티 업체와 보안 점검 : 보안 강화 절차까지 밟았다면 이를 보험사에 보이기 전에 먼저 다른 서드파티 업체를 초빙해 최종 보안 점검을 해야 한다. 내부에서 아무리 보안을 객관적으로 평가하고 보완한다 하더라도 내부인이기 때문에 보지 못하는 것들이 있다. 반대로 외부인이기 때문에 보이는 것들이 있다. 이런 것들을 남김없이 찾아낸 후 보험사를 만나는 것이 좋다. 어차피 요즘은 보험사들도 피보험자의 리스크와 보안 실태를 파악하는데, 그 전에 ‘모의고사’를 치른다고 생각하면 편할 수 있다. 보험 때문이 아니더라도 주기적으로 외부 보안 평가를 갖는 건 건강한 보안 아키텍처를 갖추는 데 큰 도움이 된다.

글 : 조 올렉삭(Joe Oleksak), 파트너, Plante Moran
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대