세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
사이버 보안 보험을 고민하는 CISO들의 실천사항 3
  |  입력 : 2016-07-07 09:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
꾸준한 평행선의 사이버 보안 업계와 보험 업계
보험 업계로서는 사건 범위 측량 어려워... 용어 정립부터 해야


[보안뉴스 문가용] 정보보안과 보험 업계는 꾸준히 평행선을 그려왔다. 하지만 정보보안 업계에 일어나는 사고의 규모와 후폭풍이 무시 못할 수준이 되자 두 산업은 협력하는 법을 배울 수밖에 없게 되었다. 최근 피봇포인트 리스크 애널리틱스(PivotPoint Risk Analytics)에서 203명의 IT 보안 전문가들과 194명의 보험 전문가들을 대상으로 설문을 실시했는데, 이 같은 현상이 뚜렷하게 나타났다.

하지만 갈 길이 먼 건 여전한 사실이다. 용어 사용 문제에서 이 부분이 가장 뚜렷하게 드러난다. 심지어 ‘리스크’나 ‘정보 유출’과 같은 기본적인 용어에서조차 이해가 갈리고 있다. 이번 보고서에 의하면 상대 분야 담당자들과 대화시 용어 사용에 불편함을 못 느낀다고 답한 이는 겨우 38%에 그쳤다. 용어가 부족한 것이 가장 큰 문제라고 꼽은 응답자는 55%나 되었다.

이번 설문을 의뢰한 SANS의 수석 분석가인 바바라 필킨스(Barbara Filkins)는 사이버 위협을 ‘보험 상품 하나로 보장한다는 것’이 매우 어려운 일이라는 걸 강조한다. “화재의 경우 발화시점이 있고 타는 과정이 있으며 소화가 완료된 결과가 있습니다. 대부분의 사람들이나 수사관이 전 과정을 파악하는 게 그리 어렵지 않아요. 하지만 사이버 공간에서 일어난 사건은 실제로 공격이 일어난 시점보다 한참 후에 발견이 되며, 발견된 시점에조차 공격이 진행 중인지 끝난 건지 판단하기가 어렵고, 전문가들을 투입한다고 해도 네트워크나 시스템을 완벽히 깨끗하게 청소했다고 장담하기 어렵습니다. 수치적으로나 규정으로서 범위를 정한다는 게 정말 애매합니다.”

보험회사 어드바이즌(Advisen)의 공동 창립자이자 CSO인 데이비드 브래드포드(David Bradford)는 “아직 사이버 보안 업계와 보험 업계가 공동으로 만날 수 있는 장이 마련되어 있지는 않아 각개전투를 필요에 따라 벌이고 있는 상태”라며 “이번 설문을 통해 CISO들이 보험 산업의 행사에 적극 참여하고 있으며 반대로 보험 업계 경영진들이 사이버 보안 인사들을 많이 만나고 다닌다는 걸 알 수 있었다”고 설명했다. “현실적으로 이런 형태의 공조가 당분간 지속되지 않을까 합니다.”

두 산업을 아우르는 데에 있어 명확한 가이드라인이나 정책, 표준이 제시된 건 아니지만 이미 적극적으로 서로를 공부하는 전문가들에게 물었을 때 어느 정도 겹치는 사항들이 발견되기도 했다. 크게 세 가지로 좁혀보고, CISO들을 위한 실천 항목들도 첨가했다.

1. 말이 통하는 게 제일 중요하다. 사이버 보험 정책이라는 게 처음 문서화 된 게 90년대의 일이라는 걸 기억해야 한다. 보험 업계에서는 꽤나 ‘최신 분야’에 속한다는 것이다. 사실 ‘사이버 보험’이라는 용어조차 제대로 정립된 말이 아니다. 그 정의도 보험사마다 다른 게 실정이다. 피해규모를 측정하는 방식도 다르고, 데이터에 대한 가치를 부여하는 정도도 다르다. 캠브리지대학에서 사이버 보험 분야에 필요한 용어 사전을 정리하고 있다고는 하는데 아직 결과물에 대한 소식은 없다.

실천 사항 : CISO들은 보험 업계 사람들과의 접점을 적극 늘려 용어 정립을 함께 논할 필요가 있다. CISO가 속한 조직이 크다면 리스크 관리 책임자도 함께 동석하면 좋다. 이는 보험 업계의 초대로도 성사될 수 있지만 CISO들이 조직적으로 움직여보는 것도 좋은 생각으로 보인다.

2. 가장 기본적인 사이버 보험 정책을 확보해두라. 위에서 언급한 설문 조사 결과 기업들이 투자하는 보안의 분야와 보험 업계가 항목화시키거나 중요하다고 판단하는 분야가 다르다고 나왔다. 캠브리지대학에서 26개의 사이버 보험 상품을 조사했을 때도 보장 범위가 동일한 건 단 한 쌍도 없었다고 한다. 상품이 다 다른 건 좋지만, 그래도 공동의 기본바탕은 시급하게 마련해야 할 것이다.

실천 사항 : CISO들은 자신이 알고 있는 보험 상품의 보장 항목들이 정보보안 업계의 기술과 어떤 관련이 있고, 둘이 어떤 영향을 주고받는지를 파악하고, 고려해야 한다. 공통분모가 단 하나도 없는 현재 상태에서 어느 정도는 상품을 같이 만들어간다는 생각으로 보험 업계 전문가들과 이야기를 나눈다. ‘나는 정보보안 사고에 대한 이야기를 들려주면, 그걸 저쪽에서는 상품화하는 계산을 하겠지’라는 마음으로 알고 있는 걸 많이 들려준다. 사실 아직 지식의 공급자는 보안 전문가 쪽이다.

3. 보험의 존재가치에 대해 막연하게 ‘언젠가 사고가 나거나 해서 목돈이 필요할 때를 위한 안전장치’라고 막연하게 알고 있다면, 보험에 대해 공부를 조금 더 해볼 필요가 있다. 위의 설문에서 보험을 제대로 이해하고 있는 CISO는 14%에 그쳤다. 스스로 보험에 대한 이해가 부족하다고 답한 보안 담당자들 은 40%나 되었고 말이다. 자신이 등록한 상품뿐 아니라 보험 자체에 대한 지식이 조금 더 쌓여야 한다. 그렇지 않고서는 1번 항목이 충족되지 않는다.

실천 사항 : 보험 업계에 있는 상품 개발자들이나 브로커라면 CISO들을 만나 보험 분야에 대한 이해도를 넓혀주어야 한다. 여기서 뜻밖에 떠오르는 직군이 있다면 바로 브로커다. 이들은 CISO와 보험 전문가 사이의 다리 역할을 해주기 때문이다. 브로커는 중간에 개입해있기 때문에 항상 양쪽의 입장을 가장 잘 이해하는 사람들이기도 했다. 이미 양쪽 분야를 잘 이해하는 브로커가 있을 것이다. 그렇다면 이들을 찾아내 활용하는 것도 좋은 방법이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#보험   #보안   


보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)