세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
암호화폐 거래소의 사이버 보험 가입, 핵심은?
  |  입력 : 2018-01-24 11:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 보험이라는 키워드로 살펴보는 암호화폐 거래소 시장
“보상 범위와 한도 다양하지 않아... 위험분석부터 시작해야”


[보안뉴스 오다인 기자] ‘사이버 보험(Cyber Insurance)’은 한국에서 아직 낯선 개념이다. 최근 암호화폐 거래소들이 사이버 보험에 가입하면서 미약하게 화두에 오르기 시작한 정도다. 그마저도 보상금액이 미미하다는 지적 때문에 크게 주목받지는 못하고 있다. 이에 본지는 암호화폐 거래소의 사이버 보험 가입이 의미하는 바가 무엇인지 짚어봤다.

[이미지=iclickart]


사이버 보험이란?
사이버 보험은 ‘컴퓨터나 네트워크 등 사이버 보안과 관련된 사고로부터 발생한 당사자 및 제3자의 유·무형 자산의 손실을 보장하는 보험 상품의 포괄적인 개념’이다(출처: 이송하, 전효정, 김태성 (2017). 사이버보험의 위험관리 요구사항. 정보보호학회논문지, 27(5), 1233-1245).

암호화폐 거래소에 사이버 보험을 제공하고 있는 현대해상 측은 사이버 보험을 ‘사이버 리스크를 보장하는 보험’이라고 정의한다. 구체적으로, 현대해상은 사이버 보험을 ‘사이버 활동 중 기업의 과실 및 태만 혹은 제3자의 사이버 공격으로 기업에 재정적 손실을 야기하는 위험을 종합적으로 담보하는 보험 상품’이라고 명시한다. 즉, 사이버 위험이 있는 모든 기업이 사이버 보험의 가입대상이 된다.

위험처리 전략으로써의 사이버 보험 가입
이송하 외 2인이 집필한 ‘사이버보험의 위험관리 요구사항’에 따르면, 사이버 보험은 예측 불가능한 위험에 대한 대비책으로 경영 환경의 안정성을 높이는 위험관리수단으로 볼 수 있다. 여기서 위험관리란 일반적으로 자산, 취약점, 위협 등을 고려해 위험을 분석 및 평가하고 그에 따른 위험처리 방안을 수립하여 위험을 받아들일 수 있는 수준 이하로 낮추는 것을 말한다. 그 전략은 위험보유, 위험축소, 위험전가, 위험회피 등으로 나눌 수 있는데 사이버 보험의 경우 위험전가(risk transfer)에 해당한다. 다음 사례를 참고하자.

실제로 미국의 대형유통업체인 타깃(Target)은 2013년 4사분기에 해커집단에 의해 최소 1억 1천 건 이상의 고객정보가 유출되어 2015년 1월을 기준으로 총합 2억 5,200만 달러의 피해비용이 발생하여으나, 이 중 약 1/3 수준인 9,000만 달러를 사이버 보험으로 커버하였다(출처: 이송하, 전효정, 김태성 (2017). 사이버보험의 위험관리 요구사항. 정보보호학회논문지, 27(5), 1233-1245).

이처럼 암호화폐 거래소의 사이버 보험 가입 역시 자사의 잠재적인 사이버 위험을 사이버 보험 제공사에 전가하는 위험처리 전략의 일환이라고 풀이할 수 있다. 암호화폐에 대한 사회적 관심이 높아지고 암호화폐 거래소를 둘러싼 보안 우려가 커질수록 사이버 보험 수요도 높아지리라 기대되는 배경이다.

사이버 보험 시장의 형성과 한국의 현주소
앞서 인용한 논문의 공저자이기도 한 충북대학교 경영정보학과 김태성 교수(보안경제연구소장)는 “현재 한국의 사이버 보험 시장은 보상 범위(scope)와 한도(limit)가 다양하지 않아 고객 입장에서 필요한 상품을 고를 수 없는 수준”이라고 평가했다. 김 교수는 2017년 11월 ‘손해보험’지에 기고한 ‘사이버 보험을 활용한 정보보호 위험관리’에서 사이버보험의 역사를 정리했는데, 여기서 우리나라의 수준은 미국의 2000년대 초반에 해당하는 수준이라고 짚었다. 미국에 비해 적게는 15년, 길게는 20년 가까이 뒤처진 셈이다.

[자료=손해보험(2017년 11월호)]


김 교수에 따르면, 사이버 보험은 2000년대 초반 미국에서 비인가 접근, 네트워크 보안, 바이러스 등으로 인한 이용자들의 피해를 보상하는 목적으로 판매되기 시작했다. 그러다 2003년 캘리포니아에서 보안침해에 대한 공지법(CA Security Breach Information Act)이 제정된 것이 사이버 보험 시장이 퀀텀 점프하는 계기가 됐다. 미국에서는 사업자가 입은 비즈니스 중단, 법률 비용, 네트워크 자산 손상 등의 피해에 대해서도 보장하기 시작하면서 사이버 보험 시장이 크게 성장하기 시작했고, 2016년 기준으로 60개 이상의 보험회사가 상품을 판매하고 있다. 시장 규모도 25억 달러에 이른다(출처: 김태성 (2017). 사이버보험을 활용한 정보보호 위험관리. 손해보험, 2017.11, 8-20).

반면, 우리나라는 사이버 보험을 공급하는 기업 수 자체가 소수에 머물고 있으며, 주로 제3자 위주의 피해 보상을 담보하고 있다. 보장 범위는 암호화폐 거래소의 사이버 보험 가입이 부각되면서 사업 중단, 법률 비용, 네트워크 자산 손상 등으로 확대되는 추세다.

현대해상은 ‘사이버 패키지 보험(Cyber Package Insurance)’의 개발 배경을 밝히면서, 사이버 리스크가 글로벌 기업의 10대 위험 중 3번째에 꼽힐 만큼 기업 경제 활동에 심각한 위협이 된 데다 지난 5년간 사이버 범죄로 인한 국내 피해 건수 또한 41.4% 가량 급증한 점을 들었다. 향후 현대해상은 ‘제3자 배상책임 영역뿐만 아니라 피보험자(first party)의 비용 및 기업휴지 손해를 보상하는 영역까지 선택 가능’하도록 사이버 보험 상품을 개발할 예정이라고 설명했다.

암호화폐 거래소의 사이버 보험 가입, 핵심은 ‘위험분석’
그러나 아직까지 암호화폐 거래소의 사이버 보험 가입이 거래소와 제공사 양측에 큰 부가가치나 의미를 남기지 못하는 건 사이버 보험 시장 활성화에 몇 가지 장애요인이 있기 때문이다.

충북대학교 김태성 교수는 사이버 보험의 보험료 산정을 위해서는 다년간의 사고 유형, 사고에 따른 피해, 보상 금액 등과 관련된 데이터가 필요하지만 기업들이 사고 데이터 개방을 꺼리기 때문에 현재 보험료 산정조차 합리적이지 못하다는 점을 첫 번째 이유로 들었다. 암호화폐 거래소의 경우, 이제 막 등장하기 시작한 사업으로 보험료 산정에 필요한 데이터가 특히 부족한 상황이라고 할 수 있다. 이에 대해 김 교수는 “사이버 보험의 판매자와 구매자 양쪽이 모두 위험분석을 못하는 상황”이라고 진단했다.

김 교수는 보험사들이 우후죽순 보험 상품을 내놓고 경쟁하는 한편으로, 정작 수요 기업들이 사이버 보험에 대해 제대로 이해하고 있지 못하다는 점도 사이버 보험 시장이 활성화하지 못하는 이유로 제시했다. “제공되는 보장사항이 모든 사이버 위협에 대한 고려를 하고 있지 않음에도 불구하고, 기업들은 자신이 가입한 보험이 어떤 위협에 대해 얼마를 보상해 주는지 정확히 모르고 있으며, 모든 사고에 대한 비용을 처리해 주는 것으로 착각하고 있다”는 것이다.

현재 국내에서 사이버 보험에 가입한 암호화폐 거래소들의 경우, 사이버 보험 제공사와 ‘맞춤형’으로 제작한 상품에 가입했을 것이라고 김 교수는 추정했다. 본지가 직접 확인한 결과, 암호화폐 거래소나 사이버 보험 제공사 양측은 모두 “계약상 밝힐 수 없는 부분”이라면서 사이버 보험에 대한 구체적인 언급을 꺼렸다.

더불어, 사이버 보험 제공사 측면에서는 사이버 리스크가 발생빈도는 낮지만 1회 발생 시 피해규모가 큰 점, 사이버 사고 관련 소송 비용 추정이 어려운 점, 보험 계약자 간 사이버 리스크 관리 수준에 큰 편차가 존재해 일괄적인 요율 책정이 불가능한 점 등도 다양한 보험 상품 개발의 장애요인이라고 김 교수는 지적했다.

현재 암호화폐 거래소 코인원이 현대해상의 ‘뉴사이버시큐리티’ 보험에, 빗썸은 현대해상의 ‘뉴사이버종합보험’ 및 흥국화재의 ‘개인정보유출 배상책임보험’에 가입한 상태다.

현대해상은 자사 사이버 보험이 △개인정보 유출 배상 △기밀정보 유출 배상 △네트워크 보안 배상 △미디어 배상 △개인정보 침해 피해 △사이버 협박 손해 △데이터 손해 및 도난 피해 △기업휴지 손해 등에 대해 담보하고 있으며, 기업이 선택적으로 가입할 수 있다고 밝혔다.

충북대학교 김태성 교수는 “최근 암호화폐 거래소들의 경우, 일일 거래 수수료가 수십억 원으로 추정되는 가운데 기업휴지 손해 보상이 사이버 보험 가입의 가장 큰 이점으로 보일 것”이라고 말했다. 즉, 암호화폐 거래소들은 사이버 공격으로 인해 단 하루 동안 거래가 중단하더라도 손해가 매우 크기 때문에 사이버 보험에 가입하고 있을 것이라는 분석이다.

암호화폐 거래소의 사이버 보험 가입이 긍정적인 방향으로 나아가기 위해선 무엇보다 위험분석을 시작하는 것이 중요하다고 김 교수는 강조했다. “건강보험에 가입하기에 앞서 건강검진을 받는 것처럼, 사이버 보험에 가입하려면 사전에 전문적인 면허나 역량을 갖춘 업체로부터 사이버 위험분석을 받아야 합니다. 건강할수록 보험 비용이 낮아지는 원리와 같이 사이버 보안 수준이 양호할수록 사이버 보험 비용도 낮아지도록 해야 하는 것입니다. 사이버 위험과 관련한 여러 문제들을 단순히 변호사들에게만 맡겨두거나 신기루처럼 생각하지 말고, 위험분석 후에 해당 기업이 실질적으로 필요한 보험에 가입할 수 있도록 해야 합니다.”
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)