세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
보험 업계, 리스크 평가 위해 보안 산업으로 눈 돌린다
  |  입력 : 2018-06-14 00:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 보험 산업, 좀더 정확한 평가 위해 보안 업체에 도움 요청
보험사나 보안사나, 고객의 보안 상태 향상이 최종 목적인 건 같아


[보안뉴스 문가용 기자] 사이버 범죄의 심각성이 고조됨에 따라 관련 보험 상품에 대한 수요가 높아지고 있다. 하지만 보험 업계도 이에 즉각 대처하지는 못하고 있는데, 그 이유는 사이버 범죄의 리스크와 손실을 측정하는 게 쉽지 않기 때문이다. 그래서 한 때는 보안 업계를 위태롭게 만들 것 같았던 보험 업자들이, 도리어 이러한 평가 및 계측 문제 때문에 보안 업체들의 문을 두드리고 있다.

[이미지 = iclickart]


보험 업자들이 주로 찾는 업체는 보안 평가 시스템을 제공하는 곳이다. 그러한 회사 중 한 곳인 시큐리티스코어카드(SecurityScorecard)의 CEO 알렉산드르 얌폴스키(Aleksandr Yampolsky)는 “기술이 복잡해지면서, 데이터 유출 사고의 성격도 그렇게 되고, 그래서 기존의 보험 이론을 접근하기가 점점 더 힘들어진다”고 설명한다. “특히 클라우드가 현대 사이버 보안을 크게 바꿨습니다.”

얌폴스키에 의하면 데이터 침해 사건은 점점 더 격렬해지고 있다고 한다. “클라우드로 데이터가 넘어가기 시작하면서 생긴 현상이죠. 보안이 다 갖추어지지 않은 신기술로 데이터를 넣으니 해커들이 노릴 수밖에 없습니다. 그래서 심각한 사고가 발생하고, 기업들은 보험 상품을 찾게 되는 순서죠. 그리고 이제 그 보험 업자들이 사이버 보안 업계를 찾고 있습니다.”

하지만 사이버 보험 상품들은 너무 복잡해 가입자는 물론 판매자조차 다 이해하지 못하고 있다. 사실 사이버 보험 상품을 어떻게 만들고, 사이버 리스크를 어떻게 계산해야 하는지에 대한 이론도 확실히 정립되지 않았다. 그러다보니 자동차 보험이나 건강 보험과 달리 업체마다 상품의 질과 가격이 천차만별이다. “문제는, 보험 업자들이 가입 회사의 보안 상태를 제대로 확인할 줄도 모르고, 그럴 생각조차 못하고 있다는 겁니다.”

현재 보험사들 대부분은 가입 희망 기업에 설문지를 준다. 사업 연속성 계획이나 사건 발생 시 처리 절차를 묻는 내용들로 구성되어 있다. 하지만 질문의 답은 ‘주관적’일 수밖에 없다. 얌폴스키는 “보험 업자들이 아직 보안에 대해 잘 이해하고 있지 못해서 그렇다”고 설명한다. “데이터를 잃는 것에 대한 통찰력이 아직 부족합니다. 보험 업계도 이 점을 알고 사이버 보안 업체들과 파트너십을 맺기 시작했습니다.”

보안이 생소한 보험 업체가 가장 손쉽게 손 내밀 수 있는 곳은 보안 평가 시스템을 보유한 곳이었다. 이 점수표만 있으면 주관적인 답에 기대지 않고도 보험 상품을 정량화시킬 수 있게 된다고 생각했기 때문이다. 그 예로 악사(AXA)가 최근 시큐리티스코어카드와 파트너십을 체결했다. 시큐리티스코어카드 팀은 악사와 함께 고객의 보안 상태를 파악하고, 이를 이해하기 쉬운 점수의 형태로 제공할 것이라고 한다.

악사의 세바스티안 루브리(Sebastien Loubry)는 “보안을 점수제로 평가한다는 것이 보안을 전문으로 하지 못하는 사람들에게 있어서는 굉장히 중요한 도구가 된다”고 말한다. “이 점수를 가지고 이전 보다 정확한 결정을 더 빨리 내릴 수 있게 됩니다. 이를 보험 업계가 최근 경험하기 시작했습니다.”

얌폴스키는 “사고가 언제 터질지, 얼마나 데이터가 유출될지 예측하는 건 불가능하지만, 현재의 보안 상태를 평가하고 좋은지 나쁜지 판단하는 건 가능하다”며, “이를 통해 최초 보험 가입 금액이 결정될 수 있다”고 말한다. 시큐리티스코어카드는 약 20만개 기업들을 모니터링하고 점수를 매긴다. A부터 F까지인데, D와 F를 받은 기업들은 데이터 유출 사고를 겪을 확률이 A와 B를 받은 기업들보다 5.4배 높다.

“지난 4월 파네라 브레드(Panera Bread)에서 보안 사고가 발생했었죠. 저희는 그리 놀라지 않았습니다. 왜냐하면 파네라 브레드는 항상 낮은 점수대를 기록한 회사였거든요. 제빵 산업 평균을 크게 밑돈 곳이었죠. 뉴텍(Newtek)이라는 회사 역시 낮은 점수를 보유하고 있었는데, 아니나 다를까 2월에 사고를 겪었습니다.”

시큐리티스코어카드는 외부의 지표들을 사용해 한 회사의 보안 상태를 점검한다. 얌폴스키는 “개인의 건강 검진을 하는 것과 비슷한 형태로 진행된다”고 설명한다. “누가 기침을 하거나 얼굴빛이 바뀌거나 살이 많이 쪘다면, 건강 상태가 별로 좋지 않음을 알 수 있죠. 물론 언제 어떤 식으로 몸져눕게 될 지야 아무도 모르지만, 그의 생활 습관을 관찰하면 어느 정도 답을 낼 수도 있습니다.”

시큐리티스코어카드는 한 회사의 보안 상태를 평가하기 위해 먼저 10개 항목에 걸쳐 정보를 수집한다. 1) 네트워크 시큐리티, 2) DNS 상태, 3) 패칭 주기, 4) 엔드포인트 보안, 5) IP 평판, 6) 웹 애플리케이션 보안, 7) 노출된 관리자 포탈, 8) 해커 포럼, 9) 유출된 크리덴셜, 10) 소셜 엔지니어링이 바로 그것이다. “이건 위협 행위자들도 유심히 지켜보는 부분입니다. 여기서 뭔가 허점이 나오면 공격이 들어가고 성공하는 겁니다.”

악사의 루브리는 “보험 업자 입장에서 가장 알고 싶은 건 고객사가 데이터를 어떤 식으로 보호하고 있는가, 이다”라며 “고객이 데이터를 잘 보호하고 있으면 있을수록 보험 업체가 짊어져야 할 리스크가 줄어듭니다. 특히 유럽의 고객사의 경우 새롭게 발효된 GDPR 때문에 보험 업체의 리스크가 더 커졌습니다.”

악사와 시큐리티스코어카드의 파트너십은 최초의 경우도 아니며, 마지막도 아니다. 또 다른 보안 평가 업체인 비트사이트(BitSight)의 부회장 제이크 올컷(Jake Olcott)은 “이미 보험 업자들 사이에서 보안 평가 시스템이 유용하다는 건 익히 알려진 사실”이라고 설명한다. 그러면서 “이를 활용하는 방법이 현재까지 크게 세 가지로 나뉜다”고 말한다.

“첫 번째는 고객사의 보안 수준이 어느 정도 되는지 파악하는 데 보안 점수를 사용하는 겁니다. 두 번째는 보험 상품을 구매한 기업들 중 워너크라이와 같은 대규모 보안 사고를 겪는 업체가 얼마나 되는지 파악하는 데 보안 점수를 활용할 수 있습니다. 즉, 통합적인 리스크를 평가하는 것이죠. 그럼으로써 위협 자체가 얼마나 대단한 건지를 보는 겁니다. 세 번째는 가입한 기업의 보안 상태가 얼마나 좋아지고 있는지 확인하는 데에 사용할 수 있습니다. 일단 가입시켜 놓으면 보험사 입장에서는 고객의 보안 상태가 좋아지는 것만큼 좋은 소식이 없거든요.”

현재 보험 업계는 보안 점수에 대해 큰 관심을 보이고 있다. 올컷 역시 “보험 업자들로부터 상당한 문의를 받고 있다”고 설명한다. “그렇게 일해 보면서 느낀 건 보험 업자나 보안 업자나 목표는 같다는 겁니다. 고객의 보안 상태가 좋아지는 것이죠. 그래야 파트너사로서 일하는 저희에게도 이득이 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)