Home > 전체기사 > 외신
보험 업계, 리스크 평가 위해 보안 산업으로 눈 돌린다
  |  입력 : 2018-06-14 00:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 보험 산업, 좀더 정확한 평가 위해 보안 업체에 도움 요청
보험사나 보안사나, 고객의 보안 상태 향상이 최종 목적인 건 같아


[보안뉴스 문가용 기자] 사이버 범죄의 심각성이 고조됨에 따라 관련 보험 상품에 대한 수요가 높아지고 있다. 하지만 보험 업계도 이에 즉각 대처하지는 못하고 있는데, 그 이유는 사이버 범죄의 리스크와 손실을 측정하는 게 쉽지 않기 때문이다. 그래서 한 때는 보안 업계를 위태롭게 만들 것 같았던 보험 업자들이, 도리어 이러한 평가 및 계측 문제 때문에 보안 업체들의 문을 두드리고 있다.

[이미지 = iclickart]


보험 업자들이 주로 찾는 업체는 보안 평가 시스템을 제공하는 곳이다. 그러한 회사 중 한 곳인 시큐리티스코어카드(SecurityScorecard)의 CEO 알렉산드르 얌폴스키(Aleksandr Yampolsky)는 “기술이 복잡해지면서, 데이터 유출 사고의 성격도 그렇게 되고, 그래서 기존의 보험 이론을 접근하기가 점점 더 힘들어진다”고 설명한다. “특히 클라우드가 현대 사이버 보안을 크게 바꿨습니다.”

얌폴스키에 의하면 데이터 침해 사건은 점점 더 격렬해지고 있다고 한다. “클라우드로 데이터가 넘어가기 시작하면서 생긴 현상이죠. 보안이 다 갖추어지지 않은 신기술로 데이터를 넣으니 해커들이 노릴 수밖에 없습니다. 그래서 심각한 사고가 발생하고, 기업들은 보험 상품을 찾게 되는 순서죠. 그리고 이제 그 보험 업자들이 사이버 보안 업계를 찾고 있습니다.”

하지만 사이버 보험 상품들은 너무 복잡해 가입자는 물론 판매자조차 다 이해하지 못하고 있다. 사실 사이버 보험 상품을 어떻게 만들고, 사이버 리스크를 어떻게 계산해야 하는지에 대한 이론도 확실히 정립되지 않았다. 그러다보니 자동차 보험이나 건강 보험과 달리 업체마다 상품의 질과 가격이 천차만별이다. “문제는, 보험 업자들이 가입 회사의 보안 상태를 제대로 확인할 줄도 모르고, 그럴 생각조차 못하고 있다는 겁니다.”

현재 보험사들 대부분은 가입 희망 기업에 설문지를 준다. 사업 연속성 계획이나 사건 발생 시 처리 절차를 묻는 내용들로 구성되어 있다. 하지만 질문의 답은 ‘주관적’일 수밖에 없다. 얌폴스키는 “보험 업자들이 아직 보안에 대해 잘 이해하고 있지 못해서 그렇다”고 설명한다. “데이터를 잃는 것에 대한 통찰력이 아직 부족합니다. 보험 업계도 이 점을 알고 사이버 보안 업체들과 파트너십을 맺기 시작했습니다.”

보안이 생소한 보험 업체가 가장 손쉽게 손 내밀 수 있는 곳은 보안 평가 시스템을 보유한 곳이었다. 이 점수표만 있으면 주관적인 답에 기대지 않고도 보험 상품을 정량화시킬 수 있게 된다고 생각했기 때문이다. 그 예로 악사(AXA)가 최근 시큐리티스코어카드와 파트너십을 체결했다. 시큐리티스코어카드 팀은 악사와 함께 고객의 보안 상태를 파악하고, 이를 이해하기 쉬운 점수의 형태로 제공할 것이라고 한다.

악사의 세바스티안 루브리(Sebastien Loubry)는 “보안을 점수제로 평가한다는 것이 보안을 전문으로 하지 못하는 사람들에게 있어서는 굉장히 중요한 도구가 된다”고 말한다. “이 점수를 가지고 이전 보다 정확한 결정을 더 빨리 내릴 수 있게 됩니다. 이를 보험 업계가 최근 경험하기 시작했습니다.”

얌폴스키는 “사고가 언제 터질지, 얼마나 데이터가 유출될지 예측하는 건 불가능하지만, 현재의 보안 상태를 평가하고 좋은지 나쁜지 판단하는 건 가능하다”며, “이를 통해 최초 보험 가입 금액이 결정될 수 있다”고 말한다. 시큐리티스코어카드는 약 20만개 기업들을 모니터링하고 점수를 매긴다. A부터 F까지인데, D와 F를 받은 기업들은 데이터 유출 사고를 겪을 확률이 A와 B를 받은 기업들보다 5.4배 높다.

“지난 4월 파네라 브레드(Panera Bread)에서 보안 사고가 발생했었죠. 저희는 그리 놀라지 않았습니다. 왜냐하면 파네라 브레드는 항상 낮은 점수대를 기록한 회사였거든요. 제빵 산업 평균을 크게 밑돈 곳이었죠. 뉴텍(Newtek)이라는 회사 역시 낮은 점수를 보유하고 있었는데, 아니나 다를까 2월에 사고를 겪었습니다.”

시큐리티스코어카드는 외부의 지표들을 사용해 한 회사의 보안 상태를 점검한다. 얌폴스키는 “개인의 건강 검진을 하는 것과 비슷한 형태로 진행된다”고 설명한다. “누가 기침을 하거나 얼굴빛이 바뀌거나 살이 많이 쪘다면, 건강 상태가 별로 좋지 않음을 알 수 있죠. 물론 언제 어떤 식으로 몸져눕게 될 지야 아무도 모르지만, 그의 생활 습관을 관찰하면 어느 정도 답을 낼 수도 있습니다.”

시큐리티스코어카드는 한 회사의 보안 상태를 평가하기 위해 먼저 10개 항목에 걸쳐 정보를 수집한다. 1) 네트워크 시큐리티, 2) DNS 상태, 3) 패칭 주기, 4) 엔드포인트 보안, 5) IP 평판, 6) 웹 애플리케이션 보안, 7) 노출된 관리자 포탈, 8) 해커 포럼, 9) 유출된 크리덴셜, 10) 소셜 엔지니어링이 바로 그것이다. “이건 위협 행위자들도 유심히 지켜보는 부분입니다. 여기서 뭔가 허점이 나오면 공격이 들어가고 성공하는 겁니다.”

악사의 루브리는 “보험 업자 입장에서 가장 알고 싶은 건 고객사가 데이터를 어떤 식으로 보호하고 있는가, 이다”라며 “고객이 데이터를 잘 보호하고 있으면 있을수록 보험 업체가 짊어져야 할 리스크가 줄어듭니다. 특히 유럽의 고객사의 경우 새롭게 발효된 GDPR 때문에 보험 업체의 리스크가 더 커졌습니다.”

악사와 시큐리티스코어카드의 파트너십은 최초의 경우도 아니며, 마지막도 아니다. 또 다른 보안 평가 업체인 비트사이트(BitSight)의 부회장 제이크 올컷(Jake Olcott)은 “이미 보험 업자들 사이에서 보안 평가 시스템이 유용하다는 건 익히 알려진 사실”이라고 설명한다. 그러면서 “이를 활용하는 방법이 현재까지 크게 세 가지로 나뉜다”고 말한다.

“첫 번째는 고객사의 보안 수준이 어느 정도 되는지 파악하는 데 보안 점수를 사용하는 겁니다. 두 번째는 보험 상품을 구매한 기업들 중 워너크라이와 같은 대규모 보안 사고를 겪는 업체가 얼마나 되는지 파악하는 데 보안 점수를 활용할 수 있습니다. 즉, 통합적인 리스크를 평가하는 것이죠. 그럼으로써 위협 자체가 얼마나 대단한 건지를 보는 겁니다. 세 번째는 가입한 기업의 보안 상태가 얼마나 좋아지고 있는지 확인하는 데에 사용할 수 있습니다. 일단 가입시켜 놓으면 보험사 입장에서는 고객의 보안 상태가 좋아지는 것만큼 좋은 소식이 없거든요.”

현재 보험 업계는 보안 점수에 대해 큰 관심을 보이고 있다. 올컷 역시 “보험 업자들로부터 상당한 문의를 받고 있다”고 설명한다. “그렇게 일해 보면서 느낀 건 보험 업자나 보안 업자나 목표는 같다는 겁니다. 고객의 보안 상태가 좋아지는 것이죠. 그래야 파트너사로서 일하는 저희에게도 이득이 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향