Home > 전체기사
사이버 보험 가입과 관리를 검토하는 기업들을 위한 팁
  |  입력 : 2019-08-16 18:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현재 가입 조직은 30% 정도...하지만 앞으로 ‘강제적으로’ 늘어날 수 있어
‘보험=보안’ 가장 위험한 인식...보험은 보안의 큰 전략에 속하는 하나의 요소


[보안뉴스 문가용 기자] 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)의 CISO인 제이크 쿤즈(Jake Kouns)는 수년 전부터 사이버 보험이 더 많은 관심을 받아야 한다고 생각했다. 그래서 2012년부터 보안 행사에 초대될 때마다 보험과 관련된 강연을 했다. 그러다보니 그의 강연 제목을 물어본 뒤 거절하는 곳도 생겨났다.

[이미지 = iclickart]


물론 자신의 노력 때문인 것만은 아니지만 최근 사이버 보험에 대한 인식과 태도가 조금씩 바뀌기 시작했다고 쿤즈는 말한다. 보안 전문가들과 지도자들이 조직을 보호하기 위한 전략의 일환으로서 보험 가입을 진지하게 고민하기 시작했다고 말이다.

물론 아직 사이버 보험에 가입한 조직은 30% 정도에 불과하다(PwC 통계 근거). 그러나 쿤즈의 말대로 성장세에 있는 것 역시 확실하다. 2018년에서 2019년 사이 사이버 보험 가입 조직의 수가 12%나 증가했고, 그 규모가 20억 달러에 이르기 때문이라고 한다. 이는 2015년에 비해 두 배나 오른 것이다.

쿤즈는 이번 블랙햇 행사에 참여해 또 다시 사이버 보험에 대해 강연했다. 제목은 ‘위험 관리 프로그램에 사이버 보험 통합하기’였다. 이 시간을 통해 쿤즈는 사이버 보험과 관련된 여러 가지 팁이나 현황 정보를 제공했다. 그 중 CISO들에게 도움이 될 만한 내용을 몇 가지로 추려보았다.

1. 사이버 보험에 아직 가입하지 않았다고? 조만간 가입할 것이다
쿤즈는 사이버 보험 가입은 이제 곧 필수적인 요소로 굳어질 것이라고 장담한다. 조만간 선택지 이상의 것이 될 예정이라는 뜻이다. “특히 주요 기업들과 파트너십을 채결하기 위해서는 사이버 보험이 필수 조건처럼 요구되고 있습니다. 많은 정부 기관들도 사이버 보험에 가입된 자들만 허락하는 프로젝트를 내놓고 있고요. 사이버 보험에 가입함으로써 얻어가는 이득이 더 많아질 것입니다.”

또한 쿤즈는 “사이버 보안을 튼튼히 할 만큼 예산이 충분치 않은 중소기업들의 경우, 사이버 보험이 좋은 대체제가 될 것”이라고 말하기도 했다. “현재 사이버 보험 상품들은 대체적으로 좋은 가격에 나오고 있습니다. 적어도 중소기업에서 돈만 보고 거절하기는 힘든 가격이라는 겁니다. 보안을 대기업의 것으로만 여기던 중소기업들의 사이버 보험 가입 러시가 이어질 것으로 봅니다.”

2. 그렇다고 보험에서 보장해주는 내용이 보안 프로그램인 것은 아니다
자동차 보험에 가입했다고 해서 일반 도로에서 F1 드라이버처럼 운전하지 않는 것처럼, 사이버 보험에 가입했다고 해서 온라인 활동을 아무렇게나 해도 되는 건 아니다. 보험이 곧 보안 전략은 아님을 인식하는 게 가장 중요하다고 쿤즈는 거듭 강조했다. “보험에 가입했다며 보안에 대한 투자와 연구, 고민을 중단하는 조직들이 간혹 있는데, 가장 위험한 일입니다.”

쿤즈는 그런 행위에 대해 “도덕적 해이 그 자체”라고 표현했다. “자동차 보험에 들지만, 바퀴도 제 때 갈아주고, 브레이크도 점검하는 것처럼 보안도 따로 돈을 들여야 하는 분야입니다. 예를 들어 사이버 보안 사고가 터져서 잃은 고객 신뢰나 브랜드 명성은 아무리 보험이 좋아도 되돌려주지 못하기 때문입니다.”

3. 보험 가입은 준비 단계부터 보안 전문가들이 해야 한다
보험에 대해 이야기를 하다보면 늘 재정 문제나 CFO로 귀결되는데, 사실 여기에 ‘보안’이라는 기능도 끼어들어야 한다. 즉 CFO와 CISO가 모두 보험 검토 단계부터 개입해야 한다는 것이다. 쿤즈는 “액수로만 보험을 정하는 게 아니라, 현실과 어울리는 상품을 찾는 게 가장 중요한데, 이는 CISO가 할 수 있는 일”이라고 주장한다.

“보안 책임자가 상품 안내문과 보험 내용을 꼼꼼하게 검토해야 합니다. 신청서 작성도 CISO가 하는 게 안전합니다. 현실적으로 어울리지 않는 상품이면 거절하고, 신청서에 특별한 요구 사항도 따로 기재하는 등, CISO가 적극 나서야 하는 일인 겁니다. 보험도 결국 보안의 큰 전략 자산 가운데 하나이니까요.” 또한 사이버 보험 상품에는 필연적으로 각종 IT 전문용어들이 삽입될 수밖에 없다. 이를 제대로 이해하려면 CISO의 도움이 필요하다.

그러나 그 무엇보다 중요한 건, 보험 상품에 빠져있는 것들을 파악하는 것이다. 현재 조직이 겪을 수 있는 보안 사고들 중 가능성이 높은 시나리오를 머릿속에 그리고 있어야 빠진 것들을 짚어낼 수 있는데, 이는 CISO만이 할 수 있다.

4. 보험에서 요구한 필수 사항들을 다 지켜야 보장을 제대로 받을 수 있다
정책에 서명을 했으니 이제 어지간한 사고에도 다 대비가 되었다고 생각한다면, 안타깝지만 잘못 생각하고 있는 것이다. 보험에 명시된 보장을 다 받으려면, 보험사가 요구한 사항들을 지켜야 한다. “CISO들 중에 의외로 이 부분을 간과하는 분들이 많습니다.”

이는 다시 말해 사이버 보안 상품에 대한 내용을 조직 내 누군가(아마도 보안 담당자)가 잘 이해해야 한다는 것으로 귀결되는 내용이라고 쿤즈는 강조한다. “보장을 다 받기 위한 일들을 전부 수행하고 있는지, 보험사와 약속한 부분에서 뭔가 애매한 구석은 없는지, 사고 발생 시 우리 편에서 떳떳하게 뭐든지 요구할 수 있는 상황인지 항상 파악하고 있어야 합니다.”

5. 사건 대응과 관련하여 몇 가지 내용이 수정되어야 할지도 모른다
쿤즈는 사이버 보험에 가입한 이후에는 사건 대응 절차가 수정되어야 할지도 모른다고 말했다. “사건에 대해 유관기관과 소비자들에게 보고하는 시간이 달라져야 할 수 있습니다. 사실 현존하는 사이버 보험 상품 대부분이 이 부분을 다루고 있어요. 일단 자기들도 보험 사고에 대한 보고를 받아야 대처를 할 수 있으니까요. 지금 가지고 있는 ‘보고 혹은 통보 시간’에 관한 규정을 검토하고 얼마나 바꿀 수 있는지도 확인하세요.”

두 번째로는 사건 대응 계획을 실제로 훈련해봐야 할 수도 있다. 보험 상품에 따라 다르긴 하지만 훈련과 확인을 요구하는 것도 꽤나 많이 존재한다. 그들 입장에서도 사건 대응에 대한 실제적인 부분을 보고 보장을 약속하고 싶으니 그런 것이다. 실제 많은 기업들이 사건 대응 계획을 가지고는 있지만, 실제 사건이 터졌을 때 그림같이 실행하지는 못한다. 보험사와 함께 이 부분을 연계해 훈련하는 것도 도움이 될 것이다.

3줄 요약
1. 이제 점점 필수처럼 굳어져가는 사이버 보험 상품. 어떻게 가입하고 관리해야 할까.
2. 일단 가입 과정은 시작부터 CISO가 개입하고, 사건 대응과 관련된 사내 규정도 조정해야 함.
3. 보험이 곧 보안 장치가 아님을 인식하는 것이 가장 중요.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트