사이버 보험 시장의 복잡성이 증가함에 따라 투자 적절성에 대한 의문이 제기되고 있다. 기업들이 사이버 보험 투자에 신중해야 할 7가지 이유를 살펴본다.
사이버 공격이 전세계에서 심각한 속도로 증가하면서 사이버 보험이 전 부문에 걸쳐 인기를 끌고 있다. 그러나, 위험 관리의 지원 및 증강 수단으로서 매력을 가짐에도 불구하고 사이버 보험은 상황과 기업에 따라 적합하지 않을 수도 있다. 좀 더 냉정히 말하자면 증가하는 비용, 엄격한 요건, 보장범위 제한, 복잡성 등의 이유로 인해 사이버 보험 가입이나 갱신을 피하거나 미룰 이유가 충분하다.
2022년 12월 보험사 취리히(Zurich) CEO 마리오 그레코는 사이버 공격이 ‘보험가입불가대상’이 되고 있다고 밝혔다. 그는 또 <파이낸셜 타임즈> 측에 정부가 “일부 관할지역에서 지진이나 테러 공격에 대비해 수립한 것과 비슷하게, 수량화 할 수 없는 침투성 사이버 공격을 감당할 민간-공공 제도를 수립”해야 한다고 주장했다. 그레코나 취리히사가 사이버 위험 전문가는 아니므로 걸러서 들어야 할 발언이지만, 그의 주장은 사이버보험, 그리고 일부 기업에 대한 사이버보험의 실효성을 둘러싼 불확실성을 시사한다.
텔스트라 퍼플(Telstra Purple) 사이버보안 및 네트워크 책임자 겸 클럽CISO(ClubCISO) 자문위원 마노지 바트는 “유행을 타면서 관심을 끌다 보면 제대로 이해되지는 않은 채 화제가 될 때가 있다. 사이버 보험이 바로 그런 경우다. 위협 벡터가 증가하고 발전하는 과정에서 사이버 보험 상품 역시 많은 변화의 대상이 된다. 이는 보안 관점은 물론 비즈니스 관점에서 특정 사이버 보험 상품이 제시하는 가치와 보장범위가 얼마나 빨리 무용지물이 될 수 있는지 충분히 심사숙고할 시간을 갖는 것이 중요하다는 의미다”라고 말했다.
사건 수습 비용이 보험료보다 낮을 수도 있다
섹얼라이언스(SecAlliance) 인텔리전스 책임자 믹 레이놀즈는 <CSO>와의 인터뷰에서 조직들이 보험 상품 가입을 심사숙고할 때 즉시 고려해야 할 2가지는 비용과 회사에 대한 편익이라며 다음과 같이 말했다.
“최근 전세계적으로 랜섬웨어 공격이 빈발하면서 그런 사건을 보장범위에 넣고자 하는 회사들을 대상으로 보험료가 크게 인상됐다. 갱신 견적이 10만 파운드(12만 달러) 전후에서 150만 파운드(180만 달러) 이상으로 오른 경우도 있다. 이처럼 보험료가 크게 인상되면서도 보장범위 확대는 없는 실정이다. 결국 이런 보험이 제공하는 전체적인 가치에 대해 위험 관리 위원회가 이의를 제기하기 시작했다. 일부 기업은 이제 랜섬웨어 등의 주요 공격을 차라리 감수하는 것이 보험 비용을 부담하는 것보다 낫다는 결정을 내리고 있다”
레이놀즈는 이어 회사에 대한 편익 측면을 보면 보험은 주로 중대한 사이버 사건 중에 발생한 손실을 보전하기 위해 가입하는데, 99%는 이런 손실은 수량화 할 수 있고 대부분 대응 및 복구 비용과 관련된다고 설명했다.
그는 “사이버 보험이 청구하는 높은 보험료보다 적은 비용으로 수습할 수 있는 사이버 사건 비율이 높다. 이를 감안하면, 회사들이 이제 사이버 보험에 대한 투자의 가치에 의문을 갖는 것은 이해할 만하다. 랜섬웨어 공격은 여전히 자주 발생하고 있지만, 운영 회복탄력성 기능 덕분에 회사들이 그런 사건을 겪어도 비교적 피해를 받지 않고 살아남을 능력이 커지고 있다”라고 말했다.
레이놀즈는 이러한 동향이 의미하는 바는 보장범위가 단속 벌금, 시장 지위 상실, 고객 배상금과 같은 간접 비용의 위험을 보장할 목적에만 필요하다는 것이라고 덧붙였다. 이런 간접 비용이 사이버 보험에 의해 보장되지 않을 경우 높은 보험료를 정당화하기 어려울 있다는 것이다.
그는 “예산 삭감이 불가피한 시대에, 발생 빈도가 낮은 것으로 인식되는 사건을 보장하기 위해 막대한 비용으로 지불한다는 것은 정당화하기 어렵다”라고 덧붙였다.
랜섬웨어 보장 범위가 점점 축소되는 추세
랜섬웨어 공격은 그 만연도와 증가하는 정교함, 그리고 광범위한 피해를 야기할 잠재력을 지닌다. 사실상 회사들이 직면하는 주요 사이버 위협에 속한다. 최근 몇 년간 랜섬웨어로 제기된 위험이 늘어나면서 사이버 보험의 매력이 더욱 커졌다.
그러나, 헬시온(Halcyon) 공동 창업주 존 밀러의 지적에 따르면, 대부분의 보험사는 랜섬웨어 공격으로 인한 일체의 잠재적 손실을 더 이상 보장하지 않는다. 이는 특히 랜섬웨어 보장을 목적으로 사이버 보험에 투자하는 것은 큰 희생을 치르는 실수가 될 수 있음을 의미한다. 그는 다음과 같이 말했다.
“랜섬웨어 공격에는 변수가 워낙 많아서, 보험사들은 정확한 보험료 산정을 위해 랜섬웨어의 실제 위험을 수량화 하는 일에 어려움을 느낀다. 랜섬웨어를 확실히 보장하는 사이버 보험 상품의 경우에도 대부분은 몸값 지급분은 더 이상 보장하지 않을 것이다(변동 폭이 너무 커서 보험계리적으로 규정하기가 너무 어렵다). 조직은 랜섬웨어 공격을 받은 후에야 보험상품이 수습 및 복구 비용 중 일부만 보장한다는 사실을 알게 된다.”
국가 지원 공격의 보장 배제 및 귀인 문제
국가의 지원을 받는 공격은 보장에서 배제하는 관행 역시 사이버 보험의 매력을 떨어뜨리고 있으며 회사들이 보험상품의 실효성에 의문을 갖는 요인이 될 수 있다.
지난해, 보험 시장 로이즈 오브 런던(Lloyd’s of London)은 2023년부터 국가의 지원을 받는 ‘파국적인’ 공격에 대한 보장을 사이버 보험에서 배제한다고 발표했다. 2022년 8월 16일 게시된 시장 공고에서 로이즈 측은 “사이버 공격에 대한 보장을 여전히 강력히 지지”하지만 “사이버 관련 비즈니스는 계속해서 진화하는 위험”임을 인정한다고 밝혔다.
회사는 이러한 판단 아래 모든 보험사 그룹에게 여러 요건에 따라 국가의 지원을 받는 사이버 공격에서 발생한 손실에 대한 책임을 배제하는 적절한 조항을 적용할 것을 의무화할 예정이다.
컴플라이언 전문 회사 코더리(Cordery) 소속 변호사 겸 파트너 조나단 암스트롱은 조직들의 난제 중 하나는 공격의 원인이 국가에게 있음을 확실히 하는 것이라고 말했다. “전문가의 도움을 받으면 국가가 개입한 지표가 있다고 말할 수 있는 경우가 많지만 확신하기는 어렵다는 것이 사실이다. 이런 어려움 때문에 소송으로 이어질 가능성이 높다. 보험사는 국가가 개입했다고 생각하는 반면 피보험자는 그렇지 않다고 생각하기 때문이다”라고 그는 말했다.
2022년 8월 국가 지원 공격을 보장에서 배제하겠다는 로이즈 오브 런던의 결정을 분석한 자료에서 레드 고우트(Red Goat) 사이버보안 컨설턴트 리사 포르테는 무엇이 국가 지원 공격이고 무엇이 아닌지를 보험사들이 일방적으로 결정할 수 있음을 지적했다.
포르테는 “이번 결정에 대해 여러 분석 가운데 공격이 보험 보장 범위에서 제외되기 위해 반드시 공식적인 귀인이 필요하지는 않을 것이라는 주장이 제기됐다. 따라서 보험사는 공격이 보장에서 제외된 것은 공격의 원인을 국가에게 돌리는 것이 ‘합리적’이기 때문이라고 주장할 수 있다. 우리가 원한 명확함이 아니다!”라고 적었다.
이미 사이버 위험에 대비한 일종의 보험에 가입된 경우가 있다
IDC의 위험, 자문, 관리, 프라이버시 분야 조사 책임자 필립 디 해리스는 어떤 회사는 이미 특정 종류의 보장으로 사이버 위험 관점의 보호 혜택을 받고 있기 때문에 사이버 보험에 대한 지출을 피하고 싶을 수도 있다고 말했다.
그는 <CSO> 측에 “일부 대규모 조직이나 지방 정부의 경우 이런 종류의 사건에 대비해 이미 확보해 둔 기금에서 끌어 쓸 수 있다. 고액의 현금을 동원할 수 있는 대규모 조직들은 처리해야 할 심각한 사건이 발생할 경우에 대비해 이런 기금을 따로 떼어놓을 수 있다. 마찬가지로, 사이버 보험 비용을 [완전히] 부담할 수 없는 소규모 지방 정부는 소규모 지방 정부로 구성된 컨소시엄을 조직하고 각 정부가 갹출한 기금을 모아 두었다가 심각한 사이버 사건이 발생할 경우에 사용하는 방식의 자가 보험에 가입했을 수도 있다”라고 전했다.
사이버 보험 투자가 보험사의 설문지를 기준으로 이뤄진다
해리스는 또한 피보험자의 보안 태세를 판단하기 위한 사이버 보험사 설문지만을 기준으로 투자를 결정하는 경우라면 회사들에게 사이버 보험 상품에 돈을 낭비하지 말 것을 권고했다.
그는 “고객에게 사이버보안 설문지 작성을 요구하는 사이버 보험사는 결국 피보험자의 보안 태세에 대해 특정 시점의 한정된 시각만 갖게 될 뿐이다. 결점, 보완계획, 개선을 위한 지속적인 로드맵을 전체적으로 파악할 수 있도록 전문 사이버보안 서비스 업체에 의뢰해 상세한 평가를 마친 적이 없는 회사들은 다소 일반화된 보안 설문지에 의존함으로써 스스로에게 피해를 입히고 있다”라고 지적했다.
해리스는 보험사들이 보험에만 집중하고 피보험자의 사이버보안 태세 평가는 유자격 사이버보안 서비스 업체에게 맡겨야 한다고 주장했다. “이 상세한 평가로 무장한 보험사는 고객을 진지하게 파악한 후 합당하고 더 나은 보험료를 제공할 가능성이 있다”라고 그는 덧붙였다.
보험상품의 요건을 준수할 수 없다
밀러에 따르면, 사이버 보험 상품의 효력이 있으려면 조직은 보안 프로그램에 대한 폭넓은 기록 장부가 있어야 한다. 놈사이버(NormCyber) COO 비트 바우어스도 이에 의견을 같이하며 “조직이 보험 청구를 할 때가 왔는데 규정 준수 상태가 아닌 경우가 있다. 예를 들면, 패치를 적시에 적용하지 않았거나 보안 애플리케이션을 잘못 구성한 경우다”라고 설명했다.
그는 이어 “그런 경우에는 보험 상품의 보상 범위가 무용지물이라는 사실을 곧 알게 된다. 조직들은 전체적인 사이버 방어를 강화하기 위해 사람, 프로세스, 기술 통제장치를 망라한 종합적인 프로그램을 마련해야 한다. 이런 조치를 시행하기 전까지는 사이버 보험을 유일한 위험 전가 및 완화 수단으로 선택하는 것은 맞지 않다”라고 지적했다.
투자는 보안 태세 개선에 하는 것이 더 낫다
사이버 보험에 투자하지 않기로 선택할 때의 마지막 결정 요소는 돈은 조직의 전체적인 보안 태세와 사이버 회복탄력성 개선에 쓰는 것이 낫다는 사실이다.
점프섹(JUMPSEC) 입찰 관리자 션 모란은 블로그 게시물에 “보험 보장이 부재하다는 사실이 두려울 수도 있지만 보험이 제공한다고 인식되는 안전망을 걷어 버리는 것이야말로 조직에게 필요한 것인지 모른다. 더욱 안전하게 하라고 일깨워주는 장치인 것이다. 보험사를 만족시키기 위한 규정 준수에 신경 쓰거나 최소 표준 연간 테스트에 의존하지 말고 공격에 대한 조직의 회복탄력성을 높일 통제장치를 실행해야 한다”라고 기술했다.
모란은 2023년에 사이버 보험을 선택하지 않는 조직들은 침해 사건의 잠재적인 영향을 최소화할 수 있도록 종합적인 사이버 방어 능력에 재투자해야 한다고 강조했다. 여기에는 백업, 효과적인 ID, 접근 관리, 네트워크 분화, 잘 구축된 복구 계획을 테스트하는 작업과 어떤 비즈니스 요소가 공격자의 표적이 될 가능성이 가장 높은 지와 표적화 된 예방, 탐지, 대응 통제장치를 평가하는 작업 등이 포함된다는 설명이다. dl-ciokorea@foundryco.com
