상단여백
HOME 오피니언 전문가 컬럼
사이버보험을 이용한 기업의 보안리스크 관리 필요성 대두
박주용 | 승인2017.01.23 23:31

-이 글은 'SK인포섹 보안동향 리포트 101호'에 게재된 것으로 이 회사 컨설팅 2팀 김기수 대리가 회사 블로그에 올린 글임을 밝힙니다.-

새로운 기술로 인한 신규 위협 등장 및 기업의배상책임을 강화 하는 추세에 따라 사이버보험의 칠요성이 대두되고 있다. 기업은 내부 통제 절차를 수립/점검하여 사고를 예방하고, 보험 가입을 통해 재정적 대응방안을 강구해야한다.

-사이버보험 소개및 시장 동향

초기 사이버보험은 단일 시스템에서 발생할 수 있는 리스크를 담보하기 위한 상품이 주류였고, 시장의 관심을 이끌어 내지는 못하였다.

'06년 제정된 전자금융거래법에 따라 "전자금융거래 배상책임보험" 가입이 의무화 되어 국내 사이버 보험시장이 태동하였으나 대부분의 금융권이 법적한도 수준으로 가입하는데 그침으로써 사이버보험이 활성화 되었다고 보기에는 그 한계가 분명했다.

전자금융거래법이 촉발한 국내 사이버보험의 태동 이후 10년, 사물인터넷, 빅데이터, 클라우드, 핀테크와 같은 신기술로 인한 잠재적인 공격대상 확대, 그리고 랜섬웨어를 이용한 사이버 갈취 등 신규 위협의 등장으로 보다 복잡한 형태의 사이버리스크가 출현하였고 해당 리스크를 담보하기 위한 요구가 점차 증대되었다.

이러한 환경에 따라 미국에 기반을 둔 주요 글로벌 보험사들이 주도적으로 사이버보험 시장을 이끌고 있다. 미국의 주요 보험사들은 과거의 IT보험 보다 광범위한 리스크 담보를 제공하는 상품을 출시했는데 해당보험은 해킹 및 개인정보 유출뿐만아니라 보안사고에 따른 시스템이용불가로 인해 발생된 제3자의 손해배상 책임, 네트워크 중단에 따른 기업휴지 손해, 사이버위협 손해, 도난손해 등의 본인 손해를 종합적으로 담보 한다.

   사이버보험의 보장 내용<출처 : SK인포섹>

 
-사이버리스크 대응을 위한 보험의 필요성 대두

2014년 미국 사이버보험 시장 규모가 2013년 10억 달러 대비 130% 증가한 23억달러로 성장한 배경으로 Sony의 고객정보 유출사고에 대한 미국 손해보험사와의 법정 타툼을 꼽을 수 있다.

2011년 Sony는 사이버 공격에 따른 고객정보 유출로 미국 손해보험사에게 보상을 청구 했으나 2014년 뉴욕주 법원은 당시 Sony가 가입한 일반배상책임보험이 사이버 공격에 따른 경제적 손실을 보상하지 않아도 된다고 판결하였다. 미국 손해보험사는 미국 뉴욕 주법원의 판결을 계기로 일반배상책임보험이 사이버 공격에 따른 경제적 손실을 보상하지 않기로 명확히 규정함에 따라 미국 기업들은 사이버 보험에 가입할 수 밖에 없었다.

이후 미국 기업의 사이버보험 가입 증가율은 32%를 기록하고 가입율은 2013년 13%에서 16%로 상승하였다. 국내의 경우 2015년 개인정보보호법과 정보통신망 이용촉진 및 정보보호등에 관한법률 개정을 통해 법적손해배상청구권을 명시함으로써 사이버보험 시장이 급성장할 것으로 예상된다.

특히 2017년은 사이버보험시장이 본격적인 외형을 갖추는 한해가 될것이라는데 많은 전문가 들이 의견을 함께하고 있다.

-사이버보험 활성화의 장애 요소

국내외 사이버리스크 증대 및 규제 강화에도 불구하고 사이버보험 활성화를 저해하는 요소가 존재하는데 "정보통신기술진흥센터"는 다음과 같은 원인을 꼽고 있다.

1)질병보험의 경우에는 당사자 한명에게만 보험금이 지급되지만 사이버 보험의 경우 보험금 지급 대상이 최악의 경우 기하급수적으로 늘어날 수 있다.
2)기존 보험사들은 Cyber Security 관련 경험이나 전문지식이 부족하고 그와 관련된 인력을 확보하지 않았다.
3)기존의 믿을 수 있는 통계가 부족하여 보안사고를 미리 예측하거나 발생가능성을 수치화(예측)하기 힘들고 보안사고에 대한 피해규모를 미리 예측하기 어렵다.
4)발생한 보안사고를 분석하고 이해하는데 시간이 많이 걸리거나 어려운 경우가 많다.
5)기업의 형태와 환경에 따라 보안사고가 발생할 확률과 그로 인한 피해 규모가 각기 다르기 때문에 표준모델을 만드는데 애로 사항이 많다.
6)리스크는 빠르게 변하기 때문에 리스크를 줄이기 위한 노력을 이행하기 어렵다.

-보험사및 보안컨설팅 전문 업체와 "리스크관리 네트워크" 구축
 
앞에서 살펴본 것과 같이 사이버보험시장은 내 외부 환경 변화로 인한 필요성이 증가하는 긍정적 요인과 확산을 저해하는 여러 장애요인들이 상존하고 있다.

이를 극복하고 리스크에 효과적으로 대응하기 위해 기업-보험회사-보안컨설팅업체가 연계된 "리스크관리 네트워크" 구축이 필요하다고 보험업계는 이야기하고 있다. 보안 컨설팅 업체는 보험 계약 기업의 잠재적인 보안 취약점을 점검해 주고 발견된 취약점에 대한 해결 방안을 제시해주기도 하며 보안 침해가 어디서 어떻게 발생했는지 알아내고 그것을 보완해 주기도 한다.

사고가 발생하기 전 고객의 사이버 리스크를 평가하고 이를 보완함으로써 사고 발생을 줄여주고 혹시라도 문제가 발생하면 빠른 대처를 통해 고객의 손실을 줄여준다. 대부분의 사이버사고는 기본적인 보안통제 및 절차를 통해 예방할 수 있다. 하지만 이러한 노력에도 불구하고 사고를 100% 예방하는 것은 불가능하다.

기업은 보안 컨설팅을 통해 내부 통제 절차를 수립/점검하고, 보험가입을 통해 재정적 대응방안을 강화 해야한다. 보험업계와 보안컨설팅업계는 리스크의; 객관적인 평가방법을 함께 마련할 수 있을 것으로 기대된다.

참고문헌
[1]Kostadinov(2014), "Cyber Insurance"
[2]Biener et al(2015), "Insurability of Cyber Risk: an Empirical Anlysis"
[3]KiRi(2015), "미국 사이버보험 시장의 최신 동향"
[4]KISA(2013), "국내 정보보호 보험시장 활성화 방안에 관한 정책제언"
[5]KiRi(2015), "사이버 보험 동향 및 사이버리스크 관리 개선을 위한 고려 사항"
[6]삼성화재 안정환 책임(2016), "사이버 리스크 동향과 관련 보험의 필요성" 

 

박주용  jypark@boan24.com
<저작권자 © 보안24, 무단 전재 및 재배포 금지>

박주용의 다른기사 보기
icon인기기사
여백
회사소개기사제보광고안내불편신고개인정보취급방침청소년보호정책이메일무단수집거부
사업자명 : 산업정보원  |  경기도 안양시 만안구 충훈로 72번길 11,113동 103호  |  대표전화 : 0507-1456-1987
사업자 번호 : 751-19-00643 |  대표이메일 : tmvlem@boan24.com |  대표자 : 박윤재  |  청소년보호책임자 :박윤재
Copyright © 2017 보안24. All rights reserved.
Back to Top