로그인 바로가기

중앙 내용으로 바로가기

한국디지털융합직업전문학원

본문내용

본문

정보보안&해커 뉴스
+ Home > 입학신청 > 정보보안&해커 뉴스
[주말판] 사이버 보험 가입시 보안 검토사항 10가지
  • 작성자
    황혜리
  • 등록일
    2018-02-01 14:30:34
    조회수
    1479

 

‘되겠지’, ‘해줄 거야’라고 믿고 있다간 큰 코 다쳐
보험 업계도 현재 혼란해...직접 묻고 확인해야 제대로 보장받아






한 조직의 보안을 담당하는 사람이라면 아마도 지금쯤 사이버 보험 상품 하나 정도는 계약해봤거나 알아본 적이 있을 것이다. 보안 사고란 ‘일어날 수도 있고 아닐 수도 있는 것’이 아니라 ‘언제 일어나느냐의 문제’로 받아들여지고 있기 때문에, 누군가 내 뒤를 봐주고 있도록 손을 쓴다는 건 당연한 일이다.


하지만 사이버 보험은 비교적 새로운 분야로, 그 보장 범위나 내용들은 사이버 위협이 계속해서 변함에 따라 달라져야 제대로 ‘뒤를 봐줄 수’ 있다. 조직 내 정책과, 조직을 위협하는 것들이 무엇이냐에 따라 세밀하게 조정되어야 하는데, 보안 위협의 지형도까지 반영해야 하니 보험업자들은 머리가 아프다. 보험에 가입해야 하는 고객사들도 너무나 뒤늦게 자신이 가입한 상품이 유용하지 않았다는 걸 깨닫게 되는 경우가 많아진다.

보험 산업의 데이터를 분석, 연구하는 어드바이젠(Advisen)의 CSO인 데이비드 브래드포드(David Bradford)는 “어느 나라, 어느 회사에서 신청하건 크게 다르지 않은 자동차 보험과 달리 사이버 보험은 상품마다, 회사마다, 나라마다 큰 차이를 보인다”고 말한다. 그러니 고객으로서 ‘사고가 나면 누군가 돈을 지급해주는 것’이라는 보안의 아주 기본적인 개념만 들고 보험 상품을 제대로 고르기란 여간 힘든 일이 아니다.

보안 업체 비트사이트(BitSight)에서 보험 관련 일을 담당하고 있는 사밋 샤(Samit Shah)는 “설명만 듣는 것으로 만족해서는 안 되고, 모든 정책을 꼼꼼하게 직접 읽고 나서 염두에 두고 있는 사이버 보안 사고에 대한 보장이 되고 있는지 확실히 해야 한다”고 말한다. 사이버 보험만을 전문으로 하는 스타트업 앳베이(At-Bay)의 CRO인 로만 이츠코비치(Roman Itskovich)도 이에 동의한다. “왜냐하면 상품 판매자들도 사실 잘 몰라요. 보험 상품을 만드는 계리 전문가들조차도 아직 이렇다 할 이론이나 체계를 가지고 있지 않거든요.”

그래서 현재 보험 상품들은 대부분 한 사고에 대한 여러 가지 요인들을 따로따로 보장해주는 방식으로 접근하고 있다. 포렌식 의뢰 비용 얼마, 소송 관련 비용 얼마, 손해 보상 비용 얼마, 하는 식으로 말이다. 그럼에도 놓치는 것들이 존재한다. 사이버 보험을 구매해야 할 때 반드시 묻고 확인해야 하는 것들을 정리해보았다.

1. 시스템/네트워크/업무 마비 시 영업 손실
사밋 샤는 “휴업보험은 상실이익만을 보장해주는 것이 아니다”라고 강조한다. 대부분 이 부분을 확실히 물어보지 않고 넘어가는데, 그렇기 때문에 가입자들은 “업무가 마비되는 시간 동안 회사가 벌었어야 할 돈을 보험 회사가 지불해준다”고 오해를 하고, 나중에 보험 업체와 싸움을 벌인다. 디도스 공격이든, 내부자의 실수든, 업무가 마비되는 시간에 대해서 보험 업체가 정확히 뭘 보장해주는 건지 세부적으로 확인해야 한다.

“예를 들어 하루 동안 아무런 일을 할 수 없었다고 합시다. 그렇다면 보험 업체는 어떤 보상을 해줄 수 있을까요? 대부분은 장비 당 이익률을 계산하고, 사용 불능이었던 장비의 숫자를 세서, 그만큼만을 산정해 줍니다. 보통은 굉장히 적은 돈에 불과합니다. 가입 업체가 기대하는 것과는 상당히 다른 것이 대부분이죠.”

이츠코비치는 “성수기에 이런 일이 발생하면 기업으로서는 손해가 더 큰데, 성수기와 비수기 개념이 보험 상품에 잘 반영되어 있는지도 살펴야 한다”고 조언한다. “예를 들어 크리스마스 기간에 온라인 쇼핑몰에 디도스 공격이 들어왔다고 해보죠. 2월이나 10월 같은 평범한 달에 공격이 발생했을 때보다 손해가 더 크겠죠. ‘당연히 해주겠지’하고 넘어가지 말고, 확실히 알아본 후 추가를 요청하던가 기대를 접던가 둘 중 하나를 해야 합니다.”

2. 보험이 발동되기 직전까지 일어난 손해
보험의 시간은 사이버 공격이 일어난 후부터 흐르기 시작한다. 정상복구까지 걸리는 시간이 얼마 걸리지 않는다면, 의외로 보험의 시계는 몇 초 흐르지 않은 상태이기 때문에, 아무런 보장이 적용되지 않는 것이 보통이다. 치명적이다 싶을 정도로 위험한 상황에 도달해야만 보험은 발동된다. 디도스로 치면 하루가 넘어야만 보험사가 움직이는 것이 보통이라는 것이다.

샤는 “실제로 미국 내에서는 사이버 보험은 사업 중단 혹은 마비 상태가 평균 8시간 지속되어야만 보장을 시작한다”고 말한다. 이츠코비치는 8시간도 후하다며, 10~12시간이 평균일 것이라고 주장한다. 즉 이것보다 짧은, 소소하다고 느낄만한 마비 시간 동안은 보험에 가입되어 있어도 그냥 손해 혼자 부담할 수밖에 없다.

3. 서드파티의 실수
요즘 사이버 보안 사건들은 서드파티를 통해서 일어나는 경우가 부지기수다. 이를 충분히 반영한 보험 상품도 있지만 그렇지 않은 것이 더 많다. 보험 계약서 내에서 ‘우리 회사’를 규정할 때 중요한 서드파티들도 함께 포함시킬 수 있어야 한다. “지금의 사이버 환경에서 서드파티를 포함시키지 않는다는 건 보험을 회사의 몇몇 부서에만 적용시키는 것과 같습니다.”

샤는 “특히나 클라우드 도입률이 높아지는 지금, 보험 업체나 가입 업체 모두 서드파티라는 걸 더 깊이 고민해야 한다”고 말한다. “예를 들어 아마존 클라우드 계정의 환경설정을 잘못해서 데이터가 유출되었다고 칩시다. 이런 경우 당연히 보험이 적용되지 않습니다. 하지만 모든 설정이 올바로 되어 있었고, 아마존이 클라우드 운영에 실수를 저질러 데이터가 없어졌다면 보험이 적용되죠. 그런데 서드파티에 대한 내용을 보험에 제대로 규정하지 않았다면? 아마존이 실수해도 가입 업체만 피해를 보는 겁니다.”

샤는 “이런 식의 ‘실수들’까지는 계약에 포함되지 않을 때가 더 많지만 사이버 보험에서는 이를 빼먹을 수 없다”고 강조한다. “사이버 보험 상품에 서드파티가 들어가지 않는다면, 굉장히 많은 사이버 공격에 대한 보장은 없는 것과 같아집니다. 보안은 가장 약한 곳만큼만 강할 뿐이라고 하죠? 사이버 보험도 마찬가지입니다.”

4. 새로운 하드웨어
“사이버 보험 상품들은 보통 하드웨어 및 자산의 피해나 교체 문제를 포함하고 있지 않습니다. 하지만 보안 사고 후 복구 과정에서 하드웨어를 새로 사는 게 낫다는 결정이 내려질 때도 많죠. 보험이 하드웨어 교체 비용을 보장해주지 않는다면 사건 발생 후 취할 수 있는 옵션이 한 가지 줄어들게 됩니다.”

5. 소프트웨어 업그레이드
소프트웨어의 ‘버전’까지 세밀하게 고려한 사이버 보험 상품은 그리 흔치 않다. 있다 해도 ‘최신 버전을 사용하지 않는다면 보장이 안 될 수 있다’는 내용에 그칠 뿐이다. 실제로 보안 사고가 발생했을 때, 해당 시스템 OS나 소프트웨어가 지원이 끝난 버전이라면 보험금을 한 푼도 탈 수 없을 때가 일반적이다.

또한 보험 상품이 소프트웨어 업그레이드까지 보장해주는 건 아니라고 샤는 강조한다. “구버전에서 사고가 나면, 보험 업체가 업데이트를 해주어야 한다고 생각하는 고객사가 의외로 많아요. 윈도우 7을 쓰다가 사고가 났는데, 나중에 보험사에게 10으로 업그레이드해달라고 요구하는 회사들이 없을 것 같죠? 꽤나 많습니다. 하지만 업데이트는 분명히 사용자의 책임입니다. 보험 상품이 특별해 명기하고 있지 않다면 말이죠.”

6. 소셜 엔지니어링
해커가 CEO인 것처럼 가장해 회사 자금을 빼내가는 사업 이메일 침해(BEC) 공격은 해킹 공격일까 아닐까? 소셜 엔지니어링 공격이다. 그런데 보험사 눈에는 소셜 엔지니어링 공격이 ‘해킹 공격’으로 보이지 않을 때가 많다. 그래서 BEC 공격에 당해 보험금을 신청했지만, 보험금이 나오지 않아 보험사와 고객사 간 소송 전쟁이 일어나는 경우도 왕왕 신문에 실린다.

브래드포드는 “보험사 입장에서는 소셜 엔지니어링 공격을 흔한 사기 피해의 일부로 취급하는 게 당연하다”며 “본질적으로도 소셜 엔지니어링 공격은 사기 범죄에 가까워 사이버 보험에 따로 적용시키기 곤란할 수 있다”고 말한다. BEC 공격이 걱정되는 기업이라면 차라리 ‘상업 범죄’와 관련된 보험 상품을 고려해봄직 하다.

7. 물리적인 피해
브래드포드는 “사실 데이터가 어디로 빠져나간 사건이라면 보험사와 이야기 할 때 크게 어려울 것이 없다”고 말한다. “하지만 사이버 공격 대상이 스마트카 혹은 인슐린 펌프였다고 하면 어떨까요? 공장 ICS라면요? 그래서 자동차 사고가 나고 환자가 위독해지고 생산 설비가 파괴되었다면요? 사이버 보험이 이런 물리적인 피해에 대한 보장도 해주느냐를 살펴야 하는 이유입니다.”

자동차와 의료 산업, 산업 시설과 관련된 조직들에만 국한된 얘기가 아니다. 왜냐하면 사물인터넷 시대가 코앞에 있기 때문이다. “사물인터넷 기기들은 사이버 공간에서 일어나는 일들을 물리적인 차원으로 변환시켜주는 것들입니다. 이제 여기서 일어나는 사건들로 인해 물리적인 피해가 속속 발생할 것이 분명한데, 보험 상품도 이러한 상황을 따라잡아야 합니다.”

샤는 “정신적인 피해 보상안도 확인하고 추가해야 한다”고 주장한다. “예를 들어 민감한 의료 기록이 병원에서부터 새나갔다고 한다면, 이로 인한 정신적인 피해 보상도 있어야 하겠죠. 개인정보 유출에 대한 물리적인 피해는 매우 드물지만 정신적인 피해는 누구에게나 충분히 있는 것입니다.”

8. PCI 벌금
신용카드 회사에서 유출 사고가 발생했다고 하자. 카드사가 사이버 보험에 가입했다면 아마도 1) 고객에게 알리는 비용, 2) 관련 기관에 보고하는 비용 등은 기본적으로 보장이 될 것이다. 하지만 이를 어겼기 때문에 금융 기관이나 산업 표준 기관에 내야 하는 벌금은 보험 정책 안에 포함되지 않을 수도 있다. 역시 가입하기 전에 보험 업자와 확인해봐야 할 일이다.

“만약 당신의 기업이 신용카드를 스스로 처리해야 한다면, 다양한 표준에 따르겠다는 뜻이 됩니다. 컴플라이언스라고 하죠. 산업마다 지켜야 할 규정과 표준이 있고, 이를 지키지 않을 때 내야 하는 벌금이 있을 수 있습니다. 이걸 보험 업체가 일일이 파악하지 못할 수 있습니다. 그러므로 이 부분에 있어서는 가입자가 보험 제공 업체에 도움을 준다는 생각을 해야 합니다. ‘나는 이런 이런 표준에 묶여 있어, 벌금도 보험으로 보장받아야 하겠다’고 요청하면 그들 입장에서도 ‘몰랐던 것을 배웠다’고 답할 수 있습니다.”

9. 이름에 먹칠을 했다면
보험에서 피해액 산출이 가장 어려운 부분 중 하나는 명성 피해와 신뢰 손실과 같은 무형의 피해다. 산술적으로 금액을 정확하게 정한다는 게 무척이나 어려울 수밖에 없고, 그러니 모두의 동의를 이끌어내는 것도 힘들다. 브래드포드는 “실제로 명성에 대한 피해를 보장해주는 경우는 거의 없거나, 있어도 겨우 상징적인 금액만이 지불된다”고 설명한다.

“보험 업체들도 이 문제로부터 도망다니기만 했어요. 그러나 슬슬 마주해야 될 때가 되었습니다. ‘명성이나 고객 신뢰 문제는 어떻게 보장해줄 예정인가요?’라고 물으면 명확하지 않고, 애매한 답을 하는 업체가 많을 겁니다. 그러니 ‘이미 그 문제에 대한 답을 가지고 있습니다’라고 답하면 더 눈에 띄겠죠. 경쟁에서 앞서가겠고요.” 브래드포드의 말이다.

10. 계정 탈취 사기로 인한 피해
사이버 공격자가 회사의 은행 계좌에 관한 정보를 탈취해 금전적인 손해를 끼쳤을 때, 은행이 당연히 보상해주어야 하는 걸까? “대부분 회사들은 그렇다고 생각하는데, 그렇지 않을 때가 많습니다.” 브래드포드는 이 점 역시 보험 회사와 명확히 짚고 넘어가야 할 부분이라고 강조한다. “다행인 점은 금융권에 대한 직접 타격이 늘어나면서 은행이 보상을 해줄 수 있는 부분과 아닌 부분에 대한 기준이 점점 더 명확해지고 있다는 겁니다. 은행과의 관계 혹은 은행 계좌와 관련된 사고를 보험 상품에서 어떻게 다루고 있는지 반드시 확인이 필요합니다.”

 

 

 

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

[국제부 문가용 기자(globoan@boannews.com)]

#사이버   #보험   #보안   #보장   #사이버보안   #해킹   #사고

 

 

 

목록보기
답글달기수정하기
삭제하기

관련 쪽지글