보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

뜨고 있는 사이버 보험, 가입을 고려하고 있다면

입력 : 2014-10-07 15:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

아직 보험상품 현실을 충실히 반영하고 있지 못해

예외 규정 너무 많아 일일이 검토해보는 것이 중요


[보안뉴스 문가용] 매일처럼 일어나는 유출사고와 속속 등장하는 랜섬웨어. 갈수록 빡빡해지는 프라이버시 관련 법. 이 둘을 합치면 무슨 일이 일어날까? 불과 몇 년 전만 하더라도 상상할 수 없었던 성질의 손실과 위험이 쓰나미처럼 발생한다. 바로 지금의 일이다. 그리고 이런 일을 겪어야 하는 건 한두 개 업체나 조직이 아니다. 골목 구멍가게로부터 다국적 기업에 이르기까지 모두 이런 위험에 고스란히 노출되어 있는 것이다.

 

 ▲ 이래도 예외, 저래도 예외? 차라리 말을 안 할게.

해커들보다 앞서가서 가장 최신의 방어책을 구축하고자 노력하는 정보보안 팀에게 있어 매일의 일상은 전쟁이나 다름없다. 그것도 쉬지 않고 싸우는 전장이다. 하지만 그럼에도 대규모 유출사고가 숨 가쁜 속도로 일어난다면 회사로서는 당연히 다른 곳으로 눈을 돌리게 되어 있다. 그리고 그것이 요즘에는 ‘사이버 보험’이다. 이 현상에 몇 가지 질문을 던져본다.


현재 가입되어 있는 보험 상품은 얼마나 이해하고 있는가?

돈 낭비 중 최고는 보험 두 개 드는 것이다. 회사치고 보험에 가입되어 있지 않은 곳은 거의 없다. 그렇다면 새로운 보험 상품을 알아보기 전에 현재 가입되어 있는 보험부터 꼼꼼하게 검토하는 것이 당연하다. 그래야 뭐가 필요한지 정확히 알 것 아닌가.


아마 보험이 적용되는 범위 내에서의 운영, 제품, 지역 등에서 발생한 신체 손상, 재산 피해는 웬만큼 커버가 될 것이다. 하지만 개인 식별 정보, 기업 비밀, 개인 의료 정보 등의 유출로 인한 법적 책임이나 고객 알림 비용에 대한 것까지 고려해서 만들어진 상품은 아직 찾기 힘들 것이다. 게다가 최근 들어 보험업자들은 이런 사고에 대비해 애매할 수 있는 자신들의 용어들을 보다 분명히 다듬어서 그런 쪽의 피해까지 보험 적용을 하지 않으려고 하기 때문에 사이버 사고와 관련이 있을 가능성은 희박하다.


그러니 분명히 현재 보험과 사고의 실상에는 분명한 격차가 존재한다. 이 격차는 설사 사이버 관련 보험 상품이라고 하더라도 ‘예외 규정’으로서 다양하게 내포하고 있다.


너무 많은 예외 규정들

이 예외 규정들의 아주 전형적인 예는 보험 적용되는 정보가 종이의 형태로 유출되었을 때 보험 혜택을 받을 수 없다는 정책이다. 물론 ‘사이버’ 보험이긴 하지만 종이에 인쇄된 정보는 보험 적용이 안 된다니, 조금 억울하지 않은가.


정부나 규제 기관에서부터 벌금청구가 들어왔을 경우는 보험을 적용하지 않는다는 예외 규정이 있다. 그런데 대부분의 정보 유출사고는 인권사무국, 보건복지부, 법무장관실 등과 밀접한 연관이 있다. 즉 대부분의 사건이나 회사에서 이 예외 규정에 걸려들 수밖에 없다는 게 현실이라는 거다. 최소한의 방어 비용조차 보장해주지 못하는 보험이라면 사실 들 이유가 없어 보인다.


대리책임에 대한 적용 예외 규정도 있다. 즉 회사가 서드파티 업체에 데이터를 맡겼는데, 그 업체에서부터 유출사고가 발생했을 경우 보험 혜택을 받을 수 없다는 것이다. 하지만 요즘처럼 우회공격이 빈번한 때에 이 규정 역시 예외자가 굉장히 많이 생겨날 수밖에 없다.


데이터를 암호화 하지 않을 경우 보험 적용을 하지 않는다는 정책도 있다. 사실 이는 어느 정도 이해가 간다. 그리고 이 정책 때문에라도 회사에서는 암호화를 필수로 할 가능성이 높다. 그건 또 그것대로 괜찮은 효과라고 판단된다.


CISO들은 대부분 동의할 것이다. 해킹은 ‘일어날까 안 일어날까’의 문제가 아니라 ‘언제 일어날까’의 문제라는 것을 말이다. 또 중요한 건 ‘피해 규모가 어느 정도나 될까’이다. 보안 위협은 늘어나는데 예산은 거의 그대로인 현대에서 보험을 답으로 생각했다면 가입하기 전에 알아볼 수 있는 정보는 다 알아보아야 한다. 그래야 불필요한 지출을 줄여 보안의 다른 분야에 더 투자할 수 있다.


글 : 케빈 스미스(Kevin Smith)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)