뜨고 있는 사이버 보험, 가입을 고려하고 있다면

아직 보험상품 현실을 충실히 반영하고 있지 못해

예외 규정 너무 많아 일일이 검토해보는 것이 중요

[보안뉴스 문가용] 매일처럼 일어나는 유출사고와 속속 등장하는 랜섬웨어. 갈수록 빡빡해지는 프라이버시 관련 법. 이 둘을 합치면 무슨 일이 일어날까? 불과 몇 년 전만 하더라도 상상할 수 없었던 성질의 손실과 위험이 쓰나미처럼 발생한다. 바로 지금의 일이다. 그리고 이런 일을 겪어야 하는 건 한두 개 업체나 조직이 아니다. 골목 구멍가게로부터 다국적 기업에 이르기까지 모두 이런 위험에 고스란히 노출되어 있는 것이다.

해커들보다 앞서가서 가장 최신의 방어책을 구축하고자 노력하는 정보보안 팀에게 있어 매일의 일상은 전쟁이나 다름없다. 그것도 쉬지 않고 싸우는 전장이다. 하지만 그럼에도 대규모 유출사고가 숨 가쁜 속도로 일어난다면 회사로서는 당연히 다른 곳으로 눈을 돌리게 되어 있다. 그리고 그것이 요즘에는 ‘사이버 보험’이다. 이 현상에 몇 가지 질문을 던져본다.

현재 가입되어 있는 보험 상품은 얼마나 이해하고 있는가?

돈 낭비 중 최고는 보험 두 개 드는 것이다. 회사치고 보험에 가입되어 있지 않은 곳은 거의 없다. 그렇다면 새로운 보험 상품을 알아보기 전에 현재 가입되어 있는 보험부터 꼼꼼하게 검토하는 것이 당연하다. 그래야 뭐가 필요한지 정확히 알 것 아닌가.

아마 보험이 적용되는 범위 내에서의 운영, 제품, 지역 등에서 발생한 신체 손상, 재산 피해는 웬만큼 커버가 될 것이다. 하지만 개인 식별 정보, 기업 비밀, 개인 의료 정보 등의 유출로 인한 법적 책임이나 고객 알림 비용에 대한 것까지 고려해서 만들어진 상품은 아직 찾기 힘들 것이다. 게다가 최근 들어 보험업자들은 이런 사고에 대비해 애매할 수 있는 자신들의 용어들을 보다 분명히 다듬어서 그런 쪽의 피해까지 보험 적용을 하지 않으려고 하기 때문에 사이버 사고와 관련이 있을 가능성은 희박하다.

그러니 분명히 현재 보험과 사고의 실상에는 분명한 격차가 존재한다. 이 격차는 설사 사이버 관련 보험 상품이라고 하더라도 ‘예외 규정’으로서 다양하게 내포하고 있다.

너무 많은 예외 규정들

이 예외 규정들의 아주 전형적인 예는 보험 적용되는 정보가 종이의 형태로 유출되었을 때 보험 혜택을 받을 수 없다는 정책이다. 물론 ‘사이버’ 보험이긴 하지만 종이에 인쇄된 정보는 보험 적용이 안 된다니, 조금 억울하지 않은가.

정부나 규제 기관에서부터 벌금청구가 들어왔을 경우는 보험을 적용하지 않는다는 예외 규정이 있다. 그런데 대부분의 정보 유출사고는 인권사무국, 보건복지부, 법무장관실 등과 밀접한 연관이 있다. 즉 대부분의 사건이나 회사에서 이 예외 규정에 걸려들 수밖에 없다는 게 현실이라는 거다. 최소한의 방어 비용조차 보장해주지 못하는 보험이라면 사실 들 이유가 없어 보인다.

대리책임에 대한 적용 예외 규정도 있다. 즉 회사가 서드파티 업체에 데이터를 맡겼는데, 그 업체에서부터 유출사고가 발생했을 경우 보험 혜택을 받을 수 없다는 것이다. 하지만 요즘처럼 우회공격이 빈번한 때에 이 규정 역시 예외자가 굉장히 많이 생겨날 수밖에 없다.

데이터를 암호화 하지 않을 경우 보험 적용을 하지 않는다는 정책도 있다. 사실 이는 어느 정도 이해가 간다. 그리고 이 정책 때문에라도 회사에서는 암호화를 필수로 할 가능성이 높다. 그건 또 그것대로 괜찮은 효과라고 판단된다.

CISO들은 대부분 동의할 것이다. 해킹은 ‘일어날까 안 일어날까’의 문제가 아니라 ‘언제 일어날까’의 문제라는 것을 말이다. 또 중요한 건 ‘피해 규모가 어느 정도나 될까’이다. 보안 위협은 늘어나는데 예산은 거의 그대로인 현대에서 보험을 답으로 생각했다면 가입하기 전에 알아볼 수 있는 정보는 다 알아보아야 한다. 그래야 불필요한 지출을 줄여 보안의 다른 분야에 더 투자할 수 있다.

글 : 케빈 스미스(Kevin Smith)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  NFT 기반 가상자산 엔터버튼 해킹 및 토큰...

• 2

  리뷰 체험단 모집 빙자한 신종 피싱 기승

• 3

  시그넘 캐피탈 직원 사칭 북한 해커, 3일 ...

• 4

  청주흥덕서 봉명지구대, 경찰관 사칭 ‘수배조...

• 5

  [기획특집] 생체인식·출입통제 분야 상장기업...

• 1

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 2

  벤처 캐피탈 직원 사칭 피싱 공격 발견......

• 3

  [기획특집] 생체인식·출입통제 분야 상장기업...

• 4

  앱 개발 프레임워크 ‘일렉트론’으로 제작된 ...

• 5

  타깃컴파니 랜섬웨어 그룹, MS SQL 서버...

• 1

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국내 치과 사이트, 인도네시아 해커가 디페이...

• 4

  진짜 네이버는 어느 쪽일까?... 포털 로그...

• 5

  리멤버에게 온 ‘5,000P 포인트가 적립 ...