Home > 전체기사

사이버 보험 산업에 처음 등장한 대재해 채권, 어떤 파장 일으킬까?

  |  입력 : 2023-01-31 11:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한 사이버 보험 회사가 4500만 달러에 달하는 대재해 채권을 발표했다. 사이버 보험 업계에서는 처음 등장하는 개념이라 적잖은 충격이 전해지고 있다. 그 만큼 보안 사고가 심각해지고 있으며 안정적인 보험 상품에 대한 수요가 높아지고 있다는 뜻이다.

[보안뉴스 문정후 기자] 1월 초, 보험사 비즐리(Beazley)가 4500만 달러 사이버 대재해 채권을 발행할 것이라고 발표했다. 사이버 보험 시장에 처음 등장하는 것이다. 대재해 채권은 원래 부동산이나 응급 상황을 자주 다루는 보험 시장에만 있던 것이었다. 허리케인이나 토네이도와 같은 대규모 자연 재해가 발생하는 상황에서 보험사들에 지불된다. 보험사들을 위한 일종의 보호 장치라고 볼 수도 있다.

[이미지 = utoimage]


로펌 쿨헤인메도우즈(Culhane Meadows)의 파트너 다니엘 스트럭(Daniel J. Struck)은 “그런 채권이 사이버 보험 시장으로 옮겨 온다고 했을 때, 손실에 대한 보상 금액을 보다 안전하게 지불할 수 있게 해 주는 장치가 된다”고 설명한다. 그러면 이 ‘대재해 채권’이 사이버 보험 시장에 등장한다는 건 시장 전체에 어떤 의미를 갖는 것일까? 이를 이해하려면 먼저 사이버 공간에서의 대재해란 무엇인지를 짚어봐야 한다.

사이버 대재해?
“사이버 대재해 채권이라는 것 자체는 처음 등장하는 서비스 제품입니다. 그러므로 ‘사이버 대재해’라는 개념의 정의 중 보안 업계나 보험 업계 누구나가 동의할 만한 것은 존재하지 않습니다.” 스트럭의 설명이다. 비즐리의 경우 ‘사이버 대재해’에 해당하는 사건이 발생할 때 3억 달러를 넘는 보상금을 지불해야 하는 상황에서 이 채권이 발동된다고 한다.

그러면 사이버 보안 사고들 중 그렇게까지 큰 규모로 발전할 수 있는 사건은 무엇이 있을까? 인공지능 기반 보험 업체 코버스인슈어런스(Corvus Insurance)의 CEO 마두 타디콘다(Madhu Tadikonda)는 “한 번에 여러 국제적 기업들이 며칠 씩 마비되는 상황이라면 그 정도 금액을 충분히 넘을 수 있다”고 설명한다. 3억 달러를 보험 업체가 보상금으로 지출해야 하는 상황이 그리 비현실적이지 않다는 것이다.

사이버 리스크 관리 업체 액시오(Axio)의 부회장 피터 홀리(Peter Hawley)는 한 가지 사건을 예로 든다. “2017년 전 세계적인 물류 회사인 머스크(Maersk)가 낫페트야(NotPetya) 멀웨어에 감염되는 사건이 있었습니다. 그 때 2억에서 3억 달러의 손해를 본 것으로 집계가 되었습니다. 전 세계적으로는 머스크가 중단된 것 때문에 100억 달러가 넘는 피해액이 발생했고요. 이 정도면 대재앙 수준이라고 할 수 있습니다.” 게다가 사이버 보안 사고 중 이 정도 규모의 피해를 남기는 사례는 점점 많아지는 중이다.

사이버 보험의 범위
사이버 보험 기업들은 이미 오래 전부터 머리가 아파왔다. 사이버 공간에서의 위험과 피해를 계산하는 일이 여간 복잡한 일이 아니기 때문이다. 그 계산에 따라 해킹 공격 등의 피해를 본 고객들에게 적절한 보상을 해주어야 하는 게 그들의 몫이다. 그런데 보험사에 요구하는 고객들의 금액이 점점 높아지고, 피해 빈도도 높아지다 보니 보험사들도 계산을 다시 해야만 하게 됐다. 보험사에 내야 할 금액은 계속해서 오르고 올라 기록이 갱신되는 중이다. 2022년 1사분기에만 전 분기에 비해 27.5%나 올랐다고 한다.

취리히보험(Zurich Insurance)의 CEO인 마리오 그레코(Mario Greco)는 2022년 말, 사이버 공간은 조만간 보험의 커버리지 대상이 되지 않을 것이라는 폭탄 발언을 한 바 있다. 하지만 타디콘다는 왜 그런 말을 하게 됐는지 십분 이해하지만 발언의 내용 자체에 동의할 수 없다는 입장이다. “보험 모델링과 데이터 과학의 힘을 빌리면서 계속해서 가격 상정 모델을 바꿔갈 필요가 생기겠죠. 하지만 그것이 ‘보험의 커버리지 대상이 되지 않을 것’이라는 뜻은 아닙니다.”

자산 관리 플랫폼인 키칼리버(KeyCaliber)의 CEO 로젤 사프란(Roselle Safran)은 “이쪽이든 저쪽이든 벌써부터 결론을 내리기에 사이버 보험 산업 자체가 아직 덜 영글었다는 걸 기억해야 한다”고 지적한다. “이제 막 태어난 산업이라고 해도 과언이 아닙니다. 전통적 보험 업계의 역사를 생각하면 아직 탄생하기 전이라고 보이기도 합니다. 그런 가운데 대재해 채권이 등장했다는 건 산업이 조금 더 성숙해가는 방향으로 가고 있다는 뜻이 됩니다. 사건이 점점 심각해지고 있어서죠. 그것 이상의 의미가 더 있을까요?”

대재해 채권
비즐리가 이렇게 첫 발을 내디뎠는데, 혹시 다른 보험사들도 뒤를 이을까? 각 보험사들마다 대재해 채권을 발행하면서 보험 사고에 대한 만반의 채비를 갖추게 될까? 사이버 보험 회사인 카우벨(Cowbell)의 수석 연구원 댄 팔라디(Dan Palardy)는 “이미 오래 전에 나왔어야 했을 것”이라고 대재해 채권에 대해 말한다. “사이버 보험을 제공하는 회사라면 다들 자극이나 영감을 받지 않았을까 합니다.” 그러면서 팔라디는 “아직 사이버 보험에 가입하지 않은 기업들이 훨씬 많다”며 “더 많은 고객사를 확보하기 위해 사이버 보험사가 제시할 수 있는 서비스가 될 수도 있다”고 짚었다.

하지만 대재해 채권이라는 것이 원한다고 곧바로 도입할 수 있는 건 아니다. “일단 든든한 자본력을 배경에 갖춰야 하는데요, 이 부분이 첫 번째 장애물이 될 것”이라고 홀리는 예상한다. “비즐리만 해도 대재해 채권 발행이 가능했던 건 커다란 자본 회사 둘이 배후에 있기 때문입니다. 비즐리의 경우가 좋은 선례로 남는다면 투자 회사들이 의외로 더 많이 뛰어들 수도 있겠지만, 아직은 여러 가능성을 검토하는 경우가 더 많을 겁니다.”

그러나 대재해 채권과 같은 획기적인 방안이 나오지 않는다 하더라도 사이버 보험사가 경쟁력을 잃는 일은 쉽게 일어나지 않을 것이라고 사프란은 내다보고 있다. “사이버 공간에서의 위험은 그 빈도나 심각도라는 측면에서 빠르게 자라고 있습니다. 기업 운영자들이 가장 신경 쓰는 것 중 하나가 보안 사고이기도 하죠. 그런 상황에서 사이버 보험 산업이 갑자기 몰락할 이유는 없어 보입니다. 대재해 채권과 같이 아무나 도입할 수 없는 뭔가를 제시하지 않더라도 앞날이 어둡지 않은 이유입니다.”

보험 브로커 전문 대행사 브로커스그룹(Brokers Group)의 존 에스펜샤이드(John Espenschied)는 “사이버 범죄에 대한 대책들이 보험 업계에서조차 다양하게 나오고 있다는 걸 보여주는 사례”라고 정리하며 “사이버 위협들을 기업들이 얼마나 껄끄러워하는지를 단편적으로 볼 수 있다”고 정리한다. “다만 보험금이 너무나 높아지고 있다는 사실이 보험 업계의 괜찮은 전망에 그림자를 드리우고 있습니다. 보험 업계도 이 사실을 알고 있을 겁니다. 가격을 낮춰 접근성만 높일 수 있다면 보험 업계는 순풍에 돛 단 것처럼 나아갈 수 있을 겁니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)