Home > 전체기사
변호사가 직접 말하는, “사이버 보험 가입 팁”
  |  입력 : 2019-07-17 10:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보험 상품들, 현재는 아무런 기준 없어 회사마다 제각각
정책 꼼꼼히 읽고, 제시된 내용 두세 번 확인하고...예외 규정이 핵심


[보안뉴스 문가용 기자] 이제는 누구나 사이버 보안과 관련된 안 좋은 소식들을 한두 개 정도 들어서 알고 있는 듯하다. 이를 테면, 거대한 보안 사고가 발생했는데, 믿고 있던 사이버 보험사는 보장을 못해준다고 주장해 소송전이 벌어지는 사례 같은 것들 말이다. 이는 결국에 가서는 ‘사이버 위험’이라는 것을 보험사와 피보험사가 제대로 이해하지 못해 발생하는 일이다. 사이버 보험 정책을 꽤나 많이 검토했던 변호사로서, 필자가 사이버 보험을 검토하는 기업들에게 몇 가지 팁을 제공하고자 한다.

[이미지 = iclickart]


사이버 보험에 가입되어 있는지 잘 모르겠다면, 아마 가입되어 있지 않을 것이다
사이버 보안 사고는 일반적인 보험 상품과 묶이지 않는다. 거의 대부분의 사이버 보험 상품들은 독자적으로 운영된다. 문제는 이 사이버 보험 상품 세계에 기준이라는 것이 딱히 없고, 회사마다 ‘알아서’ 독자적으로 만들고 있다는 것이다. 그래서 기존 보험 회사들이 제공하는 전통의 상품들은 다 거기서 거기로 보이지만, 사이버 보험 상품은 그렇지 않다. 그러므로 사이버 보험 상품만큼은 ‘대충 비싼 돈 주고 고급 상품 사다 쓰면 된다’가 통하지 않는다. 반드시 피보험자의 꼼꼼한 확인과 조사가 필요하다.

요약한 것만 찾지 말고, 정책 내용을 처음부터 끝까지 읽어야 한다
앞서 말했지만 현재 사이버 보험 상품들의 가장 큰 특징은 회사마다, 상품마다 큰 차이를 보인다는 것이다. 어디 이름도 모르는 블로거나 유튜버의 보험 가입 팁 같은 게 보편적으로 적용될 수 없는 분야라는 것이다. 그러니 모든 것이 ‘케이스 바이 케이스’이고, 따라서 피보험자 스스로가 정책 내용을 적극적으로 이해하려고 애써야 한다. 당연한 거 아니냐고 하는 사람들이 있을 텐데, 변호사 생활을 하면서 정책을 꼼꼼히 읽는 피보험자를 만나본 건 손에 꼽을 정도로 적다. 99%가 보험 정책의 요약본만 읽고 잊어버린다.

왜 정책 내용을 처음부터 끝까지 꼼꼼히 읽는 게 중요할까? 모든 보험 상품 내용에는 반드시 법적으로 정의가 된 용어들이 포함되어 있으며, 이 용어들이 정책의 실질적인 성격을 정의한다. 만약 보험사와 피보험사 간에 ‘해당 사건은 보장 받을 수 있다, 없다’ 여부를 놓고 다툼이 벌어졌다면, 법원은 바로 이 법적 용어들부터 참고하게 된다. 그리고 이 용어들은 여러 가지 이유로 상품 가입 시점에 소개되지 않는다. 소개되지 않았다고 해서 그 책임을 보험사가 지게 되는 사례는 극히 드물다. 보험 상품은 보험사와 피보험사 간의 ‘계약서’다. 모든 계약 위반 사건이 다 그렇듯, 법원이 찾는 건 양자가 한 약속의 내용이 법적 용어로 설명되어 있는 부분이다. 지금 읽어두는 편이 도움이 되는 건 자명한 일이다. 당신과 싸워야 할지도 모르는 보험사는 이미 다 알고 있는 내용이다.

또한 개인적인 경험 상 ‘요약본’에는 소셜 엔지니어링 공격은 보상 대상이 되지 않는다는 내용이 포함되지 않은 경우가 많았다. 소셜 엔지니어링 공격 중 대표적인 건 피싱인데, 보험사에 따라서는 랜섬웨어 공격도 소셜 엔지니어링의 일부로 보고 있기도 하다. 게다가 거의 모든 사이버 공격은 피싱으로부터 시작한다. 요약본은 믿을 게 되지 못한다.

중요한 게 하나 더 있다. 보험 정책을 CISO 등 사이버 보안 책임자들도 읽고 검토하도록 해야 한다는 것이다. 왜냐하면 보험 정책에는 법적 용어만이 아니라 기술적 용어도 적잖이 포함되어 있기 때문이다. 최근 필자는 어떤 보험 정책 내용 중에 “기술적으로 잘못된 행동”이라거나 “프라이버시와 보안의 측면에서 잘못된 행위”가 언급된 것을 보았다 그 항목 밑으로는 상세한 기술적 설명들이 이어졌으나, 대부분의 경영진은 모호하게 작성된 제목만 대충 훑고 넘어간다. 게다가 상세한 기술 설명이라는 것도, 아무래도 보안을 전문으로 하지 않는 보험사가 작성한 것이다 보니 완전하지 않았다. 보안을 전문으로 하는 사람이 시간을 들여 정책을 살피는 것은 당연한 일이다.

예외 조항이 사실은 핵심일 때가 많다
‘사이버 위험’을 ‘금전적 손해’로 전환하는 건 대단히 어려운 일이다. 완전히 잘 되는 것도 아니다. 그래서 이 전환의 과정 중에 필연적으로 특정 유형의 공격들은 보장 내용에서 빠지게 된다. 보험사마다 빼는 것도 다양한데, 요즘에는 주로 피싱 공격, 랜섬웨어 공격, 사업 이메일 침해 공격(BEC)이 예외 규정에 포함된다. 그러니 지금 시점에서는 ‘보장이 되는 항목’만큼 ‘예외 규정’을 살피는 게 중요한 일이다.

최근 들어 보험사들이 상품 내용의 요약본과 함께 총 보장 금액을 제시하는 경우가 많아졌다. 총 500만 달러가 보장된다는 내용의 그래프가 떡 하니 자리 잡고 있는 문서가 피보험자에게 제출되는 것이다. 하지만 여기에는 2차 한도나 예외 항목과 같은 개념이 그려져 있지 않은 경우가 대부분이다. 필자가 본 한 설명서의 경우, “소셜 엔지니어링의 2차 제한 금액은 10만 달러다”라는 내용이 66 페이지짜리 문건의 54 페이지에 자그맣게 적혀 있었다. 요약본에는 그나마도 없었다.

사이버 보험에 가입하고 싶다면, “예외 규정이 어딘가에 숨어있다”는 것을 반드시 기억해야 한다. 예외 규정을 따로 항목화 해서 마련하고 있지 않을지도 모른다. 그런 계약서는 곳곳에 예외 내용들을 숨겨 놓는다. 주의가 필요하다. 또한 피보험자는 사업 진행 사안을 제대로 이해하고 어떤 부분이 반드시 보장되어야 하며, 어떤 부분은 없어도 되는지를 파악하고 있어야 한다. 그래야 제시된 상품을 가지고 보다 ‘맞춤형’으로 타협할 수 있게 된다. 가장 확실한 건 사이버 보험을 전문으로 하는 변호사나 법 전문가를 선임하는 것이다.

협상은 사고가 터지기 전에 하는 것이다
누구나 좋은 조건에 보험 상품을 구매하길 원한다. 보험사들도 이를 잘 알고 있다. 즉, 고객이 협상을 하려 든다는 걸 예상하고 있다는 것이다. 그러니 주는 대로 그냥 받지 말고, 최대한 협상을 진행해야 한다. 딱 맞는 보험 상품은 존재하지 않으며, 따라서 양측이 맞춰가야 하는 것이다.

예를 들어 만약 회사와 친한 포렌식 팀이 있다면, 보험사에 해당 팀이나 업체를 계약 내용 중에 포함시키는 것을 제안해보라. 보험사들은 종종 ‘패널’이라고 하는 자문 위원이나 포렌식 전문가를 두고 일하길 좋아한다. 이들을 통해 사고와 피해를 평가하는 것이다. 문제는 일부 보험 업자들이 ‘자문 위원’이라고 명시해놓은 업체들은 그저 이름만 유명한 곳이고, 실제 해당 보험사와는 일면식도 없는 경우가 많다는 것이다. 따라서 실제 사건이 터지면 이 유명한 회사들에는 연락이 가지 않는다. 심지어 동네 한 구석에 있는 자그마한 컴퓨터 수리소와 협조하는 곳도 있다.

그러니 보험 관련 정책에 ‘내가 잘 아는 업체’ 혹은 ‘신뢰할 만한 업체’를 지정하는 것도 나쁘지 않은 협상 방법이다. 또한 보험사가 지정해둔 자문 업체가 있다면 직접 연락을 해서 해당 보험사와의 관계를 물어보는 것도 좋은 방법이다. 현재로서 사이버 보험 가입 시 기억해야 할 키워드는 딱 하나다. 바로 ‘꼼꼼함.’

글 : 베스 버긴 월러(Beth Burgin Waller), Woods Rogers PLC

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향