서비스

[NES2019] 보안 리스크 다양화, 사이버 보험 도입 고려해야 하는 이유

이상일
삼정KPMG 고영대 이사
삼정KPMG 고영대 이사
[디지털데일리 이상일기자] 모바일 기반의 디지털 트랜스포메이션이 전 방위적으로 진행되며 사물인터넷(IoT), 클라우드 등 다양한 기술을 바탕으로 한 사업모델 전환이 빠르게 이뤄지고 있다. 이처럼 기술과 서비스의 빠른 변화에 따라 사이버 공격의 형태도 다양하게 진화하고 있다.

KPMG에 따르면 연간 글로벌 사이버 공격으로 발생하는 비용은 2018년 683조원에 이르는 것으로 조사됐다. 특히 과거 사이버 공격으로 인한 피해는 단순한 금전적 손실에 그쳤지만 최근에는 기업 업무 중단과 개인정보 유출, 기업 평판 하락에 따른 매출 손실 등 다양한 형태로 확장되고 있다.

24일 <디지털데일리> 주최로 쉐라톤 서울 디큐브시티 호텔에서 열린 ‘차세대 기업보안 세미나(NES) 2019’행사에서 삼정KPMG 고영대 이사는 “과거 사이버 공격으로 인한 비용은 시스템 복구와 같은 단순 해결이 가능한 수준이었지만 현재는 이탈 위험이 있는 고객에 대한 배상 등 부가적인 후속비용도 고려해야 한다”고 지적했다.

이처럼 진화하고 있는 사이버 공격에 능동적으로 대응하고 보안사고 대응에 소모되는 막대한 비용이슈를 경감시키기 위해 사이버 보험이 주목받고 있다.

사이버보험은 기업의 시스템이 가용성, 기밀성, 무결성 등 문제로 인해 계약자 및 제3자에 발생한 손실을 담보하는 보험상품을 의미한다. 배상책임 및 본인 손해를 종합적으로 보장하는 보험상품으로 정의된다.

글로벌 사이버보험 시장은 2015년 25억달러 수준으로 추정되며 2020년에는 75억 달러, 2025년에는 200억 달러에 도달할 것으로 전망되고 있다. 이처럼 시장 규모의 급속한 성장에 따라 다양한 보험사들이 상품 개발 및 시장 출시를 통해 시장 선점에 나서고 있다.

과거 사이버보험은 기술적 피해 보장에 범위가 한정돼 있었지만 내외부의 다양한 요인으로 변화하고 있다. 예를 들어 사이버 절도 및 이체 사기와 같은 새로운 형태의 손실 원인 발생에 따른 범위의 확대 등이다. 또, 비즈니스의 변화와 더불어 기술 발전에 따른 다양한 위협이 등장에 따라서도 사이버 보험의 영역은 확장되고 있다.

이처럼 사이버 보험의 범위가 확장되면서 더 이상 보호의 대상이 데이터와 같은 디지털 자산에 머무르지 않고 기업 전 영역에 영향을 미치고 있다.

국내의 경우 정보통신망법 개정으로 오는 6월부터 이용자가 3개월간 일 평균 1000명 이상인 정보통신사업자는 사이버보험 가입이 의무화된다. 이에 따라 정보통신서비스 제공업체 94만개 중 1만8000여개 기업이 보험에 가입할 것으로 보여 시장 규모가 2배 이상 성정할 것으로 보인다.

다만 국내 보험사들도 다양한 상품을 출시하고 있지만 보장 범위 측면에서 글로벌 사이버 보험과 비교했을 때 상당한 격차를 보인다는 설명이다. 예를 들어 미국의 경우 서비스 중단으로 인한 외부 비용과 수익감소분, 정보도난 처리비용에 대해 보장하고 있지만 국내는 그렇지 못하다는 것.

국내의 환경도 사이버 보험이 발달하지 못하는 제약으로 다가오고 있다.

사고발생 확률 및 사고시 평균 피해규모 등 보험료 산정을 위한 데이터가 부족하고 피해규모 산정 및 책임자 식별 등에 필요한 전문성이 부족하다는 점. 그리고 기업이 규제 및 불필요한 비용으로 인식하고 있고 기업의 배상능력을 고려한 위자료 산정으로 보험 실효성에 우려가 있어 초기 시장 확보가 어렵다는 지적이다.

이에 따라 고영대 이사는 “사이버 보험 앞에 놓여진 장애물을 해결하고 시장의 활성화를 위해서는 다각도의 노력이 필요하다”며 “사고 데이터 수집을 위한 제도적 방안 마련과 사회적 논의의 장 마련, 그리고 세재혜택 및 벌금 경감 등의 인센티브 제공과 국가 재보험 도입 검토 등의 논의가 필요하다”고 밝혔다.

한편 기업이 사이버 보험을 도입하기 위해서는 ▲사이버 위험 범위를 산정하는 방법이 회사의 전략에 부합하는지 확인 ▲사이버 위험 프로필을 만들기 위한 의사결정을 내릴 수 있는 팀 구성 ▲통제 환경에 대한 이해를 위한 특정 검사 영역 설정 ▲보험 보장범위 및 보험료 산정을 위한 중요 데이터 우선 순위 고려 ▲경영진의 지원을 통해 사이버 위험에 대한 의사결정 등 5가지 고려사항에 대한 점검이 필요하다는 설명이다.

<이상일 기자>2401@ddaily.co.kr
이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널