사이버 책임 보험 또는 사이버 보안 보험이라고도 하는 사이버 보험은 사이버 사고로 인한 재정적 손실을 보상하는 일종의 보험입니다. 자동차 보험이 자동차 사고로 인한 손해와 부상을 보상하는 것처럼 사이버 보험 정책은 사이버 공격으로 인해 손상된 컴퓨터 시스템, 수익 손실, 법적 비용 등을 보상합니다.
보안 침해의 수와 비용은 날로 증가하고 있습니다. IBM의 데이터 유출 비용 보고서에 따르면 기업의 83%가 두 번 이상의 데이터 유출을 경험했으며 평균 유출 비용은 USD 435만에 달합니다. 이러한 재정적 영향을 줄일 수 있는 방안으로 대두된 사이버 보험은 오늘날 기업의 위험 관리에서 중요한 부분이 되었습니다.
대부분의 기업은 고객 정보를 저장하거나 기술에 의존하기 때문에 모두 사이버 위험에 취약합니다. 보안 팀은 사이버 위협을 완화하기 위한 조치를 취할 수 있지만 완전히 제거할 수는 없습니다. Travelers Risk Index(ibm.com 외부 링크)에 의하면 비즈니스 리더의 57%가 사이버 공격이 불가피하다고 생각합니다.
일반 책임 보장 보험이나 오류 및 누락에 대해 보상해주는 보험과 같은 표준 비즈니스 보험 상품은 대개 사이버 공격으로 인한 손실을 보장하지 않기 때문에 랜섬웨어 공격, BEC(business email compromise) 사기, 기타 사이버 범죄 때문에 치르는 비용을 해당 기업이 고스란히 부담하게 됩니다. 이러한 공격이 막대한 경제적 피해를 초래할 수 있습니다. 예를 들어, 랜섬웨어 공격으로 인해 평균 USD 454만의 비용이 발생합니다. 물론 지불된 몸값은 포함되지 않은 금액입니다.
이러한 보장의 틈새를 해결하기 위해 사이버 보험이 등장했습니다. 사이버 보험은 몸값 지불, 악성 코드 제거 등을 비롯한 각종 비용을 보상함으로써 기업의 피해 규모를 줄이고 더 빠르게 복구하며 전반적인 사이버 복원력을 개선하도록 도울 수 있습니다.
사이버 보험의 보장 범위는 비즈니스의 특정 요구 사항, 비즈니스가 운영되는 산업 및 저장하는 데이터 유형에 따라 달라질 수 있습니다. 일반적으로 정책은 자사 및 타사 보장에 대한 옵션을 제공합니다. 자사 보장은 데이터 복구 및 시스템 복원 비용과 같은 사이버 사고로 인한 비즈니스의 직접적인 손실을 보상합니다. 타사 보장은 데이터가 도난당한 고객과 같은 외부 당사자가 입은 손해를 보상합니다.
특정 손실과 관련하여 많은 사이버 보험은 다음과 같은 항목을 보상합니다.
사이버 공격으로 인해 컴퓨터 시스템이 중단되어 회사에서 수익을 실현하지 못할 경우, 사이버 보험에서 그 손실의 일부나 전체를 보장합니다.
사이버 보험에서 사고 대응, 시스템 수리, 진상 조사 등 사이버 보안 사고가 일어난 후에 필요한 각종 서비스에 대해 비용을 지불합니다.
고객이 소송을 제기할 때처럼 사이버 공격으로 인한 법적 절차에 드는 비용을 보상해주는 사이버 보험도 있습니다. 보험에 가입한 회사를 위해 법적 대리인을 제공하는 보험사도 있습니다.
해커가 개인 식별 정보(PII), 또는 기타 민감한 성격의 정보(예: 신용카드 번호, 주민등록번호)를 훔쳐내는 경우에 고객에게 그 사실을 알리고 신용 감시와 같은 서비스를 제공하는 데 드는 비용을 사이버 보험에서 보상하기도 합니다.
특히 헬스케어, 금융 서비스 등과 같이 강력한 규제를 받는 분야에서는 사이버 공격 때문에 규제 기관의 조사를 받기도 합니다. 해당 기업이 내야 할 과징금을 포함하여 이러한 감사 절차에 드는 비용도 사이버 보험으로 보장받을 수 있습니다.
공격을 받은 후 실추된 브랜드 이미지를 회복하기 위해 PR 회사를 고용하는 등 여러 조치가 필요할 수 있습니다. 여기에 드는 비용을 보상해주는 사이버 보험도 있습니다.
랜섬웨어 때문에 지불된 몸값을 보장하는 사이버 보험이 많지만, 막대한 몸값 금액 때문에 이 보장을 중단하거나 제한하는 보험사도 있습니다.
사이버 보험에서 다양한 손해에 대해 보장 혜택을 주더라도, 일부 사고에 대해서는 보험금을 지불하지 않을 수도 있습니다. 이를 "면책 사항"이라고 합니다. 대표적인 예를 들면 다음과 같습니다.
공급업체나 기타 파트너로 인해 데이터가 유출되거나 서비스가 중단될 수 있습니다. 사이버 보험에서 이러한 손실을 항상 보상해주지는 않습니다. 그러나 추가 요금을 내면 제3자 보안 침해에 대해 보장을 제공하는 보험사도 있습니다.
직원의 악의적 의도나 태만과 같은 내부자 위협 때문에 발생하는 손실은 거의 보장되지 않습니다.
많은 사이버 보험에서는 이러한 공격을 전쟁 행위로 간주하고 그에 대해 보장하지 않습니다.
해당 기업이 알고도 해결하지 않은 결함을 해커가 이용하는 경우, 사이버 보험은 그로 인한 손실을 보상하지 않을 수 있습니다.
보험 대부분은 잘못된 구성이나 기타 내부 오류에서 비롯된 장애에 대해 보장하지 않습니다.
사이버 보험에 대한 수요는 높지만 비용도 증가하여 중소기업이 보장 범위를 찾기가 어렵습니다. Marsh McLennan(ibm.com 외부 링크)에 따르면, 사이버 보험료가 2022년 1분기에 110% 상승했다고 보고했습니다.
그러나 451 Research(ibm.com 외부 링크)는 사이버 보험이 랜섬웨어 공격 증가의 원인이 될 수 있다고 지적합니다. 점점 더 많은 기업이 사이버 보험에 가입함에 따라 보험으로 보장받기 때문에 몸값 지불에 대한 부담을 덜 느끼게 됩니다. 한편 해커는 더 거리낌없이 몸값을 요구합니다. 새로운 종류의 랜섬웨어인 HardBit(ibm.com 외부 링크)는 심지어 피해자에게 사이버 보험 정보를 요구하여 해당 보험으로 보장 가능한 선에서 몸값을 계산할 수 있도록 합니다.
게다가 사이버 보험이 비교적 새로운 유형의 보험 상품이라는 사실이 가격 변동을 부채질합니다. 보험사는 과거의 사이버 공격 비용에 관한 데이터가 많지 않아 정확한 위험 모델을 개발하여 안정적인 가격을 책정하기가 어렵습니다.
보험사는 손실이 늘어나면 보험료를 인상하고 보장 범위를 축소하는 식으로 대처합니다. 보험사인 AXA는 프랑스에서 가입한 보험에 대해서는 몸값 지불에 대한 보장을 중단했습니다(ibm.com 외부 링크). Lloyd’s of London(ibm.com 외부 링크)은 심각한 손해를 입히는 공격 유형 중 하나인 정부가 후원하는 사이버 공격에 대해서는 이제 보장을 제공하지 않습니다.
그리고 보험사는 보험에 가입한 기업에 더 엄격한 네트워크 보안 요구사항을 적용하고 있습니다. 심지어 다단계 인증, 데이터 암호화, 제로 트러스트 또는 이와 유사한 정책을 마련하지 않은 기업에는 보험 견적도 제공하지 않습니다. 일부 보험사는 컨설팅에 가까운 서비스를 제공합니다. 즉, 보험 가입자와 기업 오너가 보안 태세를 강화하는 데 도움이 될 보안 툴 및 서비스 제공업체를 이용할 수 있게 합니다. 사이버 보험사가 NIST 사이버 보안 프레임워크와 같은 표준을 시행하는 데 핵심적인 역할을 할 것으로 예측하는 전문가도 있습니다. 이러한 표준을 따르는 기업은 보험사 입장에서도 비용 부담이 더 적기 때문입니다.