사이버 위협이 갈수록 증가하면서 기업들은 성공적인 공격이 초래할 수 있는 심각한 재무적 피해에 대응하기 위해 사이버 보험에 점점 더 의존하고 있다. 그러나 사이버 보험 역시 고유한 위험을 내포하고 있으며, 특히 변화하는 위협 환경에는 집중하지만 보험 약관의 세부 문구에는 상대적으로 관심이 적은 보안 리더에게는 더욱 그렇다.
정보 접근, 정보 프라이버시, 데이터 보호 전문 분야의 발전을 목표로 하는 캐나다 프라이버시 및 접근 위원회의 대표 샤론 폴스키는 사이버 보험에서 흔히 발견되는 여러 누락 사항과 허점이 잘못된 안도감을 유발해, 보험이 제공할 것으로 기대되는 혜택을 제한하거나 심지어 무력화할 수 있다고 설명했다.
기업이 잠재적으로 치명적인 함정을 포함한 사이버 보험으로 재무적 기반을 위태롭게 하고 있는 것은 아닌지 점검해볼 필요가 있다. 현재의 보험 약관과 이에 대한 가정을 다시 살펴보고, 다음에 제시된 여섯 가지 대표적인 사이버 보험의 ‘함정’을 확인해야 한다.
1. 사이버 보험이 모든 위험을 보장한다고 가정하는 경우
현실에서는 많은 보험 상품이 매우 제한적인 정의와 숨겨진 제외 조항, 엄격한 조건을 포함하고 있어 보안 침해 발생 이후에도 조직이 충분히 보호받지 못하는 상황이 발생할 수 있다. 보험 중개사 트라이 팩 인슈어런스 서비스의 설립자인 윌리엄 J. 린지 3세는 “자동차 책임보험처럼 모든 보험이 동일한 보장을 제공하는 구조가 아니다”라며 “사이버 책임보험은 보험 상품마다 약관과 조건이 서로 다르다”고 설명했다.
린지는 특정 보험사와 계약하기 전, 사이버 보험 계약에 대한 경험을 갖춘 변호사와 상담할 것을 권했다. 그는 “보험 약관은 복잡한 정의로 구성된 법적 문서”라며 “변호사는 모호한 용어, 숨겨진 예외 조항, 또는 보험금 청구 시 분쟁으로 이어질 수 있는 의무 사항을 사전에 짚어낼 수 있다”고 전했다. 이어 “보험을 구매한 이후 손실이 발생하면, 보장 공백을 메우기 위한 변경은 더 이상 불가능하다”고 설명했다.
2. 보장 범위, 중단, 위협 관련 세부 약관을 잘못 해석하는 경우
사이버 보안 보험에 사용되는 문구는 대체로 가입자보다 보험사에 유리하게 작성된다는 점을 인식하는 것이 중요하다.
폴스키는 “기업은 종종 자신의 관점에서 약관을 해석하면서, 그 문구 자체가 만들어내는 위험을 간과한다”고 경고했다. 예를 들어 ‘시스템 장애’로 인한 중단만을 보장하는 사업 중단 보장은 랜섬웨어와 같은 사이버 사고를 제외할 수 있다. 또한 ‘위협 보장’이라는 표현이 보험 발효 시점에 이미 알려진 위협만을 의미하는 경우, 보장 기간 중 새롭게 등장한 위협 유형은 보험 대상에서 빠질 수 있다.
폴스키는 “보험 약관에서 사용되는 ‘위협’과 같은 용어는 정의되지 않는 경우가 많아, 가입 기업은 자신의 해석이 그대로 적용될 것이라 예상하게 된다”며 “하지만 실제로는 쉼표 하나의 존재 여부나 정의의 유무가 법적 분쟁의 핵심이 된다”고 설명했다.
3. 특정 손실 유형에 숨겨진 보장 한도를 간과하는 경우
보험이 모든 사이버 공격 손실을 보장할 것이라고 믿고 있을 수 있지만, 세부 약관을 살펴보면 사회공학 공격, 랜섬웨어, 사업 중단과 같은 영역에서 현실적으로 충족하기 어려운 제외 조항과 보증 조건이 다수 포함돼 있는 경우가 적지 않다.
보험 비교 서비스를 제공하는 인슈어런스오피디아의 최고경영자 맥스 커플랜드는 숨겨진 보장 한도가 잘못된 안전감을 만든다고 설명했다. 그는 “기업은 전체 사이버 보장을 전제로 예산을 편성하지만, 실제로는 손실이 하위 한도에 해당해 보험금이 거절되거나 크게 줄어들 수 있다”고 전했다. 하위 한도란 특정 손실 유형에 대해 적용되는 보장 금액 제한을 의미한다.
이러한 문제를 예방하기 위해 커플랜드는 보험 중개인과 보안 팀이 함께 테이블탑 훈련을 진행할 것을 조언했다. 각 시나리오마다 보장 여부와 보장 한도, 적용될 수 있는 제외 조항을 점검한 뒤, 이를 한 장짜리 보장 체크리스트로 정리해 보험 가입 여부를 최종 판단해야 한다는 설명이다.
4. 보안 전략을 보험 약관과 정렬하지 않는 경우
관리형 서비스 제공업체 다이아몬드 IT의 대표 겸 최고경영자 맷 마요는 다중요소인증, 정기 백업, 엔드포인트 탐지와 같은 항목을 포함해 보안 수준이 보험 약관의 기준에 미치지 못할 경우 보험금 청구가 즉시 거절될 수 있다고 경고했다.
마요는 많은 기업이 스스로 충분히 보안이 갖춰졌다고 믿지만, 실제로 보험금을 청구하는 시점이 되면 필수로 요구되는 보안 조치를 충족하지 못했다는 약관의 세부 문구가 문제로 지적되는 경우가 많다고 설명했다. 이 경우 기업은 보험사의 지원 없이 사고 복구 비용과 법률 비용, 잠재적인 소송 부담까지 떠안게 된다.
이러한 함정을 피하는 가장 확실한 방법은 보험 약관에 명시된 요구 사항과 기업의 사이버 보안 체계를 정확히 일치시키는 것이다. 마요는 이는 사고가 발생하기 전에 보장 내용을 사전에 검토하는 것을 의미한다고 설명했다. 아울러 필요한 통제를 구현하고 이를 문서화하는 데 도움을 줄 수 있는 전문 컨설턴트를 활용하는 것도 하나의 방법이 될 수 있다.
5. 소급 적용일 함정에 빠지는 경우
사이버 보안 서비스 기업 솔레이스의 설립자이자 최고경영자인 폴 피오셀리는 소급 적용일 조항이 사이버 보험에서 가장 위험한 함정이 될 수 있다고 지적했다. 이 조항은 보험 시작일 이전에 발생한 사고에 대해, 수개월 뒤에 발견되더라도 보장을 무효화한다.
피오셀리는 해커가 평균적으로 200일 이상 네트워크 내에 탐지되지 않은 채 머무를 수 있다는 점을 언급하며, 이 같은 허점으로 인해 신규로 가입한 보험이 경우에 따라서는 아무런 가치도 갖지 못하게 될 수 있다고 설명했다.
그는 가능하다면 과거 발생 행위 전체를 보장하는 조건을 요구해야 한다고 조언했다. 이는 소급 적용일 자체를 제거하는 방식이다. 보험사가 이를 받아들이지 않을 경우에는 소급 적용일을 최대한 과거로 미루도록 협상해야 하며, 이상적으로는 회사 설립 시점까지 거슬러 올라가야 한다고 설명했다.
또한 보험을 검토하기 전에 포괄적인 사이버 보안 위험 평가를 수행하는 것이 중요하다고 강조했다. 기업이 보유한 구체적인 취약점과 잠재적인 재무적 영향을 먼저 이해한 뒤, 그 현실에 부합하는 보장 한도와 범위를 갖춘 보험을 선택해야 한다는 설명이다.
6. 자사 손해 보장과 제3자 책임 보장의 차이를 오해하는 경우
스마트 파이낸셜의 보험 마케팅 담당자 딜런 테이트는 보험 가입자가 저지를 수 있는 가장 큰 실수는 자사 손해 보장과 제3자 책임 보장의 차이를 제대로 이해하지 못한 채, 두 가지를 모두 포함하지 않은 보험에 가입하는 것이라고 설명했다.
자사 손해 보장은 사이버 공격 이후 기업이 직접 부담하게 되는 손실과 비용을 보장한다. 여기에는 매출 손실, 홍보 지원 비용, 손실된 데이터 복구와 관련된 비용 등이 포함된다. 반면 제3자 책임 보장은 데이터 유출로 피해를 입은 고객이 기업을 상대로 소송을 제기했을 때 이를 방어하거나 관련 비용을 처리하는 역할을 한다. 소비자에 대한 선지급금, 합의금이나 벌금, 법원이 명령한 손해배상금도 이 범주에 포함될 수 있다.
테이트는 사이버 보험에 이 두 가지 보장이 모두 포함돼 있지 않다면, 사이버 범죄 발생 시 손실 유형에 따라 상당하고 불필요한 자비 부담이 발생할 수 있다고 설명했다.
그는 많은 사이버 보험이 자사 손해 보장과 제3자 책임 보장을 함께 포함하고 있지만, 일부 보험사는 이를 별도 상품으로 제공한다고 경고했다. 예를 들어 하트포드는 두 가지 보장을 함께 묶은 상품과 각각 하나만 포함한 상품을 모두 판매하고 있어, 기업 보험 가입자에게 혼란을 줄 수 있다는 설명이다.
결국 보험 가입 전 충분한 질문을 던지는 것이 모든 보장 요구 사항을 충족하는지 확인하는 가장 확실한 방법이다. 테이트는 이미 인지하고 있는 사이버 보안 위험과 잠재적인 보험금 청구 시나리오를 함께 검토하면, 특정 보험사가 실제 사고 발생 시 어떤 방식으로 기업을 지원할 수 있는지 보다 명확히 파악할 수 있다고 전했다. 초기 단계에서의 면밀한 논의는 번거로울 수 있지만, 향후 보험금 청구 과정에서 예기치 않은 비용 부담을 피하는 데 도움이 된다는 설명이다.
dl-ciokorea@foundryco.com
Read More from This Article: 사이버 보험, 만능 방패는 아니다···보안 리더가 피해야 할 6가지 함정
Source: News