사이버 보험이란?
사이버 보험은 기업이 랜섬웨어 공격, 데이터 유출과 같은 사이버 사고와 관련된 비용을 충당하도록 지원합니다.
IBM 뉴스레터 구독 2022년 데이터 유출 비용 보고서 읽기
모두 IBM Security를 사용하고 있는 여러 사무실 직원을 보여주는 등각 투영 이미지
사이버 보험이란?

사이버 책임 보험 또는 사이버 보안 보험이라고도 하는 사이버 보험은 사이버 사고로 인한 재정적 손실을 보상하는 일종의 보험입니다. 자동차 보험이 자동차 사고로 인한 손해와 부상을 보상하는 것처럼 사이버 보험 정책은 사이버 공격으로 인해 손상된 컴퓨터 시스템, 수익 손실, 법적 비용 등을 보상합니다.

보안 침해의 수와 비용은 날로 증가하고 있습니다. IBM의 데이터 유출 비용 보고서에 따르면 기업의 83%가 두 번 이상의 데이터 유출을 경험했으며 평균 유출 비용은 USD 435만에 달합니다. 이러한 재정적 영향을 줄일 수 있는 방안으로 대두된 사이버 보험은 오늘날 기업의 위험 관리에서 중요한 부분이 되었습니다.

사이버 보험이 중요한 이유

대부분의 기업은 고객 정보를 저장하거나 기술에 의존하기 때문에 모두 사이버 위험에 취약합니다. 보안 팀은 사이버 위협을 완화하기 위한 조치를 취할 수 있지만 완전히 제거할 수는 없습니다. Travelers Risk Index(ibm.com 외부 링크)에 의하면 비즈니스 리더의 57%가 사이버 공격이 불가피하다고 생각합니다.

일반 책임 보장 보험이나 오류 및 누락에 대해 보상해주는 보험과 같은 표준 비즈니스 보험 상품은 대개 사이버 공격으로 인한 손실을 보장하지 않기 때문에 랜섬웨어 공격, BEC(business email compromise) 사기, 기타 사이버 범죄 때문에 치르는 비용을 해당 기업이 고스란히 부담하게 됩니다. 이러한 공격이 막대한 경제적 피해를 초래할 수 있습니다. 예를 들어, 랜섬웨어 공격으로 인해 평균 USD 454만의 비용이 발생합니다. 물론 지불된 몸값은 포함되지 않은 금액입니다. 

이러한 보장의 틈새를 해결하기 위해 사이버 보험이 등장했습니다. 사이버 보험은 몸값 지불, 악성 코드 제거 등을 비롯한 각종 비용을 보상함으로써 기업의 피해 규모를 줄이고 더 빠르게 복구하며 전반적인 사이버 복원력을 개선하도록 도울 수 있습니다. 

사이버 보험의 보장 범위

사이버 보험의 보장 범위는 비즈니스의 특정 요구 사항, 비즈니스가 운영되는 산업 및 저장하는 데이터 유형에 따라 달라질 수 있습니다. 일반적으로 정책은 자사 및 타사 보장에 대한 옵션을 제공합니다. 자사 보장은 데이터 복구 및 시스템 복원 비용과 같은 사이버 사고로 인한 비즈니스의 직접적인 손실을 보상합니다. 타사 보장은 데이터가 도난당한 고객과 같은 외부 당사자가 입은 손해를 보상합니다.

특정 손실과 관련하여 많은 사이버 보험은 다음과 같은 항목을 보상합니다. 

비즈니스 중단

사이버 공격으로 인해 컴퓨터 시스템이 중단되어 회사에서 수익을 실현하지 못할 경우, 사이버 보험에서 그 손실의 일부나 전체를 보장합니다.

위협 대응 및 해결

사이버 보험에서 사고 대응, 시스템 수리, 진상 조사 등 사이버 보안 사고가 일어난 후에 필요한 각종 서비스에 대해 비용을 지불합니다.

법적 비용

고객이 소송을 제기할 때처럼 사이버 공격으로 인한 법적 절차에 드는 비용을 보상해주는 사이버 보험도 있습니다. 보험에 가입한 회사를 위해 법적 대리인을 제공하는 보험사도 있습니다.

데이터 유출 복구

해커가 개인 식별 정보(PII), 또는 기타 민감한 성격의 정보(예: 신용카드 번호, 주민등록번호)를 훔쳐내는 경우에 고객에게 그 사실을 알리고 신용 감시와 같은 서비스를 제공하는 데 드는 비용을 사이버 보험에서 보상하기도 합니다.

규제 조치

특히 헬스케어, 금융 서비스 등과 같이 강력한 규제를 받는 분야에서는 사이버 공격 때문에 규제 기관의 조사를 받기도 합니다. 해당 기업이 내야 할 과징금을 포함하여 이러한 감사 절차에 드는 비용도 사이버 보험으로 보장받을 수 있습니다.

브랜드 이미지 관리

공격을 받은 후 실추된 브랜드 이미지를 회복하기 위해 PR 회사를 고용하는 등 여러 조치가 필요할 수 있습니다. 여기에 드는 비용을 보상해주는 사이버 보험도 있습니다.

몸값 지불

랜섬웨어 때문에 지불된 몸값을 보장하는 사이버 보험이 많지만, 막대한 몸값 금액 때문에 이 보장을 중단하거나 제한하는 보험사도 있습니다.

일반적인 사이버 보험 면책 사항

사이버 보험에서 다양한 손해에 대해 보장 혜택을 주더라도, 일부 사고에 대해서는 보험금을 지불하지 않을 수도 있습니다. 이를 "면책 사항"이라고 합니다. 대표적인 예를 들면 다음과 같습니다.

제3자의 보안 침해

공급업체나 기타 파트너로 인해 데이터가 유출되거나 서비스가 중단될 수 있습니다. 사이버 보험에서 이러한 손실을 항상 보상해주지는 않습니다. 그러나 추가 요금을 내면 제3자 보안 침해에 대해 보장을 제공하는 보험사도 있습니다.

사회공학

사회공학 수법의 공격, 이를테면 피싱은 사람들을 속여 내부에 침투한 다음에 사이버 보안을 무력화시키기 때문에 사이버 보험에서 이러한 손실을 보장하지 않을 때도 있습니다. 하지만 추가 요금을 내면 사회공학 공격에 대해서도 보장받을 수 있는 경우가 많습니다.

내부자 위협

직원의 악의적 의도나 태만과 같은 내부자 위협 때문에 발생하는 손실은 거의 보장되지 않습니다.

정부의 지원을 받는 공격

많은 사이버 보험에서는 이러한 공격을 전쟁 행위로 간주하고 그에 대해 보장하지 않습니다.

알려진 취약점을 악용한 사이버 공격

해당 기업이 알고도 해결하지 않은 결함을 해커가 이용하는 경우, 사이버 보험은 그로 인한 손실을 보상하지 않을 수 있습니다.

사이버 공격이 원인이 아닌 네트워크 장애

보험 대부분은 잘못된 구성이나 기타 내부 오류에서 비롯된 장애에 대해 보장하지 않습니다.

사이버 보험의 현주소

사이버 보험에 대한 수요는 높지만 비용도 증가하여 중소기업이 보장 범위를 찾기가 어렵습니다. Marsh McLennan(ibm.com 외부 링크)에 따르면, 사이버 보험료가 2022년 1분기에 110% 상승했다고 보고했습니다. 

그러나 451 Research(ibm.com 외부 링크)는 사이버 보험이 랜섬웨어 공격 증가의 원인이 될 수 있다고 지적합니다. 점점 더 많은 기업이 사이버 보험에 가입함에 따라 보험으로 보장받기 때문에 몸값 지불에 대한 부담을 덜 느끼게 됩니다. 한편 해커는 더 거리낌없이 몸값을 요구합니다. 새로운 종류의 랜섬웨어인 HardBit(ibm.com 외부 링크)는 심지어 피해자에게 사이버 보험 정보를 요구하여 해당 보험으로 보장 가능한 선에서 몸값을 계산할 수 있도록 합니다. 

게다가 사이버 보험이 비교적 새로운 유형의 보험 상품이라는 사실이 가격 변동을 부채질합니다. 보험사는 과거의 사이버 공격 비용에 관한 데이터가 많지 않아 정확한 위험 모델을 개발하여 안정적인 가격을 책정하기가 어렵습니다.

보험사는 손실이 늘어나면 보험료를 인상하고 보장 범위를 축소하는 식으로 대처합니다. 보험사인 AXA는 프랑스에서 가입한 보험에 대해서는 몸값 지불에 대한 보장을 중단했습니다(ibm.com 외부 링크). Lloyd’s of London(ibm.com 외부 링크)은 심각한 손해를 입히는 공격 유형 중 하나인 정부가 후원하는 사이버 공격에 대해서는 이제 보장을 제공하지 않습니다. 

그리고 보험사는 보험에 가입한 기업에 더 엄격한 네트워크 보안 요구사항을 적용하고 있습니다. 심지어 다단계 인증, 데이터 암호화, 제로 트러스트 또는 이와 유사한 정책을 마련하지 않은 기업에는 보험 견적도 제공하지 않습니다. 일부 보험사는 컨설팅에 가까운 서비스를 제공합니다. 즉, 보험 가입자와 기업 오너가 보안 태세를 강화하는 데 도움이 될 보안 툴 및 서비스 제공업체를 이용할 수 있게 합니다. 사이버 보험사가 NIST 사이버 보안 프레임워크와 같은 표준을 시행하는 데 핵심적인 역할을 할 것으로 예측하는 전문가도 있습니다. 이러한 표준을 따르는 기업은 보험사 입장에서도 비용 부담이 더 적기 때문입니다.

 

관련 솔루션
데이터 보안 솔루션

여러 엔터프라이즈 환경의 데이터를 보호하고, 개인정보 보호 규정을 준수하며, 운영상의 복잡성을 간소화합니다.

데이터 보안 솔루션 살펴보기

사이버 보안 솔루션

IBM® Security는 불확실성에 대처하도록 지원하는 엔터프라이즈 사이버 보안 솔루션을 제공합니다.

사이버 보안 솔루션 살펴보기

네트워크 보안 솔루션

IBM QRadar와 함께 지능형 위협 및 악성 코드로부터 네트워크 인프라를 보호합니다.

네트워크 보안 솔루션 살펴보기
리소스 2022년 데이터 유출 비용은 얼마나 될까요?

Ponemon Institute의 연구를 토대로 한 이 '데이터 유출 비용' 연례 보고서는 실제로 발생한 보안 침해 550건으로부터 얻은 인사이트를 제공합니다.

사이버 레질리언스란?

사이버 레질리언스는 기업에서 사이버 보안 사고를 예방하고 견디고 그로부터 복구하는 역량을 의미합니다.

데이터 보안이란?

데이터 보안은 디지털 정보의 라이프사이클 전반에서 무단 액세스, 손상, 유출의 위험으로부터 이 정보를 보호하는 활동입니다.

다음 단계

IBM 데이터 보안 및 보호 솔루션을 활용하여 가시성 및 인사이트를 강화함으로써 각종 사이버 위협을 효과적으로 조사 및 해결하고, 실시간 관리 감독을 시행하고, 규제 준수를 관리하는 방법을 알아보세요.

IBM 데이터 보안 솔루션 자세히 보기