오는 11월 미국이 주도하는 "사이버 연합훈련"에 15개국 이상이 참가할  것이라는 언론보도가 잇따르는 가운데, 최근 빈번해 지고 있는 사이버 공격으로 어려움을 겪는 일반 기업이나 단체가 증가하고 있는 것으로 나타났다.
사이버 공격이란 인터넷 망을 이용하여 상대 국가,기업,개인의 컴퓨터에 침입하여 피해를 입히고자 하는 모든 행위를 말한다.
그런데 이러한 사이버 공격에 대비하여 피해 단계별로 보상을 받을 수 있는 "보험"상품이 있다. 도쿄해상일동 화재보험(이하 도쿄해상일동)이 2015년부터 판매하고 있는 "사이버 리스크 보험"이 그 하나이다. 도쿄해상일동 화재보험의 “사이버 리스크 보험”은 사이버 공격에 대한 초동 대응부터 재발 방지책까지 각각의 단계별로 보험금을 지급하고 있다.

“사이버 리스크 보험”에 대해, 닛켕 테크 기업 상품업무부 책임보험 그룹의 미야데라 츠바사 대리와 기업 상품업무부 과장(상품개발 담당)겸 도쿄해상 일동 리스크 컨설팅 사이버 시큐리티 랩 수석 컨설턴트인 교가쿠 다이스케씨에게 관련된 이야기를 들어 본다.
 

-사이버 리스크 보험의 판매량은 어떠한가.

(교가쿠) 사이버 리스크 보험의 발매는 2015년 2월이다. 당초에는 고객사에서 그 필요성을 좀처럼 인정해주지 않았다. 보안 리스크는 피해액 등의 구체적인 데이터가 겉으로 나오기 어렵고, 다양한 리스크 인자가 서로 복합적으로 영향을 주어 표출되는 것을 설명하는 것은 쉬운 일이 아니기 때문이다.

사이버 리스크에 대한 무관심으로 인해 어려움이 많았다.

그래서 보험금 지급과 관련한 고객과의 상담 결과를 바탕으로 2015년 10월 보험금을 사이버 리스크 초기 대응 단계부터 계산할 수 있도록 상품 내용을 고쳤다. 동시에 계약 기업에 대해서는, 사이버 리스크 최신 정보를 전달하는 메일 매거진을 제공하거나 임직원에 대한 사이버 리스크 교육을 지원하는 서비스를 실시했다.

그때부터 계약 건수가 배로 늘어나기 시작했다. 현재 계약 건수는 수 천건에 이르고 있다. 사이버 리스크 보험과 별도로 중견·중소 기업 "초 비즈니스 보험"속에 "사이버 정보 유출 사고 보상"이라는 메뉴도 마련돼 있다. 그것까지 합친 계약 건수는 1만 건에 육박한다.
 

-2015년 10월 개편은 구체적으로 어떠한 것인가.

(교가쿠) 예를 들어 자동차 사고라면 "사고가 났다"는 것이 명백하다. 경찰로부터 사고 증명이 나와 피해액이 확정되면 보험금이 지급된다.

그러나, 해킹 등으로 인한 보안 피해는 최종적인 피해액은 물론, 무슨 일이 일어나고 있는지조차 최초에는 잘 모르는 경우가 있다. "뭔가 이상하다"고 생각을 해도, 보험의 발동 요건이 되는 해킹의 존재를 초기 단계에서 기업 자체가 증명하는 것은 쉽지 않다.

이런 경우에 대비하여 '사이버 리스크 보험'에서는 사고의 전모를 모르는 초기단계에서, IT벤더 등 외부에 조사를 의뢰하기 위한 초동 대처 비용을 지불하기로 했다. 지불조건은 경찰이나 정보처리 추진기구(IPA), JPCERT/CC와 같은 공적기관 또는 SOC(Security Operation Center) 등으로부터 ”해킹의 우려가 있다” ”비상 대기 나와 있다”라는 통보가 있으면 된다.

초동 대응 단계에서 정밀 조사한 결과, 해킹의 존재가 확정되면, 그 이후는 시계열에 따라서, 각각의 단계에 보험금이 지급된다. 예를 들면, 원인·피해를 깊게 파거나 하는 조사나 데이터 복구 비용, 콜 센터의 설치 비용, 고객에게 위로금 지급이나 거래처 배상금, 재발 방지 대책의 작성과 실시 비용 등이다.

(미야데라) 영업면에서 효과가 있었던 것은 미국 사이언스(Cyence)와 제휴하고 2017년 10월부터 보험 부대 서비스로서 사이버 리스크 분석 리포트 "벤치 마크 리포트 서비스"를 제공하게 된 것이다.

이것은, Web사이트 등의 취약성의 조사 결과, 어둠 사이트(Dark Web)에서의 정보 유출의 상황, 경합하는 타사와의 보안 강도 비교 등을 보고하는 리포트로 취약성은 인터넷과 기업의 Web사이트와의 사이에 교환되는 트래픽을 객관적으로 관찰해서 평가한다.

손해보험 회사는 기업의 총무나 경리 부문을 대상으로 영업 활동하는 경우가 많은데, 총무·경리 스태프에게 사이버 리스크에 대해 설명을 해도 좀처럼 받아 들여지지 않는 경우가 왕왕 있었다. 이때 IT 부문의 스태프를 동석시켜, 사이버 리스크 벤치마크 리포트를 함께 소개함으로써, 사이버 리스크 보험의 필요성을 설명하기 쉬워졌다.

(교가쿠) 아무리 만전의 사이버 보안 대책을 세워도 리스크를 제로화 할 수 없다.

IT부문은 기술적으로는 뛰어나도, 사이버 보안 분야에 손해보험이 존재하는 것 자체를 모르는 사람이 많다. 리스크를 헷지(hedge)하는 수단으로서 사이버 리스크 보험이 있다는 것을 설명하면 상당한 흥미를 보이기도 한다. 최근에는 총무·경리가 아닌 IT부문이 사이버 리스크 보험의 계약 창구가 되는 경향이 늘어나고 있다.
 

-사이버 리스크 보험의 인수 조건은 어떻게 결정되는가.

(교가쿠) 인수조건을 검토할 때 기본이 되는 범용적인 상품 구성이 있다. 하지만, 기업 규모나 업종에 따라서 리스크가 달라지기 때문에 “회사의 상황에 맞지 않는다”, “이 부분의 보험금이 이렇게까지 필요하지 않다”는 등의 요구 사항이 생기는 경우가 많다. 그래서 인수 조건을 기업별 상황에 따라 ‘맞춤제작’으로 하고 있다.

일정한 보상액까지는 영업 부문이 인수 조건을 결정하고, 그 이상의 액수가 되면 본사의 스태프가 결정하는 구조이다. 본사 스태프가 인수조건을 결정하는 보상액의 라인은 중요한 노하우가 되므로 외부에 공개하지 않는다.

또한 중견·중소기업에서는, 어떤 사건이 일어났을 때, 시스템으로부터 PC의 분리 조치 등 “지혈”과 “원상복귀 비용만 보상”되면 된다고 하는 곳도 많다. 중견·중소기업 전용의 “초비즈니스 보험”의 "사이버 정보 누설 사고 보상"은, 심플한 상품 구성과 요금 체계로 구성하고 있다.
 

-사이버 보안 분야의 보험 시장은 향후도 성장해 갈 것인가

(교가쿠) 일본 국내 시장 규모는 현재 200억엔 정도로 추정되지만 계속해서 늘어나고 있다고 생각한다. 월드 와이드의 기업용 사이버 보안시스템 보험 시장의 80%정도를 차지하는 미국 시장은 현재에도 연 30%씩 신장하고 있다. 일본도 같은 흐름을 탈 것으로 본다.

성장 잠재력이 크다고 보는 이유 중 하나는 GDPR(EU 일반 데이터 보호 규칙)로 대표되는 ‘보안에 관한 법 규제’가 강화되고 있다는 것이다. 일본 기업도 그러한 법 규제에 대응하는 것이 필요하다. 사이버 보안 관련 사건이 증가함으로써, 보안 대책에 대한 의식도 점점 높아지고 있다. 보험업계도, 이러한 동향을 근거로 영업 활동에 힘을 쏟게 될 것으로 본다.
 

-사이버 리스크 보험을 필두로, 도쿄해상일동의 사이버 보안관련 상품의 보강 계획을 알려 주었으면 한다.

(교가쿠) 제가 겸임하는 도쿄해상일동 리스크 컨설팅의 사이버 시큐리티 랩은 2019년 4월부터 보안 위험을 파악·경감하기 위한 보안 솔루션을 제공하고 있다.

　이것은 사이버 리스크 보험을 판매하는 가운데, 고객의 요구에 응하기 위해서는 보험 이외의 솔루션도 준비할 필요가 있다고 생각했기 때문이다. 우리들 만으로는 커버할 수 없는 영역도 있으므로, NTT 커뮤니케이션과 파트너쉽 계약을 맺고 2019년 4월에 발표했다.

현재, 제공 중인 솔루션에는 미국 보안 스코어카드(Security Scorecard)의 "Security Scorecard"가 있다.
Security Scorecard는 기업의 도메인을 입력하면 그 보안 관련 정보를 자동적으로 수집한다. 10개 항목의 위험인자 각각에 대해 5단계로 평점을 부여하고, 리스크 개선책을 실시한 경우 그에 대한 영향까지 점검해 준다.

그 외에도 보안관련 사건에 대응 메뉴얼 작성, 위기 대응 훈련의 지원 등의 서비스도 준비하고 있다. 이것들은 단독으로도 이용할 수 있고, 사이버 리스크 보험과 조합할 수도 있다.

NTT 커뮤니케이션과의 협업에서는, 특별히 서플라이 체인의 보안 대책에 대해 만전을 기하고 있다. 이것은, 서플라이 체인(supply-chain) 참가 기업의 보안 레벨을 Security Scorecard로 평가·가시화해, 그 결과에 근거해 적절한 대책을 입안·실행하여 서플라이 체인 전체의 사이버 보안 레벨을 향상시키려는 것이다.

서플라이 체인의 개발·운용에 종사하는 담당자는 자사의 시스템 뿐만 아니라 그룹 회사, 나아가 특별한 관계가 없는 거래처 시스템의 보안 리스크까지 점검해 봐야 한다. Security Scorecard를 이용하면, 복수 기업의 시스템을 단시간에 효율적으로 평가할 수 있게 된다.

신규 거래처를 서플라이 체인에 포함시킬 때의 심사에도 이용할 수 있다. NTT 커뮤니케이션과의 협업에서는, AI(인공지능), IoT(Internet of Things), Connected Car 등의 새로운 비즈니스 분야를 포함해, 다양한 보안 솔루션을 원스톱으로 제공할 수 있게 메뉴를 충실하게 해 갈 예정이다.
 

- IoT나 Connected Car의 이야기가 나왔지만, 주택 설비나 자동차의 보안 리스크도 높아지고 있다. 사이버 리스크 보험에서는 IoT 디바이스에서의 해킹도 보상 대상이 되는가.

(교가쿠) 피보험자인 법인이 소유하는 자산이라는 점에서는 IoT 디바이스도 사이버 리스크 보험의 보상 대상이 된다. 단, 보상하는 것은 정보 누설이나 시스템을 사용할 수 없게 됨으로써 발생하는 경제적인 손해이며, 해킹에 의해서 사용자가 다치는 등의 물리적인 손해는 사이버 보험이 아닌 제조물책임에 근거하는 종래형의 보험이 커버하게 된다. 이 내용은 영구불변이 아니라, 상황 변화나 기술의 진보에 발 맞추어 앞으로 여러가지 형태로 변해 갈 것이다.