미국, 정부와 보험사 정보공유… 사이버리스크 정량화
한국도 사이버범죄 정보 공유하고, 맞춤 상품 개발해야
[한국공제보험신문=만소영 기자] 사이버보험이 글로벌 기업의 최대 리스크 중 하나로 떠오르고 있다. 랜섬웨어나 해킹 등으로 기업 내부 시스템에 침투하여 데이터를 빼내고, 이를 빌미로 돈을 뜯어내는 범죄가 기승을 부리는 것이다. 그러나 국내 사이버보험 시장은 아직까지 걸음마 수준이다. 진화하는 사이버범죄 리스크에 대처하려면, 정부와 보험사가 사이버사고 정보를 공유하는 제도 도입이 시급하다는 지적이 나온다.
랜섬웨어, 해킹 등 사이버범죄 심각
요즘 글로벌 기업들이 가장 촉각을 곤두세우는 리스크 중 하나는 사이버 공격이다. 랜섬웨어를 사용자 동의 없이 시스템에 설치하여 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡거나, 사이버공격을 통해 데이터나 문서파일을 훔친 후 금전(비트코인등 가상화폐)을 요구하는 사건들이 전세계적으로 꾸준히 증가하고 있다.
최근 인슈어런스 저널 보도에 따르면, 미국 시애틀 타코마 공항공단은 지난 8월 사이버공격을 받아 탈취당한 문서를 돌려받는 대가로 미화 600만 달러를 비트코인 100개로 지급할 것을 요구받았다.
또한, 최근 사이버 범죄 조직 ‘헌터스 인터내셔널’은 중국공상은행(ICBC) 런던 지점을 해킹해 파일 520만개, 6.6테라바이트의 데이터를 탈취했다.
이처럼 세계적으로 사이버범죄가 기승을 부리고 있으며, 이에 대응하기 위한 사이버보험도 빠른 속도로 성장하고 있다.
글로벌 재보험사 스위스리는 전 세계 사이버보험의 수입보험료가 지난 2020년 70억 달러에서 2022년 130억 달러로 2년 만에 2배 가까이 증가했고, 2025년에는 약 230억 달러에 이를 것으로 전망했다.
미국보험감독자협의회(NAIC)에 따르면 미국 보험시장의 사이버보험 수입 보험료가 지난 2021년 65억 달러까지 늘어났으며, 2015년 이후 매년 30%씩 성장하고 있다.
국내 사이버보험은 아직
국내에서도 사이버범죄에 대응하기 위한 보험상품이 속속 생겨나고 있다. 삼성화재는 2023년 3월 사이버 금융범죄 피해를 보장하고, 인터넷 직거래·쇼핑몰 사기 피해를 보상하며, 온라인 활동 중 생기는 배상 책임이나 법률 비용을 보장하는 사이버사고 보상 보험을 출시했다.
메리츠화재는 2020년에 랜섬웨어로 인한 협박 손해 및 데이터 복구 비용 등을 보장하는 사이버종합보험을 출시했다.
기업을 대상으로 한 사이버보험은 랜섬웨어나 데이터 탈취로 인하여 발생한 영업중단 손실, 시스템 복구비용, 사태수습 비용, 고객들에 대한 손해배상 비용 뿐만 아니라 범인들로부터 요구받은 랜섬(불법갈취요구액) 비용을 커버하고 나아가 포렌식 비용과 기술적 컨설팅 비용까지 커버할 수 있도록 설계되어 있다.
그러나 국내 사이버보험 시장은 아직까지 걸음마 단계라는 평가가 나온다. 본격적으로 시장이 성장하려면, 우리나라 기업과 개인의 사이버 리스크 수요를 충족하는 정교한 상품개발이 필요해 보인다.
특히 일각에서는 사이버범죄 대응을 위해 정부와 보험사가 긴밀하게 협조해야 한다는 주장이 나온다.
보험연구원 최창희 연구위원은 ‘한미 사이버사고 정보 공유 환경비교 및 시사점’이란 제목의 이슈리포트를 통해 “보험회사들이 정부와 사이버사고 정보를 공유하고 활용할 수 있어야 한다”고 말했다.
우리나라에서 사이버보험이 제대로 정착하고 그 역할을 수행하려면 사이버 리스크를 정량화하는 것이 중요한데, 이를 위해 다양한 사이버 사고 정보가 필요하다는 것이다.
특히, 표준 리스크관리 절차(리스크 식별 → 평가 → 대응)에 따라 사이버 리스크관리를 하기 위해 사이버 사고 정보의 집적·공유가 필수적이다
실제로 미국에서는 2015년부터 사이버 정보 공유법(CISA법, Cybersecurity Information Sharing Act)을 제정하고 사이버 사고 관련 정보를 보험회사와 공유하고 있다. 최근에는 중요 기반시설의 사이버 사고 보고법(CIRCIA법, Cyber Incident Reporting for Critical Infrastructure Act)을 제정하여 주요 인프라에 대한 사이버 사고 보고를 의무화하고 연방정부의 사이버 사고 정보 수집 권한을 더욱 강화했다.
또한 미국 기업들은 정보공유 및 분석센터(Information Sharing and Analysis Centers; ISAC)를 설립하고 보험회사들은 금융서비스 부문 정보공유 및 분석센터(Financial Services ISAC; FS-ISAC)를 설립하여 미국 정부로부터 사이버 사고 관련 정보를 공유받아 이를 활용하고 있다.
우리나라도 국가정보원이 정부 및 공공기관의 사이버보안 업무를 총괄하는 ‘국가 사이버안전센터’(National Cyber Security Center; NCSC)를 운영하고, 한국인터넷진흥원은 정보통신망법 제48조 2항에 따라 사이버 침해사고 정보를 수집·공유하는 사이버위협 정보 분석·공유 시스템(Cyber Threat Analysis and Sharing System; C-TAS)을 운영하고 있다.
또한, 정보통신, 금융, 행정 등의 정보통신 기반 시설에서 사이버 리스크 관리를 위한 정보공유·분석센터(ISAC)를 운영 중이다.
그러나 우리나라의 사이버 사고 정보 공유 체계와 관련하여 일원화된 정보 수집·공유 체계의 부재, 참여자에 대한 개인정보보호 관련 법적 책임 감경 조항 부재, 낮은 활용율 등이 문제점으로 제기된다.
보험업계 전문가는 “국내 사이버보험의 성장을 위해서는 기업과 개인에 대한 맞춤형 상품 개발과 함께 미국의 사이버사고 정보 공유 시스템을 벤치마킹하는 등 제도 개선이 필요하다”고 말했다.