5화. 보험업 비즈니스 전환 4) 이머징 리스크 대응

○ 보험사는 자신을 향한 사이버 공격에 취약할 뿐만 아니라 사이버보험 상품과 관련된 청구로 발생하는 손실에도 취약하므로 사이버 리스크에 대응해야 할 필요

○ 가장 빈번하게 발생하는 범죄 유형은 △사이버 갈취(cyber extortion) △비즈니스 이메일 침해(business email compromise) △데이터 유출(data breach)

• (사이버 갈취) 시스템에 침투하여 정상화를 해주는 대가로 돈을 요구하는 협박 범죄로, 대표적인 예는 시스템을 바이러스에 감염시키고 돈을 지불할 때까지 데이터를 암호화하는 ‘랜섬웨어(ransomware)’
  - 랜섬웨어의 주요 공격 방식은 원격 데스크톱 침투, 이메일 피싱, 소프트웨어 취약점 공격 등
  - 통계상 보험에 가입된 손실액은 평균 약 50만 달러이지만 실제 1억 달러 이상 손실이 발생할 수 있는데, 이는 피해자의 40~45%는 신고하지 않고 돈을 지불하기 때문으로 추정됨
• (비즈니스 이메일 침해) 낚시성 정보, 허위 급여 정보, 기프트 카드 등을 기업 직원에게 보내 클릭을 유도한 후 금융 정보를 얻거나 불법 자금 송금 등에 활용
  - 미국연방수사국(FBI)에 보고된 사건 중 가장 빈번하게 발생하는 수법이며, 범죄 실행을 지원하는 플랫폼을 제공하는 형태의 ‘서비스형 사이버 범죄(CaaS, Cybercrime as a Service)’도 증가
• (데이터 유출) 기밀 데이터가 무단으로 복사·전송·열람·도난·변경되거나 사용되는 보안 위반

○ 사이버 공격이 증가하면서 사이버보험 시장도 성장세를 지속

• 여러 업계에서 랜섬웨어 공격이 증가하는 가운데 2021년에는 약 5천만 명의 개인 건강 정보가 유출되는 등 사이버 위험 불확실성이 높아지면서 사이버보험에 부과되는 보험료도 증가
• 사이버보험은 1995년 최초로 상품이 출시된 이후 2012년까지 미국 전체 원수 보험료가 10억달러 미만의 작은 시장이었으나, 2021년 기준 약 48억 달러(약 6.2조 원) 규모로 성장하면서 연간 두 자릿수 성장률을 기록
• 사이버보험은 사이버 공격으로 인한 비즈니스 중단, 그로 인해 발생한 법적 비용, 데이터 유출복구 비용, 브랜드 회복 비용, 랜섬웨어로 인한 몸값 지불 등을 보장

○ 그러나 손해율이 높아지면서 보험사는 손해율 감소 및 위험 평가 강화 문제에 직면

• 업계 손해율은 2017년 30%대에서 2020년 60%대로 2배 증가
  - 주요 보험사의 손해율은 시장 점유율 1위인 처브(Chubb)가 76.9%, 2위 페어팩스(Fairfax)가 51.9%, 3위 악사(AXA)가 86.5%를 기록
  - 사이버보험은 과거 사이버 공격으로 발생한 비용 데이터가 많지 않아 정확한 위험 모델 개발 및 가격 산출이 어려움
• 보험사는 △보험료 인상 △보장 범위 축소 △보험 인수 심사 강화(기업의 사이버 보안 통제 시스템을 철저히 검토) △피보험자 대상 사고 예방 및 피해 규모 감소 노력 등을 추진
  - 악사는 2021년 랜섬웨어 피해에 대한 보장을 중단. 사이버보험에 가입하는 기업이 늘어나면서 피해 기업에 보험 보장 금액 한도 내에서 몸값을 요구하는 경우도 발생
  - 이러한 노력에 힘입어 2021년 지속적으로 증가하던 손해율이 소폭 하락
• 원수 보험사의 사이버 위험을 인수하는 재보험사도 최근 사이버 공격 급증으로 사이버 위험 인수에 신중하게 접근하는 추세

○ 제구로는 중소기업을 대상으로 사이버 보안 솔루션 플랫폼인 ‘제구로 사이버 세이프티(Zeguro Cyber Safety)’를 판매하고 제휴 업체를 대상으로 사이버보험을 판매

• 기업 특성에 부합하는 위험을 정의하고 정책 및 교육을 포함하는 통합 플랫폼을 제공함으로써 사이버 피해 예방에 기여

○ (1. 보안 교육) 기업의 사이버 보안 기술을 평가하고 직원의 강약점에 따라 맞춤형 교육 실시

• 사용자 맞춤형 보안 교육을 통해 기업의 가장 취약한 부분을 우선적으로 해결하고 직원의 사이버 리스크에 대한 인식을 개선
  - 종종 직원의 태만이나 지식 부족이 보안 사고나 데이터 유출로 이어지기 때문에 인적 위험 요소를 제거하는 것이 가장 중요
  - 맞춤형 직원 교육 모듈은 전 직원에 대한 평가를 제공하며 실제 규정을 준수하는 방법까지 교육에 포함
  - △보안 우선 업무 문화 조성 △가장 큰 사이버 위험 영역 식별 △피싱 및 스캠 방지 △규정준수 요구사항 충족 △고객 데이터 보호 등을 목표로 함

○ (2. 모니터링) 웹 및 앱 모니터링은 보안 취약성을 사전에 발견하고 신속한 해결을 지원

• ‘웹사이트 취약성 스캐너’는 웹사이트 또는 웹 애플리케이션의 보안 취약성을 발견하기 위한 목적으로 설계된 자동화된 소프트웨어
• 새로운 취약점을 발견할 수 있는 신규 기능을 정기적으로 추가. 이는 해커가 취약점을 이용하기 전에 정기적으로 검사를 지속하는 것이 중요하기 때문

○ (3. 보안 정책) 회사 데이터, 자산, 시스템, 기타 IT 자원에 접근하는 사람들이 준수해야 하는 규칙 및 지침을 담은 문서를 최신 정보를 반영하여 수정

• 주요 목적은 회사의 사이버 보안 프로그램이 효과적으로 작동하는지 확인하는 것
• 기업이 수시로 개정되는 정부 보안 규정 및 정책을 확인하고 손쉽게 적용할 수 있도록 지원

○ (4. 사이버보험 판매) 제휴 보험사의 사이버보험 상품을 할인가로 판매

• 파트너 마켓플레이스에서 네이션와이드보험, 신시내티파이낸셜, 솜포 등 10여 개 보험사 상품을 제공