사이버 보험이란?

사이버 보험은 사이버 배상책임 보험이라고도 하며, 기업이 온라인 사업을 수행하는 것과 관련된 위험을 경감시키기 위해 가입할 수 있는 계약을 지칭합니다. 사이버 보험을 통해 기업은 사이버 보안 사고로 발생하는 대부분의 데이터 유출에 대한 배상책임을 보장받을 수 있습니다.

사이버 보험

사이버 범죄의 수가 끊임없이 증가하고 있습니다. 다시 말해 데이터 유출, 랜섬웨어 및 기타 사이버 보안 사고 위험에 노출되는 기업이 점점 더 많아지고 있습니다. 사이버 보안 플랫폼에 구축되어 있는 다양한 도구와 솔루션으로 기업을 보호하고 사이버 위반 사고가 발생하기 전에 차단할 수 있지만, 사이버 범죄로 도난당한 민감한 정보에 대한 책임은 여전히 조직이 떠안아야 할 수 있습니다.

사이버 보험에 가입하면 사이버 보안 공격으로 인한 손해에 대한 기업의 지급 책임이 최소화되기 때문에, 재난이 발생했을 경우 재정적 책임을 완화할 수 있습니다. 온라인 사업에 수반되는 켜져 가는 사이버 위험을 완화해 주는 옵션이라고 생각하시면 됩니다.

사이버 보험의 보장 내용

전자 데이터의 손실, 침해, 도난은 사업에 악영향을 미칠 수 있습니다. 여기에는 기업 신뢰도 하락으로 인한 고객의 불신이나 그러한 공격으로부터 회복하는 데 따른 잠재적 재정적 비용이 포함될 수 있습니다. 사이버 보험에 가입하면 이러한 재정적 위험을 줄일 수 있고 기업이 모든 비용을 부담하지 않아도 됩니다.

사이버 보험에 가입하면 다음과 같은 비용을 상쇄할 수 있습니다.

  • 법무 관련 수수료
  • 피해를 입은 고객의 개인 신원 복원 비용
  • 침해된 데이터 복구 비용(랜섬웨어 관련 사례 등)
  • 침해된 컴퓨터 시스템의 손상을 복구하는 데 소요되는 전체 비용
  • 고객에게 데이터 유출 가능성을 공지하는 데 소요되는 재정적 비용

인터넷으로 거래를 하는 사람들이 많아지면서 악의적인 공격자가 수집할 수 있는 데이터도 늘어나고 있습니다. 사이버 보험에 투자하는 것은 유출 사고 발생 시 기업에 발생하는 전반적인 위험을 줄이는 현명하고 효과적인 방법이 될 수 있습니다.

사이버 보험이 필요한 곳

온라인으로 전자 데이터를 생성, 보관, 관리하는 모든 기업은 사이버 보험의 혜택을 누릴 수 있습니다. 연락처, 판매 기록, 개인 식별 정보, 신용카드 번호와 같은 민감한 고객 데이터는 모두 디지털 시대 사이버 범죄자들의 주요 표적입니다. 전자 상거래 기업 역시 사이버 보험의 혜택을 누릴 수 있습니다. 랜섬웨어나 기타 사이버 공격으로 인한 다운타임이 회사의 재정에 악영향을 미칠 수 있기 때문입니다.

사이버 보험에서 보장하지 않는 사항

사이버 보험이 제공하는 보장은 필요한 보험의 유형과 어떤 기업과 협업하느냐에 따라 달라집니다. 기본적으로 사이버 보험은 다음에 해당하는 경우는 보장하지 않습니다.

  • 보험에 가입하지 전에 발생한 기존 유출 또는 사이버 이벤트
  • 회사의 기술 시스템 개선을 위한 전체 비용(보안 시스템의 새로운 적용 및 강화 비용 포함)
  • 직원 또는 내부자에 의해 시작 및 발생한 사이버 이벤트
  • 회사가 알려진 취약점을 해결하지 못한 경우. 취약점이 발견되었지만 회사가 문제를 시정하지 않은 경우, 사이버 보험은 그로 인한 유출로 발생하는 손해를 보장하지 않을 수 있음
  • 의도적인 사이버 이벤트/공격 이외의 외부 요인으로 인한 인프라 장애

증가하는 위험

오늘날 회사가 사이버 보험에 가입하는 것이 과거보다 더 어려워졌습니다. 온라인에서 더 많은 데이터를 더 쉽게 구할 수 있게 되면서, 보험사들은 책임을 회피하며 회사들에게 더 관례적인 보험에 대해 비싼 보험료를 지불하도록 압박하고 있습니다. 많은 기업들이 사이버 보안 플랫폼 내에 엔드포인트 탐지 및 대응(EDR)과 같은 특정 시스템을 이용할 것을 요구하고 있습니다.

보험사는 다양한 요인을 고려하여 많은 보험료를 지불하지 않아도 되는 확실한 보험을 제공하지 않을 수도 있습니다. 하지만, 보험료를 낮추기 위해 취할 수 있는 조치가 몇 가지 있습니다.

잠재적 보험사가 요구하는 모든 요건을 반드시 충족하십시오. 앞서 말했듯이 대부분의 경우 사이버 보안 플랫폼에 특정 기능을 추가해야 한다는 요구를 받게 됩니다.

보험사는 사이버 보험의 보험료를 산정할 때 다음과 같은 다양한 요인을 고려합니다.

  • 회사 업력 및 고객 파일
  • 고객 인구 통계
  • 보험 기간(대부분의 보험과 동일)
  • 잠재적 노출 위험
  • 회사의 전반적인 사이버 보안 위험 상황
     

사이버 보험을 물색할 때 이러한 자료를 고려하는 것이 중요합니다.

회사의 사이버 위생에 대한 경각심 갖기

회사의 사이버 보험료를 낮출 수 있는 한 가지 방법은 사이버 위생 루틴을 빈틈없이 유지하는 것입니다. 선제적 예방을 하면 사이버 공격 위험을 줄일 수 있고, 보험사들이 더 낮은 보험료로 더 나은 보험을 제공할 것입니다. 그래야 귀사에 유리하기 때문에, 귀사의 요구 사항에 맞는 사이버 보험을 찾을 때는 이를 우선순위에 두어야 합니다.

귀사의 자산에 대해 잘 알고 있어야 합니다. 이벤트 및 사고 로그를 감사할 방법이 있어야 합니다. 권한 여부와 상관없이 귀사의 자산에 접근할 수 있는 장치나 소프트웨어가 있는지 파악할 수도 있습니다. 이를 통해 귀사 자산에 대한 무단 접근이 없음을 확인할 수 있습니다.

모든 관리 및 접근 권한을 구성하고 모니터링할 수도 있습니다. 권한이 없는 직원이나 외부자가 중요한 정보에 접근할 수 없도록 권한 규칙을 설정하고 준수하십시오. 또한 하드웨어와 소프트웨어 구성을 신중하게 관리해야 합니다. 네트워크 프로토콜, 포트, 장치 사용을 모니터링하는 것이 더 나은 사이버 위생을 실천하는 좋은 방법입니다. 무단 트래픽을 정확하게 파악하여 데이터가 유출되기 전에 차단하십시오. 사이버 위험을 완화하기 위해 모든 방화벽과 라우터에 대한 보안 프로토콜을 구성하여 시행할 수도 있습니다.

문제나 취약점이 발견될 때마다 즉각적으로 패치하십시오. 위험 기반 패치 관리 전략을 활용하여 심각한 취약점을 우선 처리하십시오. 모든 소프트웨어와 애플리케이션을 최신 버전으로 업데이트하여 잠재적 악용을 예방하십시오.

데이터 복구 및 보호 역시 사이버 위생 루틴에 반드시 포함해야 합니다. 적절히 백업하고 데이터 보호를 강화하십시오. 다단계 인증은 데이터를 보호하고 중요한 자산에 대한 접근을 제한하는 좋은 방법이 될 수 있습니다.

악성 이메일이나 기타 통신 시스템을 원활하게 검사 및 차단하려면 샌드박스 분석 프로토콜을 시행하십시오. 모든 계층에서 최신 버전의 보안 솔루션을 사용하여 악용 및 오래된 취약점을 방지하십시오. 사이버 보안 플랫폼을 사용하여 공격 및 침입의 초기 징후를 발견하고, 이러한 공격이 데이터와 자산을 침해하기 전에 교정하십시오. 최신 머신 러닝 및 인공 지능 시스템을 이용하여 모니터링 역량을 키우십시오. 그러면 사이버 범죄자가 취약점을 악용하기 전에 보안 전문가가 취약점을 발견할 가능성이 높아지기 때문에 최대한 빨리 패치할 수 있습니다.

마지막으로, 시스템 및 보안 전문가가 항상 최신 사이버 위험 및 현재의 글로벌 이벤트에 대해 인지하고 있도록 교육하고 테스트하십시오. 보안팀이 회사가 취약할 수도 있는 사이버 보안 이벤트를 처리할 수 있도록 대비시키십시오. 대응 시간을 늘리고 실제 공격에 대비할 수 있도록 보안팀을 훈련시키기 위한 테스트 시나리오를 시행하십시오.

이 모든 사항을 고려하면 사이버 보험료를 줄이면서 회사에 발생할 수 있는 전반적인 위험도 완화할 수 있습니다.

사이버 보험은 사이버 방어를 효과적으로 대체할 수 있습니까?

아니요. 사이버 보험이 효과적인 사이버 위험 관리 정책의 필요성을 대체할 수는 없습니다. 기업이 사이버 보험에 가입하는 것은 권장하지만, 필수가 아닌 선택 사항으로만 고려해야 합니다.

오히려 사이버 보험은 보안 점검을 보완하는 역할을 해야 하고, 이미 시행 중인 회사의 위험 관리 계획과 균형을 이루어야 합니다.

사이버 보험은 사이버 방어 계획의 완전한 대체제 또는 대안이 아니라 신규 또는 기존의 사이버 방어 계획을 강화하기 위한 효과적인 전략으로 생각해야 합니다.