© imaginima / Getty Images

사이버 사고로 인한 기업휴지(CBI)

까다로운 사이버-보험의 담보 구성

경제적 관계의 세계화와 세계적인 생산 및 물류 네트워킹으로 인해, 기업들의 IT 서비스 의존도는 점점 더 높아지고 있습니다. 공급망 또는 아웃 소싱 기술 환경을 위협하는 사이버 사고가 발생하면, 글로벌 생산이 중단되므로 리스크 관리 및 리스크 평가에 대한 중요성 역시 높아지고 있습니다. 평판과 시장 점유율의 손실을 최소화 하기 위해, 생산 중단을 피하는 것이 각 기업에 최선이며, 이러한 위험의 증가를 보험에 전가해야 할 필요성이 계속 늘어나고 있습니다. 이러한 종류의 리스크 노출은 매우 복잡하고, 아주 드물게 리스크를 제대로 평가받고 적절하게 보험에 가입할 수 있었습니다. 따라서 보험 업계는 어떤 경우에 사이버 기업휴지에 대한 담보를 제공할 수 있는지를 분석해야 합니다.

서비스 제공업체나 공급업체로 인해 야기된 CBI에 대한 면밀한 고찰

사이버 기업휴지(“CBI”)-보험 손실은 피보험자가 의존하는 서비스 제공업체 또는 공급업체 컴퓨터의 손상으로 인해 발생할 수 있습니다.

정보 통신 서비스를 제공하는 중요한 기술 서비스 제공업체의 장애로 인한 사이버 CBI 손실을 설명하기 위해, 보험에 가입한 자동차 에어컨 컴프레서 제조업체를 예로 들어보겠습니다. 이 컴프레서 제조업체가 재고 정보를 저장하기 위해 외부에서 제공한 클라우드 플랫폼에 의존한다고 상상해 보세요. 그런데 이 클라우드 서비스 제공업체가 사이버 공격을 받아 일시적으로 서비스를 제공할 수 없다면, 이 컴프레서 제조업체에 어떤 영향을 미치게 될까요? 이는 보험에 가입한 압축기 제조업체의 생산 중단 뿐만 아니라 기업의 재정 및 평판 손실로 이어집니다.

식품제조업체를 두번째 예시로 들어 본다면, 양념을 공급하는 핵심 업체가 사이버 사고로 인해 식품첨가물을 공급할 수 없게 되는 경우 보험에 가입한 식품제조업체도 생산을 유지할 수 없게 됩니다. 이 시나리오는 이와 정반대의 관점에서도 볼 수 있습니다: 식품 제조업체가 사이버 공격을 받아 생산이 중단된다면, 보험에 가입한 양념 공급업체의 납품을 받을 수 없게 됩니다. 공급업체나 고객의 관점에서 볼 때, 이 두가지의 비 기술적인 사이버 CBI 시나리오에는 부품 또는 구성요소 또는 첨가물 등의 원료 공급망, 제조운영기술(예: 생산기계), 제조운영재료(예: 윤활제) 및 물류 또는 인프라 서비스 등 모든 것이 해당됩니다.

사이버 CBI의 손실가능성과 심각성은 제3자의 기업구조 및 비즈니스 모델에 따라 달라집니다. 그렇다면 이 보험계약들은 고객 서비스 수준을 충분히 고려한 현실적인 계약들로 이루어 질까요?  피보험자에게 가능할 경우, 상품이나 서비스 제공 능력을 유지하기 위한 정보 보안 수준 모니터링에 대한 약정이 있나요? 일반적으로 대기업들이 중소기업보다 더 나은 조직적, 기술적, 인적 리소스를 보유하고 있습니다. 따라서 대기업들의 경우 리스크를 인지하고 이해하는 동시에 보안 상태를 모니터링하며 계속 개선해 나가는 것이 중소기업보다 훨씬 수월합니다.

신중한 사이버 보험사라면 비즈니스 모델의 복잡한 네트워킹 수준을 이해하기 위한 리스크 평가 뿐만 아니라 수익성 있는 포트폴리오를 작성하기 위한 언더라이팅 측면도 고려해야 합니다. 아래의 두 가지 측면에 대해 자세히 살펴보세요.

1 확실한 리스크 선택의 기반으로서 사이버 CBI 리스크 평가

보험에 가입한 단일 회사의 사이버 기업휴지 리스크는 해당 IT 서비스 또는 물품 공급업체의 리스크 및 정보 보안 수준으로 특징지어집니다. 업계 특성상 다른 기업보다 더 높은 리스크 노출, 즉 위협을 받는 보험에 가입한 기업들이 있습니다. 예를 들어, 소매업체, 금융 기관 및 IT 서비스 제공업체 뿐만 아니라 관광, 요식 및 숙박업, 물류 및 운송 분야 기업 등은 IT 서비스 의존도가 평균 이상인 산업입니다. 또한 IT 하드웨어, 전자제품, 식품, 제약 제품 및 자동차 산업 등의 제조업체들은 물품 공급업체에 크게 의존하고 있습니다.

사이버 CBI 리스크 평가를 위한 관련 포인트는 제3자와의 계약 내 사이버 보안 통합, 그리고 서비스 관련 모든 변경사항을 포함한 정기적인 서비스 모니터링 및 점검 입니다. 또한, 가장 중요한 것은 정보 보안 사고를 인지했을 때 정보 보안의 취약성을 신고하는 등의 개방된 문화입니다. 더불어 공급망 관리에서 정보 보안의 연속성은 일회적으로 계획, 구현, 확인, 점검 및 평가되어서는 안됩니다. 정보보안의 수준을 유지하는 것은 오히려 사업 연속성과 재난 복원 관리의 프레임워크 안에서 사이버 CBI 리스크를 고려하는 영구적 프로세스입니다.

기업들은 리스크 평가 프로세스에 필요한 관련 정보에 대한 접근이 제한되거나 종종 접근 권한이 전혀 없을 경우 리스크를 식별하는 데 어려움을 겪습니다. 이러한 간극을 메우기 위해 Munich Re는 확실한 평가를 위한 필요 정보를 최적으로 파악할 수 있는 사이버 리스크 평가 추가 조항을 설문지에 포함하였습니다.

이론을 실행으로 옮기기 위해, 리스크 식별은 다른 기업 들과의 계약에 사이버 보안을 통합하는 것을 시작으로, 중요한 공급업체의 심각한 사이버 기업휴지 후 정보 보안 연속성의 구현 및 관리로 끝납니다. 그러나 피보험자의 고유한 CBI 리스크 추정, 변경 관리 및 과거 정보 보안 사고로 얻은 교훈과 같은 점들도 고려됩니다.

2 리스크에 대한 신중한 언더라이팅

기술적인 리스크에 대한 평가 뿐만 아니라, 복잡한 리스크 노출에 대한 사이버 CBI의 언더라이팅도 중요합니다. 보험회사의 경우, 공급망과 서비스망에 대한 포괄적 개요를 얻는 것이 매우 어려울 수 있으며, 종종 피보험자의 노력에 부분적으로 의존합니다. 전문적인 공급망 관리는 피보험자에게 담보를 보장하기 위한 기본 전제조건이어야 합니다.

사이버 보험의 경우, 기업휴지는 기본 보장으로 담보되어서는 안되며, 특정 조건 하에서만 포함되어야 합니다:

  • 리스크를 평가할 수 있도록 해당 공급업체의 리스크 상황이 투명해야 하는 것이 가장 중요합니다.
  • 피보험자의 직접적인 계약 파트너를 위한 기업휴지만 포함하고 2차, 3차 공급업체는 제외하는게 좋습니다. 그렇지 않은 경우 사이버 CBI 손실 빈도 증가의 누적으로 인해 더는 보험에 가입할 수 없게 됩니다.
  • 이러한 파트너들의 경우 사이버 사고의 CBI 담보는 보험증권에 언급된 대상을 위해서만 제공되어야 합니다. 기명으로 언급되지 않은 간접 공급업체들을 위한 담보는, 직접적인 공급업체와 서비스 제공업체의 부분한도(Sublimit)로만 제공되어야 합니다.
  • 사이버 보험은 재정 손실을 보장하는 보험이므로, 물리적인 리스크는 제외해야 합니다.

제품이나 서비스를 공급하는 핵심 업체가 자사의 시스템을 적절히 보호하지 못하거나, 악의적인 의도를 가진 직원을 두고 있거나, 혹은 공급업체의 관리자가 네트워크에 대한 외부의 접근을 제대로 보호하지 않아 이러한 보안의 취약점이 악용된다고 상상해 보세요. 언더라이터는 사이버 공격으로 인한 기업휴지 리스크를 평가할 때, 기업휴지의 담보 구성에 특히 주의를 기울여야 합니다.

이는 실제로 어떤걸 의미할까요? 보험에 가입한 회사의 1차 공급업체가 멀웨어로 인해 네트워크 보안 사고 (Security Breach) 를 당합니다. 이는 보장을 받을 수 있습니다. 그러나 공급업체의 시스템 중단을 보장하는 건 리스크를 극도로 증가시키는 거나 다름없습니다. 이 경우 손실 빈도가 크게 증가하므로, 신중함과 더불어 높은 수준의 경험이 필요합니다. 피보험자의 사이버 보험 증권은, 열악한 IT품질로 인한 것이라 할지라도 이러한 공급업체에서 발생한 모든 IT 관련 사고를 보상하기 위한 것이 아닙니다.

합리적인 부분한도 (sublimits)는 기업휴지 리스크를 제한합니다. 반대로 제한을 두지 않는 리스크는 누적 잠재력으로 인해 거의 예측할 수가 없습니다. 각각의 공급망에는 알려지지 않은 요인 및 관계자가 많이 있을 수 있습니다. 게다가, 보험회사의 사이버 포트폴리오에는 이러한 알려지지 않은 많은 공급망들이 포함되어 있으며, 이는 잠재적인 높은 누적 손실로 이어집니다. 이러한 이유로 보험사는 보험금액을 제한함으로써 리스크 노출을 제한해야 합니다.

또한, 상당한 공제 기간(time deductible)을 항상 적용해야 합니다. 보험사는 고객 즉, 보험에 가입한 기업이 입은 손실을 보상합니다. 따라서, 보험사고일은 공급업체가 아니라 보험에 가입한 기업이 물질적인 영향을 받을 때부터 계산해야 합니다. 보험 계약자는 경우에 따라 서비스 중단으로 인한 간극을 메울 수 있는 공급자의 물품 재고를 보유하고 있거나, 서비스 중단을 공급업체의 고유한 서비스나 제3자의 서비스로 보상할 수 있습니다.

전망

세계화, 점점 더 늘어나는 기술과 비즈니스 세계의 네트워크화, 그리고 그에 따른 의존성은 보험 솔루션에 대한 기업의 수요를 높게 견인할 것입니다. 그러나 사이버 CBI 리스크는 고도의 복잡성과 결여된 투명성으로 인해 보험업계 전체의 난제입니다. 당사는 상당한 CBI 손실을 통해, 모든 리스크를 전부 통제 할 수는 없다는 것을 배웠습니다. 사이버 보험은 보험 업계에 새로 도입된 상품이므로, 비교적 새로운 담보와 관련된 손해 보험의 접근 방식을 배우고 이를 개선해 나가는 것이 가장 중요합니다.

사이버 CBI 보험 담보는 리스크의 복잡성과 손실 잠재력으로 인해 시장에서 표준으로 제공되어서는 안 됩니다. Munich Re는 CBI 보험이 면밀히 검토된, 선별적이며 의도된 방식으로만 제공되길 바랍니다. 원하는 리스크를 신중하게 선택하고, 이와 연계하여 리스크를 평가하면 투명성이 높아져 확실한 언더라이팅을 위한 기반이 마련됩니다. 업계 전체와 마찬가지로, 당사는 리스크 관리의 방법 및 품질을 어떻게 개선할지에 대해 끊임없이 배워 나가고 있습니다. 궁금한 점이 있으시다면 언제든지 문의하시기 바랍니다.

Munich Re-전문가
Alfred Sattler
법인 언더라이터
Doris Mühlmann-Burger
시니어 법인 언더라이터

함께 볼만한 콘텐츠