사이버 보험: 2020년 리스크와 트렌드

2019년 회고

사이버 보안에 대한 투자가 증가했음에도, 작년 한 해 동안 사이버 공격으로 인한 위협은 계속 증가했습니다. 검토 결과 데이터 도난, 랜섬웨어 트로이목마를 이용한 공격, 위조된 업무용 메일을 이용한 사기 등의 사이버 범죄 리스크가 트렌드 목록 상위에 올랐습니다:

Graph with information on the increase of Data Breach (plus 1/3), Ransomeware (plus 2/3), BEC-Scams (doubled) and regulatory changes (100 countries)

랜섬웨어

2019년에는 가능한 한 큰 피해를 초래하고 고액을 갈취하는 랜섬웨어 트로이목마가 표적형 공격으로 기승을 부렸습니다. 대개 공격자는 피해자의 시스템 안으로 이미 들어와 있으며, 악성 프로그램을 이용해 데이터나 컴퓨터 시스템을 암호화하여 접근을 차단한 다음, 암호를 풀어주는 대가로 암호화폐 형태의 몸값 지불을 요구합니다. 작년에 있었던 공격들은 기업 뿐만 아니라 공공 기관 및 보건의료 기관과 같은 공적 생활의 주요 영역을 주로 표적으로 삼았습니다. 몸값 요구는 피해자의 재력에 따라 5,000 달러부터 5백만 달러에 달했으며, 2019년, 가장 큰 경제적 손실을 입을 회사는 스칸디나비아의 두개 회사였습니다. 노르웨이의 한 알루미늄 제조업체는 특히 기업휴지로 인해 약 7천만 달러의 손실을 입었고, 덴마크의 한 보청기 제조업체는 랜섬웨어 공격으로 약 9천5백만 달러의 비용을 치뤘습니다. 기업휴지와 더불어 특히 IT 시스템 복원에 많은 비용이 들었습니다.

데이터 유출

데이터 도난 및 권한 없는 사용자의 데이터 무단 액세스 횟수는 지난해 약 1/3가량 증가했습니다: 전 세계적으로 약 85억 개의 데이터셋이 (data sets) 피해를 입었습니다. 글로벌 관점에서 볼 때 데이터 유출 당 평균적인 경제적 손실은 관청 및 피해자에 대한 통지 비용, 사건 조사 및 피해 확산 방지 대책 비용, 데이터 복원 비용, 벌금 및 법정 비용을 포함하여 거의 4백만 달러에 달합니다. 그중 중요 데이터를 정기적으로 수집 및 저장해야 하는 건강 산업의 피해 손실이 평균 650만 달러로 가장 높았습니다. 그 이외에도, 데이터 도난은 협박의 목적으로도 사용됩니다: 금전 요구에 응하지 않을 경우, 민감한 기업 또는 고객 데이터가 공개될 위험이 있습니다. 이때 요구되는 몸값은 랜섬웨어 공격 시와 비슷합니다.

BEC (Business E-Mail Compromise) 사기

작년 한 해 동안 위조된 업무용 이메일을 이용한 사기(BEC, 기업 이메일 사기)가 급증했습니다. 이 경우 공격자는 기업의 이메일 계정에 접근하거나 정식 회사 주소와 매우 유사한 이메일 계정을 만든 다음, 도용하거나 위조한 신원을 사용하여 기업, 고객 또는 직원을 속입니다. 2018년 5월과 2019년 7월 사이에, 전 세계적으로 발견된 BEC사건 수는 두배로 증가했으며, 이로 인한 경제적 손실은 평균 270,000 달러에 달합니다. 특히 중소기업이 이러한 형태의 사기성 이메일 공격의 표적이 되었습니다. 2019년에 알려진 가장 큰 단일 피해는 자동차 분야의 한 회사가 입은 3천7백만 달러입니다. 이러한 트렌드는 보험에 가입된 사이버 피해 통계에서도 드러납니다: BEC 사기는 이미 단일 시장에서 보험에 가입된 피해중 가장 큰 부분을 차지했습니다.

2020년도 전망 및 트렌드

네트워크화된 세계와 새로운 5G 표준 또는 인공 지능과 같은 기술의 진보는 사회의 모든 영역에 기회를 제공합니다. 그러나 이는 동시에 각각의 의존성을 높이고, 전문적으로 행동하는 사이버 범죄자들에게 항상 새로운 공격 영역을 열어줍니다.

Graph with information on trends in speed, scope, sophistication and targets of cyber attacks, as well as risk awareness and regulation

효율성을 향상 시키는 기술 - 사이버 범죄 포함

랜섬웨어는 특히 기업휴지를 초래할 수 있다는 점에서 여전히 상당한 위협으로 존재합니다. 또한, BEC 사기와 데이터 도난으로 인한 손실도 계속 높은 수준을 유지할 것으로 예상됩니다. 사이버 범죄는 점점 더 표적형 공격으로 진행되고 네트워크화되어 조직적으로 이루어집니다. 게다가 최신 기술이 사이버 공격의 모든 단계에서 활용됩니다. 예를 들어, 인공 지능은 범죄의 표적을 찾아내고 취약점을 식별 및 악용하며, 범죄의 흔적을 지우기 위해 점점 더 많이 사용되고 있습니다. 이를 통해 공격자는 자동화 및 효율성을 높일 수 있으므로, 결과적으로 더 큰 손실이 초래됩니다. 목소리나 사람을 거의 완벽하게 재현하는 이른바 딥페이크(Deep Fake)는 피싱 공격, 신원 도용 또는 기업이나 개인을 협박하는데 더 많이 사용될 것입니다.

전체 공급망을 따라서 리스크를 높이는 네트워킹

디지털 의존성 및 새로운 네트워크 장치와 응용 프로그램의 사용은 기업에서만 급증하는 것이 아닐 뿐더러, 클라우드 기반의 서비스나 모바일 무선 표준인 5G의 도입은 이러한 트렌드를 더욱 부추기고 있습니다. 이러한 고도의 기술은 산업 및 가정의 기계 및 장치의 밀접한 네트워킹과 자동화를 가능하게 해주지만, 아쉽게도 항상 적절하게 보호되는 것은 아닙니다. 따라서 지속적인 데이터 흐름만 기하급수적으로 증가하는 것이 아니라 인프라, 장치 또는 데이터가 자동화된 대량 공격을 당할 가능성도 높아집니다. 결과적으로 많은 기업이 의존하는 현대의 공급망은 점점 더 복잡해질 것이며, 예상되는 빈번한 공격으로 인해 리스크 관리에 대한 요구도 크게 증가시킬 것입니다.

전 세계의 규제 강화

사이버 리스크에 대한 위협이 증가함에 따라 전 세계적으로 데이터 보호에 대한 법적 요건도 강화되고 있습니다. 현재 100개가 넘는 국가가 법률에 따라 데이터 손실 또는 오용으로부터 소비자를 보호하고 있습니다. 2018년 5월, EU의 개인정보보호법(GDPR)이 도입되면서, 유럽 뿐만 아니라 그 외 지역에서도 데이터 보안에 대한 인식이 더욱 높아졌습니다. GDPR은 부분적으로 다른 나라에서도 블루프린트(청사진)로 사용됩니다. 공격 및 데이터 유출 통지에 관한 세부 규정이 담긴 강화된 규제의 결과로, 사이버 공격의 규모 및 비용이 더 자주 공개되고 있습니다. 기업들은 손해 발생 시, 추가적으로 평판 손실 및 때론 수억 달러에 달하는 벌금을 감당해야 합니다. 최고 벌금액은 2019년 영국에서 한 항공사에 부과된 것으로, 2억3천4백만 달러에 달합니다. 데이터 보안 분야의 거버넌스 요건은 복잡하고 구속력이 있습니다. 이는 기업 내부의 리스크에 대한 민감화와, 손실 예방 대책 및 보험에 대한 수요 증가로 이어집니다.

사이버 솔루션 보험시장의 성장

전체적으로 사이버 보안에 대한 글로벌 IT 투자가 상당히 증가하고 있습니다. 전문가들은 2025년에 약 4천억 달러에 달할 것으로 예상하는데, 이는 10년 내 4배의 성장을 의미합니다. 이중 일부는 보험 솔루션 및 서비스에 대한 수요로 현실화될 것입니다. Munich Re는 2025년까지 글로벌 사이버 보험 시장이 2018년 대비 4배 증가한 200억 달러 이상으로 성장할 것으로 평가하고 있습니다. 2020년에는 글로벌 사이버 보험 시장이 70억 달러 이상 될 것으로 추산하며, 북미 지역이 53억 달러로 앞으로도 계속 가장 강력한 시장이 될 것으로 내다보고 있습니다. 또한, Munich Re는 아시아와 유럽에서의 강한 성장을 기대하고 있습니다. 유럽의 경우, 2020년 사이버 시장 규모가 10억 달러를 웃돌 것으로 추산됩니다.

보건의료 분야, 제조 산업, IT, 금융 및 서비스 기업 등 공격의 영향을 많이 받는 업계에서는 사이버 보험에 대한 수요도 가장 클 것입니다. 위험 인식을 높이는 것은 사이버 손실에 대한 언론 보도만이 아닙니다. 강화된 규제를 통해 높아진 요건과 비즈니스 파트너의 의무 역시, 리스크 담보(risk cover)와 리스크 예방 조치에 대한 수요를 더욱 증가시키는 데 기여합니다. 최근 몇 년 동안 사이버 보험 시장이 성장세를 보임에 따라 솔루션 오퍼링도 질적으로 개선되고 있습니다. 상업 분야에서의 담보(cover)는 점점 표준화되고 있으며, 대기업의 경우에는 개별 솔루션이 우세합니다. 기업휴지 및 데이터 도난 시에 대한 보장은 여전히 주요 담보 구성이며, 중소기업의 경우 리스크에 대한 인식이 높아짐에 따라 사이버 보험의 구매가 늘어나고 있습니다. 마찬가지로 사이버 상품에 대한 개인의 수요 역시 급증하기 시작했습니다.

Munich Re의 사이버 솔루션 포트폴리오의 확장

사이버는 Munich Re의 전략적 성장 분야입니다. 사이버 포트폴리오는 예상대로 작년에도 수익성 있는 성장세를 이어갔습니다. 빠르게 성장하는 사이버 시장에서 Munich Re는 약 10%의 시장 점유율을 유지하고자 합니다.

Munich Re는 사이버 리스크 관리와 관련하여 종합적인 접근 방식으로 고객을 지원합니다. 이러한 접근 방식은 리스크를 이해하고 기존 보험 증권에서 숨겨졌던 사이버 리스크(Silent Cyber, 묵시적 사이버)를 투명하게 만들며, 리스크를 개별적으로만 평가하는 것이 아니라 전체 포트폴리오와 연계하여 평가함으로써 부보 가능하게 만드는 것을 기반으로 합니다. 보험사가 사용하는 누적 모델(accumulation model) 역시 빠르게 개선되고 있습니다. 또한, 리스크의 복잡성과 적정한 가격 책정을 위해서는 글로벌 시장 전반에 걸쳐 최고 수준의 사이버팀을 필요로 합니다. Munich Re는 당사의 노하우를 바탕으로 지속적으로 투자를 하며, 보험 업계 전문가 및 기술 파트너들과 긴밀하게 협력하여 새로운 솔루션을 개발하고 있습니다. 보험을 통한 리스크 전가 외에도 이러한 오퍼링에는 리스크 관리 서비스 및 보안 조치도 포함됩니다.