사이버 보험: 2021년 위험과 추세

2020년의 모든 극적인 상황은 예상할 수 있는 것이 아니었습니다. 코로나 19 사태도 그렇지만, 사이버 보안 역시 마찬가지였습니다. 지난 한해 많은 통계 및 조사에도 나타 났지만, 사이버 공격의 빈도와 심각성이 크게 증가 하였습니다. 몇몇 전문가들은 코로나 19로 인한 영향을 “역사상 가장 큰 사이버 보안 위협”으로 분류하기도 합니다. 

코로나 19 사태를 극복할 수 있다는 희망이 보이지만, 디지털 운영과 비즈니스 모델을 보호하는 범용적인 백신은 없을 것입니다. 디지털화의 가속화를 통해 사이버 위협과 손해의 시나리오가 계속 바뀌고 있습니다. 리스크 담당자는 과거의 사고에서 배우고, 앞으로 다가올 사이버 보안의 추세, 위협, 그리고 약점을 아는 것이 중요합니다. 물론 리스크 관리를 위해 내부 시스템 컨트롤을 강화 하는 것 역시 “디지털 백신”으로 간주될 수 있습니다. 하지만 이러한 “백신”은 “사이버 면역 시스템”에서 치명적인 공격을 피하기에는 충분하지 않으므로, 사이버 보험을 통해추가로 남은 위험을 보호할 필요가 있습니다. 

뮌헨 재보험의 첫 번째 글로벌 사이버 리스크와 시장 조사의 결과에서는, 5G 클라우드 컴퓨팅 및 인공 지능과 같은 디지털화가 상위 목록에 나타나면서 위험과 기회가 동시에 강조 되었습니다. 모든 사람이 디지털화에 대해 긍정적으로 생각하지만, 임원급 응답자의 81%가 본인의 기업이 사이버 위협을 충분히 방어하지는 못한다고 대답 하였습니다. 사이버 보안 위협 중에서도 사기, 데이터 유출, 랜섬웨어 공격은 임원급 응답자가 가장 무서워하는 위협 입니다. 

임원급 응답자의 35%가 사이버 보험 도입을 고려하지만, 그중 34%만이 보험 담당자와 연락하며, 그중 17%는 시장에 있는 제품과 서비스를 아직 알아보지도 않았습니다. 

이러한 결과는 사이버 보험 상품이 아직 전통적인 보험 상품처럼 알려지지 않았다는 것을 의미합니다. 하지만 이는 동시에, 사이버 보험 분야에 잠재력이 있다는 뜻이기도 합니다. 그러므로 보험 회사는 사이버보험의 적용 범위와 수반하는 서비스를 잘 알릴 필요가 있습니다. 소비자가 원하는 최상위 유출 방지 서비스는 네트워크 보안, 중요 시스템과 데이터 백업, 멀웨어 방지 툴, ID 및 액세스 관리, IT 보안 자문입니다. 이러한 사이버 보안의 조치와 더불어 사고 대응 서비스 역시 중요한 서비스로 보입니다. 

코로나 19가 디지털 전환을 가속화하고 있습니다. 하지만, 이러한 위협과 약점이 코로나 19의 등장과 함께 완전히 새롭게 나타난 것은 아니라는 점을 알아야 합니다. 사실 많은 회사들이 전염병 사태 훨씬 전부터 이미 공격을 당하고 있었습니다. 예를 들어, 구글의 최근 조사에 따르면 65%의 사람들이 여러 계정 혹은 모든 계정에서 같은 비밀번호를 사용하고 있다고 합니다. 다른 통계에서는 모든 윈도우 PC 중 18%가 아직도 오래된 윈도우 7 운영 체제를 사용하고 있다고 합니다. 이는 독일에서만 4백만 대의 컴퓨터가 최신 운영 체제가 지원이 안 된다는 뜻입니다. 저희의 데이터에 따르면 이렇게 사이버 보안이 부족한 경우 심각한 사이버 사고로 이어질 수 있습니다.

코로나 19와 디지털화는 사이버 리스크를 더 악화 하였으며, 사이버 공격을 수면 위로 끌어올렸습니다. FBI는 2020년 4월에 신고된 사이버 범죄가 300% 증가했다고 밝혔습니다. 3월 한 달 동안 랜섬웨어 공격은 148% 증가했습니다. 2020년 2월에서 4월 동안 피싱 공격은 600% 증가했고, 4월에는 구글이 매일 1천8백만 건이 넘는 코로나 19 관련 피싱 이메일을 차단했습니다.

뮌헨 재보험은 많은 기업들이 인가되지 않은 원격 접속, 단순한 비밀번호, 보안되지 않은 네트워크, 개인 기기의 오용 등 원격 근무의 위협과 약점을 모니터하고 확인하는 데 아직 준비되어 있지 않다고 봅니다. 또한 전 세계에서 4억 이상의 기업체와 소비자가 사용하는 가상 사설망(VPN)에서 더 많은 공격이 예상되며, 공격자가 직원에게 막대한 금전을 제공하며 “실수로” 기밀 정보를 공유하거나 유출하게 하는 내부적 위협 역시 급증할 것으로 예상됩니다. 

지난 몇 년과 비슷하게 랜섬웨어 공격, 데이터 유출, 기업 이메일 사기(BEC) 같은 활동이 다시 사이버 범죄 활동의 최상위에 올라갔습니다. 사이버 범죄로 인한 전 세계 경제의 손해는 논란이 많은 이슈입니다. 사이버시큐리티 벤처스는 전 세계 사이버 범죄 관련 비용이 향후 5년 동안 매년 15%씩 증가해 2025년에는 10.5조 달러에 이를 것으로 예상합니다. 2015년에 3조 달러였던 비용이 2021년에는 6조 달러까지 오를 것으로 예상됩니다. 이는 사이버 범죄 및 공격 방법이 급속도로 발전하기 때문에 그다지 놀라운 일은 아닙니다: 예를 들어 자동화와 인공 지능을 이용하여 공격하기 위한 약점을 더 잘 찾는 것이죠. 

사이버 범죄 활동 외에도 국가를 배후로 한 공격이 더 활발해질 것입니다. 특히 코로나 19 백신과 치료에 관련된 기업, 연구소, 정부 기관은, 개별 해커와 국가를 배후로 한 조직의 엄청난 공격을 받을 것으로 보입니다. 

뮌헨 재보험은 국가를 배후로 하는 사이버 리스크에 대해서 자세히 인지하고 있습니다. 특정 국가가 배후로 추정되는 사이버 공격이 다발적으로 일어났기 때문에, 전통적인 전쟁 면책 조항을 사이버 (재)보험에 맞게 바꾸는 것이 필요합니다. 저희는 특정 사이버 전쟁 면책 조항 개발 및 지원을 위해 고객, 그리고 제네바 협회, 런던 시장 협회 등 기타 산업에서 일하는 그룹과 관계를 맺고 있습니다. 뮌헨 재보험은 이러한 새 조항이 적용되도록 여러 논의와 광범위한 피드백 제공에 적극적인 역할을 하고 있습니다. 저희는 2021년 내에 시장에 새로운 표준이 나오기를 기대하고 있습니다..

데이터 유출:

지난 몇 년과 마찬가지로 세계는 2020년에 수많은 데이터 유출을 목격했습니다. 뮌헨 재보험은 여러 리스크 평가를 통해 과거보다 더 많은 개인 정보를 리스크 담당자가 관리하는 것을 보았고, 또한 재정, 보건, 어린이, 혹은 생체 정보와 같이 민감한 데이터의 중요성 또한 증가하는 것을 보았습니다. IBM은 2020년에 데이터 유출을 확인하는데 까지 걸리는 평균 시간이 280일이었다고 발표 하였습니다. 200일 이하의 데이터 유출 평균 보호 비용은 1백만 달러이고, 2020년 전 세계 평균 총 비용은 386만 달러입니다.

2025년에는 전 세계에서 약 200 제타바이트의 데이터가 저장되며(사이버시큐리티 벤처스에 따르면), 이러한 스트레스를 줄일 방법은 사실상 없어 보입니다.

랜섬웨어:

앞으로 랜섬웨어의 급속한 성장이 예상됩니다. 이는 데이터의 암호화뿐만 아니라, 더 많은 정보 유출로도 일어납니다. 랜섬웨어 공격이 빈번하게 일어나면서, 몸값 요구 또한 기하급수적으로 늘어납니다. IBM Security X-Force는 몇몇 공격에서 4천만 달러가 넘는 금액이 갈취된다고 보고 있습니다.

랜섬웨어로 인한 기업휴지로 발생하는 비용도 지불되는 몸값과 비슷할 것입니다. 2020년에는 평균 기업휴지 비용이 총 28만 3천 달러였습니다. 이는 2019년 뮌헨 재보험이 산정한 랜섬웨어 공격의 회복 비용에서 거의 100% 증가한 비용입니다. “유출과 망신” 수법과 더불어 “암호화 해제와 삭제” 방법은 비용 증가에 크게 기여할 것입니다. 랜섬웨어는 또한 IT 시스템이 중요한 인프라와 운영 기술 시스템에 더 많이 적용되기 시작하면서 더욱 더 증가할 것입니다. 뮌헨 재보험은 전력, 의료 시스템, 교통이 사이버 공격의 목표물이 되며 더 많은 데이터 기기가 위험에 처하고, 심지어 사람의 생명까지 위협당하는 것을 우려하고 있습니다. 2020년 랜섬웨어 공격 후 응급 환자를 받을 수 없었던 뒤셀도르프의 한 병원에서 이러한 사례를 이미 보았습니다. 다른 병원을 찾아 32km를 돌아가야 했던 환자는 결국 목숨을 잃었습니다. 이런 이유 때문이라도 저희는 더욱 활발하게 움직이면서 선별적으로 포트폴리오를 구성하고, 고객에게 최고의 보안 기준을 요청 하거나, 적정 수준 이상의 예방 수단을 지원하고 있습니다.

기업 이메일 사기(BEC)

기업 이메일 사기(BEC)와 같은 사기 행위가 더 많이 발생하고 있습니다. 안티 피싱 워킹 그룹에 따르면 BEC로 발생한 평균 손해는 2/4분기에 80,183 달러로 1/4분기의 54,000 달러보다 높았습니다. 2020년에는 손해 비용이 더 많이 발생한 사례가 있었는데, 푸에르토리코의 정부 기관이 3번의 BEC 공격을 받아 4백만 달러의 손해가 발생했고, BEC 사기로 노르웨이의 주 투자 자금에서 1천만 달러를 탈취당했습니다.

뮌헨재보험 사이버 위험 전문가에 따르면 BEC 같은 사기를 잡는 것은 원격 근무 환경에서는 더 힘들어질 것이라고 합니다. 또한, 딥페이크 오디오와 비디오 같은 기술의 공급이 이 현상에 기여 할 것입니다.

위에서 언급한 더 활발해지는 디지털 전환과 더 빈번하고 심각해지는 사이버 사고로 인해, 사이버 보험의 필요성이 더욱 증가할 것입니다. 뮌헨 재보험은 전 세계 사이버 보험 시장의 가치가 2025년에는 200억 달러에 도달할 것으로 예상하고 있습니다. 디지털화의 급증에 따라 이러한 예상을 넘을 수도 있습니다. 뮌헨 재보험은 특히 소기업과 중견 기업이 사이버 사고로 피해를 보고 보험에 대한 필요성이 증가할 것으로 보고 있습니다. .

보건, 전문 서비스, 소매, 제조, 정부 기관(교육 기관 포함), 재무 서비스는 가장 리스크에 노출이 많이 된 산업입니다. 그렇기 때문에 이러한 산업에서 사이버 보험의 필요성이 지속적으로 증가  것입니다. 또한 개인과 가족을 위한 사이버 보험 분야 역시 성장할 것으로 예상합니다. 

이 밖에 국가별 규제가 사이버 보험에서 중요한 역할을 할 것입니다. 2020년에는 데이터 보호 법 위반으로 인한 벌금 징수가 신기록을 달성했습니다. 전체적으로 유럽연합의 개인 정보 보호 법령(GDPR)으로 315건의 벌금이 부과되었습니다. 2020년에 구글의 GDPR 벌금 5천만 유로가 프랑스 대법원에서 확정되었는데, 이는 유럽연합에서 가장 큰 액수 였습니다. 기타 벌금은 2020년에 확연히 줄었는데, 이는 각 기업의 경제적인 영향과 부담 능력 때문이었습니다. 194개국 중 128개국이 데이터와 사생활 보호를 위한 법을 제정하고, 154개국이 사이버 범죄 관련 법을 제정하며 이와 관련된법 집행이 전 세계적으로 강화될 것입니다. (국제 연합, 2020년 12월)

데이터 보호 법률이 널리 도입되고 있지만, 연결된 기기와 사물 인터넷 (IoT) 은 충분히 규제되지 않고 있습니다. 이러한 측면의 중요성 때문에 뮌헨 재보험은 고객이 양질의 연결기기 혹은 사이버 보안 서비스를 이용할 수 있도록 내부 분류 체계에 따라 지원하고 있습니다.

“전염병 같은 큰 사건은 리스크 관리의 중요성을 뒷받침합니다. 사이버 세상에서도 마찬가지 이며, 특히 근본적인 리스크와 예방 가능 여부를 확실히 이해하는 것이 중요합니다. 그렇기 때문에 저희는 효과적인 리스크 관리를 위해 사이버 전문가와 파트너에 계속해서 투자하고, 고객에게 집중적인 지원을 해 드리고 있습니다. 뮌헨 재보험의 사이버 보험 최고책임자 위르겐 라인하르트는 리스크에 노출 부분과 각 리스크별 위험 요소를 재확인할 필요성을 강조합니다. 2021년에는 사이버 사고의 증가와 보험 수요가 증가로 인하여, 결과적으로 시장 상황이 경직될 것이라고 예상하고 있습니다. 사실 이와 같은 시장 경직은 이미 2020년 하반기부터 관찰되고 있습니다. 

사고의 빈도와 심각성 증가가 예상되면서, 시장에서는 특히 여러 문제를 일으키는 랜섬웨어에 초점이 맞춰진 보험 분야가 필연적으로 고조될 것으로 보입니다. 게다가 랜섬웨어 때문에 보험한도의 규모가 줄어들 것으로 보이는데 이는 시장 환경에 맞추어 보험사가 업체의 리스크를 재평가할 것이기 때문입니다.

사이버 누적 리스크를 모니터하는 것 역시 중요한 과업입니다. 뮌헨 재보험에는 효과적인 사이버 리스크 관리 절차가 있으며, 정교한 자체 누적 리스크 모델 역시 가지고 있습니다. 그럼에도 불구하고 누적 리스크 관리를 최신으로 유지하기 위해 계속해서 시장을 모니터링하고, 다른 회사에서 외부 사이버 전문가를 찾는 것이 여전히 매우 중요합니다. 보험사가 사용하는 누적 리스크 모델은 빠르게 개선되고, 현재의 상황이 향후 투자의 중요성을 강조하게 됩니다..

보험사와 그 고객에게 중요한 다른 이슈는 사이버에서 “암묵적”인 부분을 없애고, “암묵적”인 부분을 “가시적”으로 바꾸는 일 입니다. 예기치 못한 사이버 노출을 배제한 전통적인 재산 혹은 피해자 정책에서는 모든 시장 참여자에게 성장과 투명성을 조성합니다. 특히 유럽에서는 규제 기관 일부가 보험사의 포트폴리오에서 “암묵적” 혹은 “비동의” 사이버 노출에 대한 양질의 정보를 많이 요구하고 있습니다. 게다가 규제 기관은 보험사에 사이버 적용 범위 배제 혹은 확인에 대한 조치를 강제하고 있습니다. 다양한 토론이 오가는 대부분의 손해보험 시장에서 긍정적인 부분입니다. 저희는 2021년에도 이러한 추세가 계속될 것으로 예상합니다. 

새로운 LMA 조항 역시 시장에 더 빈번하게 도입됩니다. 2020년 12월에는 다양한 사이버 면책이 런던 시장의 기업에서 법적 의무를 위해 규정되었습니다.  뮌헨 재보험은 영국에 기반을 둔  선두 재보험사들과 중개인들이 이러한 조항에 영향을 받는 것을 관찰하고 있습니다. 

뮌헨 재보험은 복잡한 리스크에 대한 평가와 적절한 가격 책정의 필요성을 제시 하려 합니다. 이를 위해 사이버 산업과 시장 전반에서 최고의 사이버 팀이 필요합니다. 저희는 이러한 리스크를 관리하기 위해 처음부터 노하우 축적, 전문가 초빙, 내부 프로세스 개선, 보험요율, 네트워크, 그리고 명확한 가이드라인 등에 많은 투자를 해 왔습니다. 이는 뮌헨 재보험이 전 세계를 선도하는 사이버 보험과 솔루션 제공자가 되겠다는 포부를 분명히 보여줍니다.

“사이버 분야는 뮌헨 재보험 그룹 전체를 위한 전략적인 성장 분야입니다.” 뮌헨재보험의 CEO 토르슈텐 예보레크는 이렇게 말합니다. “디지털화의 가속화와 그에 따른 위험으로, 사이버 리스크와 싸우기 위해 리스크 접근 방법과 전략을 다시한번 점검 하였습니다. 저희의 사이버 포트폴리오는 지난 몇 년간 수익 면에서 계속해서 성장 하였습니다. 보험 산업이 계속해서 이러한 성장세를 보인다면 다가오는 해에도 현재의 성장 수준을 넘을 것으로 예상합니다.” 

저희는 고객 그리고 파트너와 함께 보험 적용 범위를 확장하고 있으며, 동시에 지속 가능하고 수익성 있는 성장에 초점을 맞추고 있습니다.