사이버 보험의 하드마켓 전환과 공동의 이익

사이버 보험 시장은 최근 몇 년 동안 극적으로 변화했습니다. 초기의 사이버 보험 시장은 보험사고가 상대적으로 적거나 전혀 없었기 때문에 "소프트 마켓" 상태였습니다. 이에 따라  많은 신규 보험사를 유치하여 인수 능력(capacity)을 키우고 보험료를 낮추며 수년간 보장 범위를 넓혀 왔습니다.. 그러나 오늘날의 사이버 보험 시장은 몇 년 전과는 많이 달라 보입니다. 전 세계적 사이버 사고의 급증이 가장 큰 이유 입니다.

사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 전 세계적으로 사이버 범죄 비용은 향후 5년 동안 매년 15%씩 증가하여 2025년까지 연간 10조 5천억 달러에 달할 것으로 예상됩니다.¹ 랜섬웨어 관련 사건은 의심할 여지없이 가장 큰 손실 동인이며 이는 단기간 내에 변화가 있을 것으로 보이지 않습니다. 랜섬웨어 공격은 계속 증가하고 있으며 영업중단으로 인한 비용은 지불한 랜섬웨어 몸값 만큼이나 큽니다 (평균 $283,000).² 2020년 전 세계적으로 데이터 유출로 인한 평균 비용은 386만 달러였습니다.³

주요 손실은 여전히 유럽과 미국 시장에 집중되어 있지만, 아시아의 경우  전반적으로 사이버 클레임이 눈에 띄게 증가하고 있습니다. 예를 들어, 아시아 태평양 지역에서는 랜섬웨어 공격을 위한 평균 악성 소프트웨어 발생률이 다른 지역보다 1.7배 높았습니다.⁴ 최근 분석에 따르면 모든 랜섬웨어 공격의 47%가 RDP(원격 데스크톱 프로토콜)를 통해 침입한 것으로 나타났습니다.⁵ 사이버 보험의 보장 범위와 관련된 글로벌 전략의 변화는 아시아 사이버보험 시장에도 직접적인 영향을 미쳤습니다.

글로벌 및 지역적 관점에서 볼 때 사이버 보험 시장은 분명 빠르게 하드 마켓으로 전환되고 있습니다. 이는 전통적으로 보험 중개사와 피보험자에게 부정적인 영향을 미치지만, 다른 관점에서 사이버 시장을 바라보아야 할 이유도 충분히 존재합니다. 즉, 보험사/재보험사, 보험 중개사 및 피보험자가 취할 수 있는 이익에 대해 보다 광범위하고 장기적인 관점을 가지는 것이 필요합니다.

지난 몇 년 동안의 주요 사이버 사고(예: WannaCry, Ryuk, REvil)를 고려할 때, 사이버 보험의 중요성에 대해서는 의문의 여지가 없습니다. 이러한 현실은 또한 사이버 보험료 및 보험조건 수정의 필요성을 불러 일으킵니다. 이는 특히 미래의 지속적인 성장을 유지하는 데 중요합니다. 보험사가 궁극적으로 보장하는 범위의 노출이 증가할수록, 변화하는 환경에 적응하기 위한 리스크 선택과 등급도 높아진다고 보는 것이 합리적입니다.

궁극적으로 보험사가 주도하는 변화는 갑작스러운 손실 증가로부터 더 잘 회복하고 사이버 보험 상품을 계속 판매하기 위한 지속 가능한 전략을 확실하게 세우는 데 도움이 될 것입니다. 또한 보험사는 전통적으로 소프트 마켓에서 사업을 운영하기 위해 양보하는 부분이 많았지만 이제는 차별화를 위해 더욱 치밀한 전략을 수립하고 위험 수용 범위(risk appetite)를 높여 사이버 세계에서 전문성과 경험을 선보일 기회를 갖게 되었습니다.

인수능력(capacity) 부족과 너무 보수적인 보험조건은 고객과의 관계에 문제를 일으킬 수 있습니다. 사이버 보험은 상대적으로 "신생 단계"이기 때문에 시장과 보험사 전반에 걸쳐 표준화가 부족한 상황입니다. 빠르게 변화하는 사이버 리스크로 인해 사이버 보험 상품의 보장 범위와 혜택 또한  빠르게 진화하게 되었습니다. 결과적으로 보험 중개사는 다양한 사이버 보험사 간의 보장 차이와 미묘한 변별점을 완전히 인식해야 하는 주요 과제를 안고 있습니다 (예:  사고 대응을 보장하는 보험사 사고 대응팀의 유형 파악). 

보험 중개사는 이를 자신의 중요한 역할을 보여줄 기회로 활용할 수 있습니다. 피보험자는 자신의 프로그램에 직접적으로 영향을 미칠 수 있는 시장 및 사이버 보험의 변화를 더 잘 이해하는 데 도움을 얻기 위해 보험 중개사에게 점점 더 의지하기 때문입니다. 또 다른 긍정적인 점은 사이버 위협에 대한 언론의 관심이 사상 최고치를 기록함에 따라 피보험자에게 사이버 보험을 여러 번 홍보해야 하는 시대가 지났다는 것입니다. 실제로 사이버 보험에 대한 문의는 계속 증가할 것이며, 보험 중개사의 기회 역시 확대될 것입니다.

현실에서 피보험자는 보험료 인상 및 보험조건 변경, 보험사의 인수능력 감소 및 까다로워진 언더라이팅으로 인해 일부 부정적 영향을 받을 것이지만 분명 긍정적인 부분 역시 존재 합니다. 언더라이터(보험가입 심사자)는 보험 사고가 늘어나고 있는 지금의 환경에서 더 많은 세부 정보를 요구하기 때문에 피보험자는 사이버 보안에 대한 전반적인 준비 상태(cyber security posture)에 대해 조금 더 현실적으로 평가해야 합니다. 이는 고유한 윈-윈 (Win-Win) 기회를 형성합니다. 보험사는 보험 가입자와 상담할 수 있는 보다 수용적인 환경을 갖추게 되고, 피보험자는 보험사와의 조금 더 깊은 상담을 통해 리스크에 대한 대책 방안을 개선할 수 있습니다.

궁극적으로, 모든 기업은 더 나은 사이버 보안 관리와 통제에 대한 투자를 통해 사이버 공격을 완화한다는 동일한 목표를 공유합니다. 이러한 시정 조치가 없으면 보험사는 큰 손실로 인해 인수능력이 감소하고 시장에서 완전히 철수해야 하며 장기적으로 피보험자의 선택권이 줄어들 수 있습니다. 보험은 사이버 노출에 대한 위험 전가 수단으로서 분명 필수적입니다.  따라서 보험 회사의 지속 가능한 계약 조건은 보험 회사가 미래에도 계속해서 위험 전가에 대한 옵션을 제공할 수 있도록 하는 데 중요합니다. 

사이버 클레임이 증가함에 따라 사이버 보안 서비스 제공업체의 중요성도 증가했으며 사고 대응 업체가 이 목록의 맨 위에 있습니다. 수요가 올라감에 따라 더 많은 경쟁을 촉발하고 서비스 제공자에게 전문 지식과 기술, 재능을 향상하도록 요구하여 결과적으로 서비스 품질을 높일 것입니다. 또한 보험 업계에서 이러한 사이버 보안 서비스 제공업체의 참여가 증가함에 따라 모두가 서로 배운 교훈을 공유할 수 있는 더 많은 지식 교환이 촉진될 수 있습니다.

사이버 보안 위험 평가 제공업체의 역할과 가치도 증가할 것입니다. 단순한 질문서로 이루어진 기존의 언더라이팅은 앞으로 사이버 공간에서 충분한 정보를 제공하지 못할 수 있습니다. 사이버 위험에는 사이버 위험에 대한 광범위한 지식과 "아웃사이드-인 (Outside-in)" 검토가 필요합니다. 다시 말해, 열린 포트, 외부 IP 주소의 패치 상태, 알려진 취약성 추론 등과 같은 외부 요소의 검토가 사이버 보험 서비스 제공에서 점점 더 널리 퍼질 것입니다. 물론 규모가 큰 회사의 경우 사이버 보안 컨설팅 회사를 활용하거나 보험사와의 위험 관리에 관한 직접적 논의를 비롯하여 사이버 보안 수준에 비례한 더욱 광범위하고 심층적인 분석을 요구할 것입니다.

사이버 보험 "생태계"의 모든 이해 관계자는 결국 서로가 서로에게 의존할 수 밖에 없습니다. 결국 모든 당사자가 혜택을 받을 수 있는 균형을 이루는 것이 필수적입니다. 사이버 보안은 사이버 보험과 상관없이 경영진의 최우선 과제이며 또 그래야만 합니다. 현재 하드마켓으로 전환되고 있는 사이버보험 시장은 궁극적으로 모두에게 더 많은 회복력과 지속 가능성으로 이어질 수 있는, 사이버 생태계의 긍정적인 변화를 촉진하는 데 중요한 역할을 합니다.

생태계의 각 당사자는 사이버 위험 관리를 개선하거나 갱신하기 위해 사이버 보험의 조건을 개선하는 하는 등, 그들 내부적으로 제어할 수 있는 사항에 집중해야 합니다. 사이버 범죄 활동과 같은 사이버 세계의 외부 요인은 예측할 수 없고 통제할 수 없습니다. 따라서 모든 이해 관계자가 이 강화된 사이버 시장의 유익한 기회를 잘만 활용한다면, 보다 탄력적인 집합적 사이버 생태계를 만들 수 있습니다. 사이버 서비스 제공자, 보험중개사, 피보험자가 주도하는 리스크 투명성 향상, 사이버 성숙도, 보험/재보험의 지속 가능한 보험 조건의  조합을 통해 혁신을 촉진하고, 더 나아가 현재 가능한 보험의 범위를 넓히는 솔루션을 만드는 동력이 될 것입니다.

현실적으로, 사이버 보안과 관련된 목표는 항상 변하기 마련입니다. 리스크에 대한의 집단적이고 지속적인 경계, 그리고 변화에 대한 발 빠른 적응이 사이버 리스크 관리에 대한 열쇠가 될 것입니다.  

¹ https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
² https://purplesec.us/resources/cyber-security-statistics/ransomware/
³ https://www.ibm.com/security/data-breach
⁴ https://news.microsoft.com/apac/2020/06/16/developing-markets-in-asia-pacific-challenged-by-ransomware-and-malware-encounters-while-developed-markets-struggle-with-increased-drive-by-download-attack-volumes-microsoft-security-endpoint-threat/
⁵ 2020 Ransomware Attack Trends in Asia Pacific – Beyond the Ransom (kroll.com)
⁶ Cyber insurers hike rates, tweak coverage as loss ratio rises again in '20 | S&P Global Market Intelligence (spglobal.com)