사이버 책임 보험 vs 데이터 유출 보험, 어떤 차이가 있을까?

사이버 보험은 비즈니스 영역에서 점점 필수적인 요소가 되고 있다. 각 기업의 요구사항을 잘 충족하는 보험을 찾는다면, 보안성을 더 높일 수 있다. 
 

ⓒ Getty Images Bank

 
사이버 보안 위협과 공격이 증가하면서 기업은 자연스레 내부 데이터를 보호하기 위한 기술적 방안과 재무적 투자를 늘리고 있다. 이때 적절한 보험을 찾으면 보안성을 높이는데 도움을 받을 수 있다. IBM의 2022년 데이터 유출 비용 보고서 따르면, 전 세계 데이터 유출로 인한 대응 및 손실 비용은 435만 달러였다. 미국으로 한정하면 전 세계 규모보다 약 2배 높은 944만 달러인데, 이런 수치를 보면 왜 기업이 데이터 보호에 열을 올리는지 충분히 이해가 된다.

포춘 비즈니스 인사이츠(Fortune Business Insights)의 조사에 따르면, 글로벌 사이버 보험 시장은 2022년에 133억 3,000만 달러를 기록했으며, 2023년 166억 6,000만 달러에서 2030년까지 846억 2,000만 달러로 성장할 것으로 예상된다. 특히 북미가 사이버 보험 시장의 주요 수요처로 예상된다. 랜섬웨어 등으로 사이버 공격이 늘어나고 데이터가 손실될 위험성이 늘어나기 때문이다. 유럽도 비슷하다. 유럽 기업은 디지털화하는 과정에서 계속 악의적인 사이버 공격을 받으면서 사이버 보험 시장의 고객으로 떠오르고 있다. 

보안성을 높이는 과정에서 기업은 ‘사이버 책임 보험’과 ‘데이터 유출 보험’이라는 용어를 자주 들을 가능성이 높다. 두 용어는 혼용되는 경우가 많으며, 많은 기업이 두 보험이 같다고 여긴다. 사실은 그렇지 않다.

사이버 보험은 보안 영역의 필수적인 부분으로 자리잡고 있기 때문에 차이를 이해하는 것이 중요하다. 점점 많은 기업이 비즈니스 파트너들에게 사이버 보안성을 갖추기를 요구하면서, 어쩔 수 없이 보험을 찾아야 하는 기업에 있을 수 있다. 기존의 많은 비즈니스 보험 정책은 사이버 사고를 계약 범위에서 넣지 않고 사이버 사고를 보장하지 않는다. 그래서 사이버 보험은 별도의 보호 수단으로 자리 잡고 있다. 

또한 가입하고 싶다 해서 무조건 바로 보험 가입이 되는 것도 아니다. 보험사는 보험 가입을 승인하기 전에 강력한 사이버 보안 전략이 마련되어 있다는 증거를 제시하라고 요청할 수 있는데, 기업 입장에선 이런 보험사의 요구 사항을 받아들일 수 밖에 없다.

간단히 말해, 사이버 책임 보험은 네트워크 보안 이벤트 또는 데이터 유출로부터 발생하는 기업에 대한 제3자의 요구사항을 보장하는 것을 의미한다. 한편, 데이터 유출 보험은 데이터 손실을 겪은 피보험 조직이 입은 자사의 손실에 대한 보장을 의미한다. 좀 더 자세히 살펴보자.

사이버 책임 보험이란 무엇인가?
보험 기관 맥클론(McClone)의 전략적 위험 자문위원 자카리 카이저에 따르면 사이버 책임은 조직이 다른 조직 또는 개인에게 피해를 입힐 가능성으로 정의된다. 그는 “책임이란 타인에게 멀웨어를 전달하는 보안 책임과 고객의 개인 식별 정보를 실수로 공개하는 프라이버시 책임같은 것과 관련됐다”라고 말했다.

리스크 스트래터지스(Risk Strategies)의 사이버 팀 리더 앨런 블라운트는 "사이버 책임 보험은 데이터 보안 사고에 대응하고 회복할 때 발생하는 직접 비용과 관련된 법률 비용 및 책임으로부터 보호해주는 보장을 제공한다"라고 설명했다. 

윌슨 엘서(Wilson Elser LLP)의 파트너 겸 국가 사이버 보안 및 데이터 프라이버시 활동 팀 공동의장 안잘리 다스가 말하는 사이버 책임 보험의 예시는 이렇다. 해커가 사이버 공격을 가하면서 기업은 시스템 손상을 입거나 민감한 고객 정보를 도난당할 수 있다. 이때 고객들은 해당 기업을 상대로 민감한 개인 정보를 적절히 보호하지 못하고 사기와 신원 도난 등으로 잠재적 피해에 대한 위험에 노출시켰다는 이유로 소송을 제기하거나 집단 소송을 진행할 수 있다.

그녀는 “사이버 책임 보험은 일반적으로 잠재적인 피해, 판결, 합의 등 이런 제3자 청구와 소송에 대한 방어를 위한 보장을 제공한다”라고 말했다.

사이버 책임 보험은 당사자 및 제3자 보장을 제공한다
BDBCB PC(Baker, Donelson, Bearman, Caldwell & Berkowitz PC)의 데이터 사고 대응 팀 책임자 레이나 쿡 러시는 “하지만 사이버 책임 보험은 또한 당사자 보장을 제공할 수 있다”라고 설명했다.

사이버 책임 보험의 목적은 사이버 공격에 대한 포괄적인 보호를 제공하는 것이다. 일반적으로 랜섬웨어 공격, 데이터 도난 및 강탈, 피싱 이메일 사기 등 광범위한 사이버 사고를 보장한다. 이때 당사자 및 제3자 보장을 제공한다.

당사자 보장은 사고 조사, 영향을 받은 시스템의 교정, 필요한 알림, 신용 모니터링 시스템의 비용 등 사고에 대응하는 기업에 발생하는 재무적 손실을 보장한다고 러시가 말했다.

캡제미니의 부사장 겸 글로벌 보험 산업 책임자 카이란 부삼도 사이버 책임 보험은 일반적으로 보험에 가입한 조직과 개인이나 기업 등 다른 피해 당사자 모두의 손실 또는 손해를 보상하는 포괄적인 보험이라고 표현했다. 

부삼에 따르면, 포괄적인 사이버 책임 보험 증권은 일반적으로 매출 및 이익 손실, 영향을 받는 고객에게 알리는 것, 해킹된 데이터를 복구하는 것, 손상된 장비와 컴퓨터를 수리하는 것과 관련된 추가 비용 등의 금전적 손실을 보상한다. 또한 법률 비용, 다른 피해 당사자의 손실을 보상하기 위한 금전적 합의, 규제 벌금과 같은 징벌적 손해배상금과 같은 조직의 법적 비용도 보상한다.

부삼은 “예를 들어, 은행에 멀웨어 공격이 가해지면, 독점 데이터와 고객의 개인 식별 정보(Personally Identifiable Information, PII) 데이터가 노출되고 은행 웹사이트가 다운될 수 있다. 포괄적인 사이버 책임 보험은 은행의 재정적 이익을 보호하고 PII 데이터 유출로부터 고객을 보호할 뿐 아니라 은행의 온라인 비즈니스 중단으로 인해 발생하는 금전적 손실 및 관련된 비용을 보상한다”라고 말했다.

데이터 유출 보험이란 무엇인가?
러시에 따르면, 데이터 유출 보험은 사이버 책임 보험의 하위 집합으로, 사이버 사고와 관련된 손실 중 일부에 대해서만 보장한다. 이때 당사자 보장만 제공할 뿐 제3자 보장은 제공하지 않는다.

러시는 “데이터 유출 보험은 영향을 받은 개인 또는 제3자에 의한 해당 기업에 대한 소송 또는 국가 또는 연방 정부 기관에 의한 규제 조치 등의 제3자 청구를 보장하지 않는다. 사이버 책임 보험은 일반적으로 당사자 및 제3자 책임을 보장하기 때문에 데이터 유출 보험보다 포괄적이다”라고 말했다.

데이터 유출 보장은 네트워크 보안 사건 또는 사이버 공격을 경험한 피보험 기업에 발생한 당사자 피해를 의미한다고 다스가 말했다. 이러한 1차 손실에는 비즈니스 중단 손실, 법률 비용, 사고의 성격과 범위에 대한 포렌식 조사를 수행하기 위해 사이버 보안 회사를 고용하는 데 드는 비용, 개인 정보가 유출된 경우 영향을 받은 개인에게 사고 사실을 알리는 데 드는 비용이 포함될 수 있다. 데이터 유출 보험 정책에서 보장될 수도 있는 추가 당사자 손실에는 홍보 비용 또는 심지어 사이버 범죄자가 요구해서 갈취당한 비용도 포함된다.

CI(Corvus Insurance)의 청구 부사장 제이미 팔룸보는 데이터 유출 보험이 특수한 형태의 보험이 아니라 포괄적인 증권의 부분 집합에 가깝다고 말했다. 데이터 유출 또는 사고는 일반적으로 승인 없이 직원, 고객, 등의 민감한 또는 개인 정보에 접근하거나 보험 계약자로부터 훔쳐가는 상황 같은 것이 대표적이다. 보험 보장 맥락에서 사이버 증권은 이런 유형의 사고에 대해 다양한 방식으로 당사자 및 제3자 보장을 제공할 수 있다.

팔룸보는 “일반적으로 영향을 받는 시스템에 대한 검토를 수행하기 위해 유출 또는 프라이버시 자문 또는 디지털 포렌식 제공업체를 확보하는 것과 관련된 비용인 유출 대응 비용에 대한 보장을 제공한다”고 말했다.

또한 보험 계약자가 사이버 사고로 인한 다운타임 또는 시스템 중단을 경험하는 경우 잠재적인 비즈니스 수입 손실이 있을 수 있다고 그녀가 말했다. 그리고 책임 요소와 관련하여 보험 계약자가 유출 시 데이터가 영향을 받은 개인들이 제기한 소송이 발생하는 경우에도 보장이 존재할 것이다.

보험에서 적절한 보장 여부를 반드시 확인하자
팔룸보는 "현재 사이버 보험 상품은 다행히 일반적으로 다양한 자사 및 타사 보장을 기본으로 제공하며, 보험 계약자가 자신의 손실뿐만 아니라 다른 사람으로 발생한 사이버 손실에 대해서도 보호받을 수 있도록 보장하는 편"이라고 설명했다.

그녀는 “하지만 기업은 각 산업군에 특화된 모든 위험 요소가 보장되는지 확인해야 한다. 해당 기업은 잠재적인 데이터 유출의 영향 및 결과를 분석하기 위해 저장, 보관, 수집하는 데이터가 무엇인지 파악해야 한다. 보관된 기록의 양과 민감한 특성을 알면 손실을 보장하기 위해 필요한 보장의 양을 알 수 있다”고 말했다.

EA(Eisner Amper)의 아웃소싱 IT 서비스 파트너 라훌 마나는 기업들이 당사자 및 제3자 보장의 한계를 판단하기 위해 세세한 항목을 파악해야 한다고 경고했다.

마나는 “사이버 책임 및 데이터 유출 보험은 탄탄한 보험 정책의 대체재가 아니다. 오히려 보완재에 가깝다. 사고가 발생하지 않도록 하기 위해 필요한 인력, 교육, 기술, 프로세스 대신에 보험 등 저렴한 사후 솔루션을 믿는 기업은 위험한 게임을 하고 있는 것이다”라고 말했다.

영국과 호주의 사이버 보험은 무엇인가?
영국과 호주의 상황은 조금 다르다. 영국의 보험 기업 RC HIS(RC Hodson Insurance Services)의 설립자 리차드 허드슨에 따르면, 영국에서는 기업들이 조직의 데이터 또는 시스템이 해킹, 파손, 분실, 도난당한 경우 당사자 및 제3자 비용을 보장하는 ‘사이버 보험’을 구매한다.

영국에서는 사이버 보험이 제3자 보험과 같은 사이버 책임 보험과 당사자 보험 등 2가지 부분으로 구분된다고 허드슨이 말했다. 사이버 보험은 기업들을 데이터 유출, 보안 실패, 불법적 위협, 사이버 공격의 재무적 영향으로부터 보호한다.

허드슨은 “영국에서는 조직들이 사이버 보험 증권의 두 부분을 구매하기 때문에 ‘사이버 책임 보험’과 ‘데이터 유출 보험’이라는 표현을 사용하지 않는다. 기업들은 조사 및 유출 발생 시 상황과 자체적인 손실뿐 아니라 제3자가 겪는 손실을 파악하기 위해 포렌식 인력을 영입하는 비용으로 인한 자체적인 손실을 보장하기 때문에 사이버 보험을 구매한다”라고 말했다.

허드슨은 “그래서 미국과 비교하면 영국의 사이버 보험 판매 방식은 매우 다르며, 호주도 보통 영국 모델을 따르고 있다”고 말했다.

영국의 국가사이버보안센터(National Cyber Security Centre, NCSC)는 영국뿐 아니라 미국의 기업들에게 적용되는 조언을 제공한다. NCSC는 “사이버 보험이 모든 사이버 보안 문제를 즉시 해결하지 못하며 사이버 유출/공격을 예방하지 못한다. 주택 보험이 있는 주택 소유자들이 적절한 보호 조치를 확보할 것으로 기대하는 것처럼, 조직은 중요하게 여기는 것을 보호하기 위해 조치를 마련해야 한다”고 밝혔다.
ciokr@idg.co.kr