• 알리안츠, 보고서에서 사이버 리스크가 사생활 침해나 평판 문제의 차원을 넘어 진화하고 있다고 발표
• 전 세계 사이버 보험 시장, 2025년까지 200억 달러 이상의 규모로 성장할 것으로 전망돼
• 기기와 산업들의 상호연결성이 사업 중단을 수반하는 새로운 위험 요소의 취약성과 인류 파멸 시나리오의 가능성을 더욱 촉진시키는 요인으로 작용
• 리스크의 복잡한 성격을 고려했을 때, 기업들은 다른 이해관계자들과 리스크 관리 지식을 공유함으로써 사이버 안보 문화를 구축할 필요가 있음
• 사이버 리스크로 인해 중국이 입은 손실은 600억 달러로 추정되며, 이는 아시아에서 가장 높고 전 세계적으로는 두 번째로 높은 수치임

이제 기업들은 빠르게 진화하는 사이버 리스크가 가져올 새로운 시대에 대비해야 한다. 사이버 리스크는 정보 파괴, 사생활 침해, 평판 훼손의 범위를 넘어 경영 손실, 사업 중단, 심지어 인류의 파멸까지 가져올 정도로 진화했다.

알리안츠 그룹 자회사로서 전 세계 기업 및 특수산업 분야의 보험을 제공하는 AGCS(Allianz Global Corporate & Specialty)는 최근 “사이버 리스크 대응 가이드: 강화된 상호연결성이 미치는 영향을 어떻게 관리할 것인가(A Guide to Cyber Risk: Managing The Impact of Increasing Interconnectivity)’라는 제목의 새로운 보고서를 발표했다. 이 보고서는 사이버 리스크와 전 세계적으로 부상하고 있는 심각한 위험요소들의 최근 트렌드를 다룬다. 사이버 리스크는 기업에 미치는 여러 위험요소들 중에서도 가장 중요하면서 빠르게 증가하고 있는 위험요소이다. 사이버 범죄가 세계 경제에 미치는 손실규모는 대략적으로 매년 4,450억 달러에 이르는데, 세계 10대 경제국들이 손실액의 절반을 야기하고 있다.

아시아에서 사이버 리스크로 인한 손실이 가장 큰 중국의 경우 손실액이 매년 600억원에 이르는 것으로 추산된다. 반면 2위의 인도는 40억 달러로 1위와 다소 차이가 난다. 싱가포르와 일본은 각각 12억 달러, 9억 8,000만 달러로 추정된다. 일본의 경우 전 세계 9위에 해당하지만 평균 손실액보다는 적은데, 외국 해커들이 일본어를 이해하기 어렵다는 이유로 자연적으로 손실방어가 이루어지기 때문이다.

AGCS의 CEO인 크리스 피셔 허스(Chris Fischer Hirs)는 “불과 15년 전만 해도 사이버 공격은 컴퓨터 시스템 침입을 통해 정치, 사회 운동과 관련된 안건을 추진하고자 하는 해커들이 벌이는 일이라는 생각이 일반적이었다. 하지만 사이버 범죄가 보다 상호연결적이고 세계화되고 상업적으로 변모하면서 그 빈도나 잔인함이 배가됐다”고 말했다. 그는 이어 “사이버 보험은 느슨해진 IT 보안을 대체하는 것이 아니라 사이버 관련 사건들을 완화하는 차선의 대응책의 역할을 한다. AGCS는 이러한 서비스를 원하는 사람들이 점점 늘고 있음을 확인했고 우리의 고객들이 진화하는 사이버 리스크를 보다 잘 이해하고 대응할 수 있도록 돕기로 다짐했다”고 덧붙였다.

강화된 감독규제와 새로운 사이버 위험

점점 더 많은 기업들이 사이버 위험에 노출되고 감독규제 역시 강화되면서 사이버 보험의 미래 성장세는 더욱 가속화될 것이다. AGCS는 오늘날 사이버 특수 보험에 가입하는 기업들이 전 세계 10%가 채 되지 않음을 고려했을 때 사이버 보험 시장이 연간보험료 20억 달러 규모에서 10년 후엔 200억 달러 규모로 매년 20% 이상 성장하는 시장으로 커질 것으로 전망했다.

AGCS에서 전 세계 사이버 보험시장을 담당하고 있는 나이젤 피어슨(Nigel Pearson)은 “이 시장은 정보보호규제로 사이버 위험에 관심이 집중되고 있는 미국에서는 이미 성장하고 있다. 미국 외에 전 세계 모든 나라에서도 법규제 발전과 책임 수준이 강화되면서 성장세가 가속화될 것으로 보인다. 정보침해로 인한 처벌 강화로 뒷받침된 정보보호규제 강화는 글로벌 추세”라고 말했다. 홍콩, 싱가포르, 호주는 새로운 법규 시행을 눈 앞에 두고 있거나 이미 강화했다. 유럽연합은 범유럽 정보보호규정 시행 동의를 눈 앞에 두고 있다.

기존의 사이버 리스크는 기업정보훼손이나 개인정보침해에 관한 위협에 초점이 맞춰져 있었으나 새로운 시대의 사이버 리스크는 보다 복잡해졌다. 미래의 사이버 리스크는 지적재산권 침해, 사이버 상의 공갈협박 등으로 생기기도 하고 사이버 공격, 운영상의 혹은 기술적인 실수로 인해 경영 자체가 중단돼 발생할 수도 있다. 이러한 리스크는 종종 경시되곤 한다. AGCS의 글로벌 재산 언더라이팅 팀에서 근무하고 있는 조지 파쵸브(Georgi Pachov)는 “사이버 및 기술과 관련된 경영 중단 리스크와 보험을 인식하는 사람들이 점점 증가하고 있다. 향후 5년에서 10년 안에 경영 중단은 사이버 보험 측면에서 가장 주요한 요소이자 중대 리스크가 될 것으로 본다”고 말했다. 사이버와 IT 리스크의 배경에서 보면 경영중단을 보장하는 것은 경영과 관련된 IT 컴퓨터 시스템뿐만 아니라 에너지 기업의 산업통제시스템이나 공정작업장의 로봇까지 포함할 정도로 매우 광범위하다고 볼 수 있다.

연결성이 리스크를 만든다

일상적으로 사용하는 기기들 간에 상호연결성이 증대되고 기술과 실시간 정보에 대한 개인 및 기업들의 의존도가 높아지는 ‘사물인터넷’ 현상으로 인해 리스크의 취약성이 점점 더 커지고 있다. 일각에서는 2020년쯤에는 1조 대의 기기들이 서로 연결되고 최대 500만 대의 기계들이 매일 정보를 교환할 수 있을 것으로 전망하고 있다. 오늘날 미국에서 사용하고 있는 산업통제시스템의 대다수가 사이버 보안이 중요해지기 전에 만들어졌다는 점에서 산업통제시스템은 또 다른 걱정거리이다. 산업통제시스템이 공격을 당할 경우 경영중단뿐만 아니라 화재나 폭발과 같은 물리적 손해까지 발생할 수 있기 때문이다.

재앙적 사건

큰 규모의 정보파괴 사건이 몇 차례 발생하면서 재앙적인 피해가 일어날 가능성도 점점 더 커지고 있다. 하지만 재앙이 실제로 어떤 형태로 나타날지는 예측하기 어렵다. 인터넷 핵심 인프라에 대한 공격, 중대 정보의 파괴 또는 클라우드 서비스 제공업체의 네트워크 차단 등의 시나리오들이 있는 반면, 에너지 혹은 수도, 전기, 가스와 같은 공공재 기업을 타깃으로 하는 사이버 공격은 공공재 수급 차단이나 물리적 피해, 더 나아가 향후 전 생물체의 파멸을 가져올 수도 있다.

독립 보장

알리안츠는 경영 중단의 리스크와 기존의 보장과 사이버 계약 간의 간극을 고려했을 때 사이버 보험이 보다 광범위한 범위에서 보장을 제공하는 방향으로 발전해나갈 것으로 전망하고 있다. 사이버 보험을 손해보험의 하나로 생각하지 않는 것이 점점 일반화됨에 따라 사이버 보험은 하나의 독립된 주요 보험으로 계속 진화해 나갈 것이다. 금융기관들뿐 아니라 통신망, 유통, 에너지, 공공재, 운송업 분야에서도 사이버 보험에 대한 관심이 높아지고 있다.

사이버 보험 니즈에 대응하기 위해서 보험사들은 사이버 리스크의 노출 정도와 언더라이팅에 대한 교육을 강화해야 한다. 새롭게 떠오르는 리스크들로 인해 보험사들은 보험가격 결정, 계약서 문구, 모델링, 리스크 누적과 관련된 문제들을 안고 있다.

사이버 리스크 대응

AGCS의 보고서는 사이버 리스크를 다룰 때 취할 수 있는 행동들을 강조하고 있다. 보험은 해결책의 일부일 뿐, 사이버 대응의 기본은 철저한 리스크 관리에 달려있다. 중동유럽 지역 AGCS의 사이버 & 신용 부문 전문가인 옌스 크릭한(Jens Krickhahn)은 “사이버 보험에 가입했다고 IT 보안을 신경 쓰지 않아도 되는 것이 아니다. 리스크 관리가 기술적, 운영적, 보험적 측면에서 모두 이뤄져야 한다”고 설명했다. 사이버 리스크를 관리하는 일은 한 개인이나 부서가 도맡기엔 너무 복잡하므로 AGCS는 업계의 다른 이해관계자들이 지식을 나누며 협업할 수 있는 싱크탱크(Think-Tank)식 접근을 추천하고 있다.

이러한 방법을 통해 서로 다른 견해들이 충돌하고 대안적인 시나리오가 나올 수 있다. 예를 들어 기업이 인수합병으로 인한 리스크 혹은 클라우드 기반의 서비스나 외주업체의 서비스를 활용함으로써 발생할 리스크를 고려할 때도 싱크탱크식 접근이 사용될 수 있다. 리스크에 있어서 주요 자산을 측정하거나 더 나아가서 탄탄한 위기 대응 계획을 세우는 데도 기업들 간에 긴밀하게 관여하는 일이 반드시 필요하다.