표준 데이터 확립... 국내 침해사고 총합 낼 수 있어야
가입 의무대상은 정보보호시스템 평가 대상서 조정될 듯
침해사고 비식별화하고, 보안 이벤트 경제적 가치 환산
[보안뉴스 오다인 기자] 사이버보험은 올해 분기점을 맞았다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)이 지난달 개정되면서 사이버보험 가입(또는 공제 가입, 준비금 적립)이 의무화됐기 때문이다. 정보통신망법 시행령 제정 과정에서 사이버보험 시장의 성패를 가르고, 국내 정보보호 수준을 가늠할 핵심 요소가 결정된다. 침해사고 데이터의 체계적인 수집이 바로 그것이다.
[이미지=iclickart]
보험 상품의 개발은 데이터 수집에서부터 시작한다. 김태성 충북대학교 경영정보학과 교수(보안경제연구소장)는 “합리적인 의사결정을 내리려면 우선 데이터를 정의하고 수집하는 것이 기본”이라고 강조한다. 사이버보험도 마찬가지라는 것. 김 교수는 ‘사이버보험의 위험관리 요구사항’, ‘사이버보험을 활용한 정보보호 위험관리’ 등의 논문을 발표하면서 사이버보험 연구에 천착해오고 있다.
“막연하면 투자할 수 없어요. 필요한 노력이 뭔지 알아야 합니다.” 김태성 교수는 “정부부처별 또는 기업별로 어떤 데이터가 몇 건인지 파악할 수 있어야 하고, 이에 우리나라에서 발생한 사이버 사건·사고의 총합을 낼 수 있어야 한다”고 말한다. 사이버보험 가입을 경제적으로 합리화할 수 있는 논리부터 마련해야 추후 가입 의무대상이 될 사업자들이 거부감 없이 받아들일 것이라는 설명이다.
아직 정보통신망법 시행령이 나오기 전이므로 사이버보험 가입 의무대상 사업자의 범위는 확정되지 않았다. 그러나 정보통신기반시설 사업자나 ISMS 인증 의무대상 등 국가정보원 및 과학기술정보통신부(이하 과기정통부) 관할의 주요 정보보호시스템 평가 대상들에서 크게 벗어나지 않을 것으로 보인다. 김태성 교수는 “이들 사업자를 대상으로 규제를 얼마나 ‘타이트(tight, 엄격)’하게 가져갈 것이냐의 문제가 될 것”이라고 예측했다.
사이버보험 가입 의무대상은 한국인터넷진흥원이 추천하면 과기정통부가 승인하고, 정보통신망법 일부개정법률 발효 시점인 내년 6월 이전에 시행령에서 구체화될 전망이다. 현재 금융위원회와 보험개발원은 이런 과정을 따라가며 사이버보험 요율을 산출하고 있다. 금융위원회는 침해사고 데이터 부족을 비롯, 국내 손해보험산업의 보험료 산출역량 부족을 감안해 보험개발원을 통해 요율 산출을 추진 중에 있다.
보안 이벤트의 경제적 가치 환산이 전제돼야
김태성 교수는 사이버보험 개발의 필요 데이터를 체계적으로 수집하는 일이 정보보호 분야뿐만 아니라 다른 규제와 정책에도 근거가 될 수 있다고 짚었다. 지금까지 국내 데이터 부족으로 주로 외국의 통계나 자료를 근거로 사용했다면, 사이버보험 데이터수집체계를 확립해 나가는 경험을 통해 국내 사정에 최적화된 데이터수집체계를 마련할 수 있다는 것이다. 그는 “당장 올해 안에 못 끝내더라도, 객관적인 근거에 의한 합리적인 논의가 가능하도록 만들 매우 중요한 단계”라고 밝혔다.
데이터수집체계를 확립하려면 우선 수집할 데이터를 정의한 뒤 표준화 과정을 거쳐야 한다. 최종적인 표준 데이터를 만들기 위해선 표준 양식이 있어야 한다. 부처별로 침해사고 신고 양식이 다르면 수집되는 데이터가 다르게 되고, 이에 전체적인 데이터를 구축하는 것이 어렵게 된다. 사이버보험의 투자수익률(ROI)을 산출하는 데 체계적인 데이터 수집이 근간이 되는 이유다.
같은 맥락에서, 침해사고를 비식별화하는 일도 중요하다. 김태성 교수는 “침해사고에 당하면 쉬쉬하려는 분위기가 너무 강해서 데이터 축적도 잘 안 되고 있다”며 “적절한 통제 하에 침해사고 데이터를 수집·식별화하고 필요시 이용할 수 있도록 해야 한다”고 말했다. 부처·기업들을 대상으로 침해사고 신고에 대한 ‘인센티브 메커니즘’을 바꿔줘야 한다고 그는 덧붙였다.
“정책 결정은 합리적이어야 합니다. 사람들이 비합리적인 결정을 내리는 경우를 자주 볼 수 있지만, 이건 개인의 문제가 아니니까요. ‘중요하다’고 말하면서 투자는 안 한다면, 그건 진짜 중요한 게 아닙니다. 사이버보험에 투자할 수 있게 하려면 표준 데이터수집체계부터 확립하고, 이후 객관적인 근거에 따라 의사결정을 내릴 수 있도록 해야 합니다.”
김 교수가 재차 강조하는 ‘객관성’은 보안 이벤트의 경제적 가치 환산과 맞물린다. 피해·손해와 개연성이 있는 보안 이벤트들의 경제적 가치를 측정할 수 있어야 사이버보험 요율의 합리적인 산출과 보안에 대한 투자도 가능하기 때문이다. 사이버보험에 가입할 것인지, 공제에 가입할 것인지, 준비금을 적립할 것인지 결정하는 일도 이같은 가치 환산이 전제되지 않으면 어려울 것이라는 분석이다.
사이버보험 가입 의무화, 장단점 있어
김태성 교수는 사이버보험 가입 의무화 움직임에 많은 이가 공감했다면서도 “의무화에는 양면성이 있다”고 지적했다. 사이버보험의 필요성에 대한 인식이 높아져 왔지만, 의무화를 통해 보험가액을 지정하게 되면 기업들의 자발적인 노력을 저해할 위험도 있다는 것. 예컨대, 보험가액을 ‘100억 원 이상’이라고 지정할 경우 기업들은 최저선인 100억 원에 맞춰 가입할 것으로 예측된다.
이는 사이버보험 시장의 수요를 왜곡하는 일이 될 수 있다. 수요에 따라 가격이 정해지지 않고 강제적으로 지정되면, 위험관리 및 위험분석에 대한 기업들의 고민과 창의성이 줄어들 수밖에 없다. 김 교수는 “요율 산출 역량이 없을 때는 의무화가 도움이 되지만 장기적으로는 도움이 안 된다”면서 “의무화가 장기간 지속되면 새로운 위협에 대응하기도 어려워진다”고 말했다.
합리적인 보험가액에 대해 김 교수는 ‘고객이 받은 피해를 충분히 보상하는 범위’라고 설명했다. “의무화하면 기업들 입장에선 ‘정부가 정해주는 것만 하겠다’, ‘정부 가이드라인만 따르겠다’는 수준에서 그치게 됩니다. 기업마다 직면한 위협과 상황이 다른데도요. 의무화를 통해 사이버에 대한 종합보험이 생기는 시기에 진입한 만큼, 이제부터는 ‘보안 투자 포트폴리오’를 함께 고려해야 할 때입니다.”
[오다인 기자(boan2@boannews.com)]
가입 의무대상은 정보보호시스템 평가 대상서 조정될 듯
침해사고 비식별화하고, 보안 이벤트 경제적 가치 환산
[보안뉴스 오다인 기자] 사이버보험은 올해 분기점을 맞았다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)이 지난달 개정되면서 사이버보험 가입(또는 공제 가입, 준비금 적립)이 의무화됐기 때문이다. 정보통신망법 시행령 제정 과정에서 사이버보험 시장의 성패를 가르고, 국내 정보보호 수준을 가늠할 핵심 요소가 결정된다. 침해사고 데이터의 체계적인 수집이 바로 그것이다.
[이미지=iclickart]
보험 상품의 개발은 데이터 수집에서부터 시작한다. 김태성 충북대학교 경영정보학과 교수(보안경제연구소장)는 “합리적인 의사결정을 내리려면 우선 데이터를 정의하고 수집하는 것이 기본”이라고 강조한다. 사이버보험도 마찬가지라는 것. 김 교수는 ‘사이버보험의 위험관리 요구사항’, ‘사이버보험을 활용한 정보보호 위험관리’ 등의 논문을 발표하면서 사이버보험 연구에 천착해오고 있다.
“막연하면 투자할 수 없어요. 필요한 노력이 뭔지 알아야 합니다.” 김태성 교수는 “정부부처별 또는 기업별로 어떤 데이터가 몇 건인지 파악할 수 있어야 하고, 이에 우리나라에서 발생한 사이버 사건·사고의 총합을 낼 수 있어야 한다”고 말한다. 사이버보험 가입을 경제적으로 합리화할 수 있는 논리부터 마련해야 추후 가입 의무대상이 될 사업자들이 거부감 없이 받아들일 것이라는 설명이다.
아직 정보통신망법 시행령이 나오기 전이므로 사이버보험 가입 의무대상 사업자의 범위는 확정되지 않았다. 그러나 정보통신기반시설 사업자나 ISMS 인증 의무대상 등 국가정보원 및 과학기술정보통신부(이하 과기정통부) 관할의 주요 정보보호시스템 평가 대상들에서 크게 벗어나지 않을 것으로 보인다. 김태성 교수는 “이들 사업자를 대상으로 규제를 얼마나 ‘타이트(tight, 엄격)’하게 가져갈 것이냐의 문제가 될 것”이라고 예측했다.
사이버보험 가입 의무대상은 한국인터넷진흥원이 추천하면 과기정통부가 승인하고, 정보통신망법 일부개정법률 발효 시점인 내년 6월 이전에 시행령에서 구체화될 전망이다. 현재 금융위원회와 보험개발원은 이런 과정을 따라가며 사이버보험 요율을 산출하고 있다. 금융위원회는 침해사고 데이터 부족을 비롯, 국내 손해보험산업의 보험료 산출역량 부족을 감안해 보험개발원을 통해 요율 산출을 추진 중에 있다.
보안 이벤트의 경제적 가치 환산이 전제돼야
김태성 교수는 사이버보험 개발의 필요 데이터를 체계적으로 수집하는 일이 정보보호 분야뿐만 아니라 다른 규제와 정책에도 근거가 될 수 있다고 짚었다. 지금까지 국내 데이터 부족으로 주로 외국의 통계나 자료를 근거로 사용했다면, 사이버보험 데이터수집체계를 확립해 나가는 경험을 통해 국내 사정에 최적화된 데이터수집체계를 마련할 수 있다는 것이다. 그는 “당장 올해 안에 못 끝내더라도, 객관적인 근거에 의한 합리적인 논의가 가능하도록 만들 매우 중요한 단계”라고 밝혔다.
데이터수집체계를 확립하려면 우선 수집할 데이터를 정의한 뒤 표준화 과정을 거쳐야 한다. 최종적인 표준 데이터를 만들기 위해선 표준 양식이 있어야 한다. 부처별로 침해사고 신고 양식이 다르면 수집되는 데이터가 다르게 되고, 이에 전체적인 데이터를 구축하는 것이 어렵게 된다. 사이버보험의 투자수익률(ROI)을 산출하는 데 체계적인 데이터 수집이 근간이 되는 이유다.
같은 맥락에서, 침해사고를 비식별화하는 일도 중요하다. 김태성 교수는 “침해사고에 당하면 쉬쉬하려는 분위기가 너무 강해서 데이터 축적도 잘 안 되고 있다”며 “적절한 통제 하에 침해사고 데이터를 수집·식별화하고 필요시 이용할 수 있도록 해야 한다”고 말했다. 부처·기업들을 대상으로 침해사고 신고에 대한 ‘인센티브 메커니즘’을 바꿔줘야 한다고 그는 덧붙였다.
“정책 결정은 합리적이어야 합니다. 사람들이 비합리적인 결정을 내리는 경우를 자주 볼 수 있지만, 이건 개인의 문제가 아니니까요. ‘중요하다’고 말하면서 투자는 안 한다면, 그건 진짜 중요한 게 아닙니다. 사이버보험에 투자할 수 있게 하려면 표준 데이터수집체계부터 확립하고, 이후 객관적인 근거에 따라 의사결정을 내릴 수 있도록 해야 합니다.”
김 교수가 재차 강조하는 ‘객관성’은 보안 이벤트의 경제적 가치 환산과 맞물린다. 피해·손해와 개연성이 있는 보안 이벤트들의 경제적 가치를 측정할 수 있어야 사이버보험 요율의 합리적인 산출과 보안에 대한 투자도 가능하기 때문이다. 사이버보험에 가입할 것인지, 공제에 가입할 것인지, 준비금을 적립할 것인지 결정하는 일도 이같은 가치 환산이 전제되지 않으면 어려울 것이라는 분석이다.
사이버보험 가입 의무화, 장단점 있어
김태성 교수는 사이버보험 가입 의무화 움직임에 많은 이가 공감했다면서도 “의무화에는 양면성이 있다”고 지적했다. 사이버보험의 필요성에 대한 인식이 높아져 왔지만, 의무화를 통해 보험가액을 지정하게 되면 기업들의 자발적인 노력을 저해할 위험도 있다는 것. 예컨대, 보험가액을 ‘100억 원 이상’이라고 지정할 경우 기업들은 최저선인 100억 원에 맞춰 가입할 것으로 예측된다.
이는 사이버보험 시장의 수요를 왜곡하는 일이 될 수 있다. 수요에 따라 가격이 정해지지 않고 강제적으로 지정되면, 위험관리 및 위험분석에 대한 기업들의 고민과 창의성이 줄어들 수밖에 없다. 김 교수는 “요율 산출 역량이 없을 때는 의무화가 도움이 되지만 장기적으로는 도움이 안 된다”면서 “의무화가 장기간 지속되면 새로운 위협에 대응하기도 어려워진다”고 말했다.
합리적인 보험가액에 대해 김 교수는 ‘고객이 받은 피해를 충분히 보상하는 범위’라고 설명했다. “의무화하면 기업들 입장에선 ‘정부가 정해주는 것만 하겠다’, ‘정부 가이드라인만 따르겠다’는 수준에서 그치게 됩니다. 기업마다 직면한 위협과 상황이 다른데도요. 의무화를 통해 사이버에 대한 종합보험이 생기는 시기에 진입한 만큼, 이제부터는 ‘보안 투자 포트폴리오’를 함께 고려해야 할 때입니다.”
[오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
