콜리션, 중소기업만을 위한 GDPR 보험 상품 최초로 출시해
[보안뉴스 문가용 기자] 사이버 보험 상품을 제공하는 업체 콜리션(Coalition)이 유럽연합의 GDPR을 제대로 지키지 못했을 때의 벌금 및 각종 비용 처리를 목적으로 하는 보험 상품을 만들었다고 발표했다.
[이미지 = iclickart]
게다가 이 보험 상품은 중소기업을 위한 것으로, 특히 유럽연합 시민들의 데이터를 취급하는 업체들을 대상으로 한다. GDPR을 위반했을 경우, 법정 변호에 드는 비용과 벌금까지도 보장해주는 상품이라 관심을 끌고 있다고 콜리션의 CEO인 조슈아 모타(Joshua Motta)는 설명한다.
콜리션이 새롭게 내놓은 상품은 가격도 천차만별로 제공된다. 1년에 50달러만 내는 상품도 있고, 10만 달러가 넘는 것도 있다. 1년에 10만 달러를 내는 상품의 경우 GDPR 위반 시 1천만 달러까지 보장을 받을 수 있다. 상한선이 100만~200만 달러인 상품의 경우 1년 4천 달러의 가격으로 제공된다.
콜리션의 GDPR 보험 상품이 기타 유사 상품과 다른 점은 “기존의 사이버 보험 상품은 데이터와 프라이버시 사고가 발생했을 때의 비용을 보장해주지만, 콜리션의 새 상품은 GDPR의 정책을 제대로 지키지 않아서 벌금을 물거나 고객과 문제가 생겼을 때의 상황도 보장해준다는 것”이다.
GDPR은 다른 데이터 유출 관련 규정들과 달리 실제 데이터 유출 사고가 발생하지 않아도 기업에 벌금을 명령할 수 있다. 작년 5월 시행되기 시작한 이후부터 유럽연합의 GDPR 규제 기관들은 여러 기업들에 “GDPR을 준수하지 않고 있다”는 것만으로도 책임을 물어왔다. 구글도 투명성과 직관성을 충분히 지키지 못했다는 이유 때문에 프랑스의 기관인 CNIL로부터 5천만 유로의 벌금형을 받았다.
역사적으로 봤을 때 데이터 유출과 관련된 보험 상품들은 그리 대단치 않았던 것이 사실이다. 왜냐하면 실제 사고가 발생했을 때에만 보험의 효력이 발동되는 것이 전부였기 때문이다. 모타는 “GDPR이 실행되기 시작한 이후부터 기업들은 데이터를 실제로 잃었든 아니든 사고가 일어난 것과 같은 불안에 떨어야 했다”고 설명한다. “이 때문에 현존하는 사이버 보험 상품들은 GDPR에 대해서는 아무런 효과를 발휘하지 못했습니다.”
증폭하는 불안감
GDPR이 등장한 이후부터 기존 사이버 보험 상품의 효력 문제는 계속해서 제기되어 왔다. 외국 잡지 내셔널 로 리뷰(National Law Review)는 “GDPR의 무시무시한 벌금을 보장할 능력이 될 보험사가 있을지 의문이다”라는 내용의 기사를 내놓기도 했다. 그 외에도 여러 연구 기관들이 GDPR 시대의 사이버 보험 상품에 대해 조사하며, “GDPR에 대비한 보험 상품이 나오기 힘들다”는 결론을 내리기도 했다.
보험 업계의 거인인 에이온(Aon)과 로펌인 DLA 파이퍼(DLA Piper)도 연구를 통해 부정적인 결론을 내렸다. 두 조직 모두 GDPR이 실행되기 이전에 연구 결과를 발표했는데, “핀란드와 노르웨이를 제외하고는 GDPR의 벌금은 보험으로 보장할 수 없다”는 내용이었다. 그렇지만 GDPR과 관련된 리스크 관리를 한다는 측면에서 보험 상품은 중요한 요소라고 주장하기도 했다.
또 다른 로펌인 프리본 앤 피터스(Freeborn & Peters)는 “GDPR에 대비한 리스크 관리 측면에서 사이버 보험의 실효는 아직 많은 의문점을 남기고 있으며, 정책이 어떤 식으로 기술되어 있는지에 따라 달라질 것으로 보인다”고 말한다. “GDPR을 포괄적으로 다루고, 벌금도 유의미하게 보장해줄 수 있다면, 그 보험 상품은 꽤나 양호한 안전 장치가 될 수 있을 겁니다.”
그러나 보험 상품들은 항상 예외 항목들을 가지고 있고, 모호하고 애매한 표현들을 담고 있다. 그렇기 때문에 “상품에 가입하려는 기업들은 늘 상품 설명을 꼼꼼하게 살펴야 한다.” 특히 ‘환급’, ‘피해’, ‘벌금’과 같은 항목을 꼼꼼하게 파악하고 이해한 후 가입해야 한다고 프리본 앤 피터스는 설명한다.
현재 미국과 유럽의 기업들 사이에서는 GDPR이 사업 운영의 또 다른 ‘리스크’ 요소 중 하나로 인식되고 있다. 따라서 여기에 대한 보험 상품의 수요가 높아지고 있다. “많은 보험사들이 GDPR 관련 상품들을 개발하는 데에 노력을 기울이고 있습니다. 하지만 그게 생각보다 쉽지만은 않은 듯 합니다.”
프리본 앤 피터스는 “또 하나 중요한 건 사이버 보험으로 모든 리스크로부터 안전할 수 없다는 사실”이라고 강조한다. “리스크 관리는 여러 겹으로 마련되어야 하고, 보험은 그 중 하나일 뿐입니다. GDPR을 준수하려는 노력과, 보안을 위한 실천 사항을 지켜내는 것도 동반되어야 합니다.”
3줄 요약
1. GDPR, 서방 기업들 사이에서는 한 가지 사업적 리스크 요인으로 인지됨.
2. 그래서 사이버 보험에 대한 수요가 높아짐. 그러나 벌금 보장 가능성에 대한 의구심이 여기 저기서 제기됨.
3. 이에 한 기업이 중소기업을 위한 GDPR 상품을 출시.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>