블랙햇에서 특별하다면 특별하다 할 수 있는 세션이 열렸다. 보험사들과 보안 전문가들이 대화할 수 있는 ‘간담회’가 마련된 것이다. 두 산업은 보기에 따라 경쟁 관계에 있다고도 볼 수 있는데, 블랙햇을 통해 협력 관계에 있어야 한다는 것이 강조됐다.
[미국 라스베이거스 = 보안뉴스 문가용 기자] 블랙햇 2023에 보안 업계와 보험 업계가 그 동안의 어색한 관계를 청산하고 새로운 협력 체계를 마련하고자 했다. 두 업계를 대변하는 전문가들이 모여 사이버 보험이 정말 필요한지, 보험사가 고객사를 평가할 때의 기준은 어떻게 마련되어야 하는지, 각 기업의 CISO들이 어떤 식으로 보험을 활용해야 하는 것인지 논한 것이다. 뿐만 아니라 두 업계가 협력하여 국가와 기업, 경제 전체를 어떤 식으로 보호해야 하는지 역시 중요한 주제로서 다뤄졌다.
▲콜리션의 캐서린 라일 [사진= DarkReading]
‘사이버 보험’이라는 상품은 오랜 시간 여러 가지 논란의 대상이었다. 특히 보상액을 어떤 식으로 계산하는지, 어떤 요소들을 계산에 집어넣어야 하는 건지, 그런 요소들을 넣는 게 맞는지 틀리는지, 계산에 더 포함시켜야 하는 요소가 있는 건 아닌지 등 여러 가지 문제에 대한 합의가 도무지 이뤄지지 않았었다. 다만 회사가 사이버 보험에 가입되어 있을 때 CISO가 사이버 보안 사고에 대한 경제적 부담을 덜 짊어질 수 있다는 점은 보험의 장점으로 꼽혀왔었다.
문제는 그 경제적 부담이라는 게 너무나 빠르게 커지고 있다는 것이다. 해킹 공격에 당했을 때 피해 복구, 사건과 관련된 조사, 다운타임, 신용도 모니터링 서비스 제공, 각종 법정 싸움 등 돈 들어가는 곳이 한두 개가 아니다. 최근 어플라이드머티리얼즈(Applied Materials)라는 기업이 랜섬웨어에 당했는데, 이 사건으로 인한 피해액이 총 2억 5천만 달러인 것으로 추산이 될 정도다. 이 때문에 보험사조차 슬슬 보상을 부담스러워하기 시작했다. 그러면서 여러 가지 까다로운 조건을 걸어 보상 책임을 덜 가져가려는 움직임이 보험사들 사이에서 일어나기 시작했고, 이는 보험 상품에 대한 회의론을 부추기고 있다.
보험 업체 콜리션(Coalition)의 손해 조사 책임자 캐서린 라일(Catherine Lyle)의 경우 “보안 사고가 발생하고 나서 문제를 신속히 바로잡는 데에 보험 상품이 큰 도움이 될 수 있다”고 주장한다. “보안 사고가 발생한 직후에는 어떤 사람이라도 현재 보안 상태에 관심을 가질 수밖에 없습니다. 다들 보험사는 고객사가 사고를 당했을 때 돈 계산만 하지 사건 자체나 고객사의 안위에 대해서는 큰 관심을 갖지 않는다고 생각하는데, 전혀 그렇지 않습니다. 고객사가 당하면 궁금하고 걱정되는 마음부터 생기는 게 당연합니다.”
그러면서 라일은 “사이버 공격자들의 영어 이해도가 높아지고 있다는 것이 요즘 눈에 띄는 현상”이라고 귀띔한다. “영어를 모국어로 하고 있지 않은 공격자들이라도 피해 기업의 재무 관련 기록을 빠르고 능숙하게 찾고 있습니다. 또한 예산 운영에 대한 중요한 결정권을 누가 가지고 있는지도 보다 정확하게 찾아내고 있지요. 보험사로서 이러한 정보를 고객사와 충분히 공유하여 사전에 취할 수 있는 조치를 취하는 것도 저희의 몫입니다.”
그런 라일이 고객사에 경고하고자 하는 내용이 하나 더 있으니, 바로 피해자 네트워크와 시스템에 공격자가 체류하는 시간이 점점 길어지고 있다는 것이다. “2022년 공격자들은 피해자 네트워크에 평균 42일 동안 머물러 있었습니다. 2021년에 비해 두 배 길어진 것이라고 할 수 있습니다. 오래 머물면서, 능숙한 영어 실력을 발휘해 온갖 정보를 가져가는 것이지요.”
사이버 보험 중개업체인 어슈어드(Assured)의 공동 창립자 에드 벤탐(Ed Ventham)은 “보험금을 청구하는 사례를 분석해 보면 ‘기업 이메일 침해(BEC)’ 공격 사건과 랜섬웨어 사건이 가장 많다”고 운을 뗐다. “이런 통계를 가지고 있는 보험사 입장에서는 고객사와 보상 관련 논의를 진행할 때 BEC 공격과 랜섬웨어 공격에 대한 대책들이 어떤 식으로 마련되어 있는지를 물을 수밖에 없습니다. 종단간 암호화 기술이 도입되어 있는지, 시스템 모니터링이 어떻게 진행되는지, 패치 관리 정책이 어떤 내용으로 구성되어 있는지 등을 묻고 알아보죠.”
라일은 벤탐이 언급하는 보험사들의 사전 조사가 보상액을 산출하는 데에도 도움이 되지만 사고를 예방하고 피해를 축소하는 데에도 유용하게 작용한다고 강조했다. “피보험사의 목적은 사고 발생 시 보상금을 받는 것이겠지만, 보험사가 중심적으로 고려하는 건 사고를 예방하는 겁니다. 돈을 직접 지불해야 하는 입장이니 그렇지 않겠습니까? 그래서 고객사에 보다 강력한 다중인증 시스템을 추천하고, 대응 훈련을 실시하도록 하는 등 피해를 최소화 하려 합니다.”
트리던그룹(Triden Group)의 전무이사 겸 CISO인 존 카루더스(John Caruthers)는 “사이버 보험 상품에 대하여 이러쿵 저러쿵 불만들이 많긴 하지만, 그래도 다들 마음 속 한 켠에는 보험의 필요성을 인정하고 있는 게 사실”이라고 말했다. 각종 사이버 사건의 피해가 어마어마해지고 있으니 보험에 관심을 가질 수밖에 없는 게 자연스러운 심리라는 것이다. “일부 산업에서는 보험 가입을 필수로 지정하고 있기도 하지요. 다만 어떤 사용자들의 경우 ‘보험 상품에 가입했으니 보안 솔루션을 설치하거나 보안 정책을 도입하지 않아도 된다’고 생각합니다. 여기서부터 보험 상품에 대한 불만이 출발할 때가 많습니다. 사용자 편에서 고쳐야 할 부분이죠.”
하지만 보험 업계 자체에도 문제가 없는 건 아니다. 카루더스는 “사이버 보험은 더 많은 연구가 필요한 분야”라고 지적하며 “의료 보험이나 자동차 보험처럼 과거 데이터가 풍족하지 않다는 애로 사항을 극복하는 게 중요하다”고 강조한다. “타 분야 보험 상품을 사용자들이 신뢰할 수 있는 건 지난 수십년 동안(혹은 더 긴 기간 동안) 데이터가 쌓여왔기 때문입니다. 그 데이터를 바탕으로 보험 상품이 정해지고 보상액이 결정되기 때문에 큰 불만을 갖지 않지요. 그런 것들이 뒷받침되지 않으니 사이버 보험 상품은 아직 100% 신뢰하기가 어려운 게 고객들의 입장입니다. 따라서 사이버 보험이 정착하려면 물리적으로 더 많은 시간이 필요합니다.”
[미국 라스베이거스=국제부 문가용 기자(globoan@boannews.com)]
[미국 라스베이거스 = 보안뉴스 문가용 기자] 블랙햇 2023에 보안 업계와 보험 업계가 그 동안의 어색한 관계를 청산하고 새로운 협력 체계를 마련하고자 했다. 두 업계를 대변하는 전문가들이 모여 사이버 보험이 정말 필요한지, 보험사가 고객사를 평가할 때의 기준은 어떻게 마련되어야 하는지, 각 기업의 CISO들이 어떤 식으로 보험을 활용해야 하는 것인지 논한 것이다. 뿐만 아니라 두 업계가 협력하여 국가와 기업, 경제 전체를 어떤 식으로 보호해야 하는지 역시 중요한 주제로서 다뤄졌다.
▲콜리션의 캐서린 라일 [사진= DarkReading]
‘사이버 보험’이라는 상품은 오랜 시간 여러 가지 논란의 대상이었다. 특히 보상액을 어떤 식으로 계산하는지, 어떤 요소들을 계산에 집어넣어야 하는 건지, 그런 요소들을 넣는 게 맞는지 틀리는지, 계산에 더 포함시켜야 하는 요소가 있는 건 아닌지 등 여러 가지 문제에 대한 합의가 도무지 이뤄지지 않았었다. 다만 회사가 사이버 보험에 가입되어 있을 때 CISO가 사이버 보안 사고에 대한 경제적 부담을 덜 짊어질 수 있다는 점은 보험의 장점으로 꼽혀왔었다.
문제는 그 경제적 부담이라는 게 너무나 빠르게 커지고 있다는 것이다. 해킹 공격에 당했을 때 피해 복구, 사건과 관련된 조사, 다운타임, 신용도 모니터링 서비스 제공, 각종 법정 싸움 등 돈 들어가는 곳이 한두 개가 아니다. 최근 어플라이드머티리얼즈(Applied Materials)라는 기업이 랜섬웨어에 당했는데, 이 사건으로 인한 피해액이 총 2억 5천만 달러인 것으로 추산이 될 정도다. 이 때문에 보험사조차 슬슬 보상을 부담스러워하기 시작했다. 그러면서 여러 가지 까다로운 조건을 걸어 보상 책임을 덜 가져가려는 움직임이 보험사들 사이에서 일어나기 시작했고, 이는 보험 상품에 대한 회의론을 부추기고 있다.
보험 업체 콜리션(Coalition)의 손해 조사 책임자 캐서린 라일(Catherine Lyle)의 경우 “보안 사고가 발생하고 나서 문제를 신속히 바로잡는 데에 보험 상품이 큰 도움이 될 수 있다”고 주장한다. “보안 사고가 발생한 직후에는 어떤 사람이라도 현재 보안 상태에 관심을 가질 수밖에 없습니다. 다들 보험사는 고객사가 사고를 당했을 때 돈 계산만 하지 사건 자체나 고객사의 안위에 대해서는 큰 관심을 갖지 않는다고 생각하는데, 전혀 그렇지 않습니다. 고객사가 당하면 궁금하고 걱정되는 마음부터 생기는 게 당연합니다.”
그러면서 라일은 “사이버 공격자들의 영어 이해도가 높아지고 있다는 것이 요즘 눈에 띄는 현상”이라고 귀띔한다. “영어를 모국어로 하고 있지 않은 공격자들이라도 피해 기업의 재무 관련 기록을 빠르고 능숙하게 찾고 있습니다. 또한 예산 운영에 대한 중요한 결정권을 누가 가지고 있는지도 보다 정확하게 찾아내고 있지요. 보험사로서 이러한 정보를 고객사와 충분히 공유하여 사전에 취할 수 있는 조치를 취하는 것도 저희의 몫입니다.”
그런 라일이 고객사에 경고하고자 하는 내용이 하나 더 있으니, 바로 피해자 네트워크와 시스템에 공격자가 체류하는 시간이 점점 길어지고 있다는 것이다. “2022년 공격자들은 피해자 네트워크에 평균 42일 동안 머물러 있었습니다. 2021년에 비해 두 배 길어진 것이라고 할 수 있습니다. 오래 머물면서, 능숙한 영어 실력을 발휘해 온갖 정보를 가져가는 것이지요.”
사이버 보험 중개업체인 어슈어드(Assured)의 공동 창립자 에드 벤탐(Ed Ventham)은 “보험금을 청구하는 사례를 분석해 보면 ‘기업 이메일 침해(BEC)’ 공격 사건과 랜섬웨어 사건이 가장 많다”고 운을 뗐다. “이런 통계를 가지고 있는 보험사 입장에서는 고객사와 보상 관련 논의를 진행할 때 BEC 공격과 랜섬웨어 공격에 대한 대책들이 어떤 식으로 마련되어 있는지를 물을 수밖에 없습니다. 종단간 암호화 기술이 도입되어 있는지, 시스템 모니터링이 어떻게 진행되는지, 패치 관리 정책이 어떤 내용으로 구성되어 있는지 등을 묻고 알아보죠.”
라일은 벤탐이 언급하는 보험사들의 사전 조사가 보상액을 산출하는 데에도 도움이 되지만 사고를 예방하고 피해를 축소하는 데에도 유용하게 작용한다고 강조했다. “피보험사의 목적은 사고 발생 시 보상금을 받는 것이겠지만, 보험사가 중심적으로 고려하는 건 사고를 예방하는 겁니다. 돈을 직접 지불해야 하는 입장이니 그렇지 않겠습니까? 그래서 고객사에 보다 강력한 다중인증 시스템을 추천하고, 대응 훈련을 실시하도록 하는 등 피해를 최소화 하려 합니다.”
트리던그룹(Triden Group)의 전무이사 겸 CISO인 존 카루더스(John Caruthers)는 “사이버 보험 상품에 대하여 이러쿵 저러쿵 불만들이 많긴 하지만, 그래도 다들 마음 속 한 켠에는 보험의 필요성을 인정하고 있는 게 사실”이라고 말했다. 각종 사이버 사건의 피해가 어마어마해지고 있으니 보험에 관심을 가질 수밖에 없는 게 자연스러운 심리라는 것이다. “일부 산업에서는 보험 가입을 필수로 지정하고 있기도 하지요. 다만 어떤 사용자들의 경우 ‘보험 상품에 가입했으니 보안 솔루션을 설치하거나 보안 정책을 도입하지 않아도 된다’고 생각합니다. 여기서부터 보험 상품에 대한 불만이 출발할 때가 많습니다. 사용자 편에서 고쳐야 할 부분이죠.”
하지만 보험 업계 자체에도 문제가 없는 건 아니다. 카루더스는 “사이버 보험은 더 많은 연구가 필요한 분야”라고 지적하며 “의료 보험이나 자동차 보험처럼 과거 데이터가 풍족하지 않다는 애로 사항을 극복하는 게 중요하다”고 강조한다. “타 분야 보험 상품을 사용자들이 신뢰할 수 있는 건 지난 수십년 동안(혹은 더 긴 기간 동안) 데이터가 쌓여왔기 때문입니다. 그 데이터를 바탕으로 보험 상품이 정해지고 보상액이 결정되기 때문에 큰 불만을 갖지 않지요. 그런 것들이 뒷받침되지 않으니 사이버 보험 상품은 아직 100% 신뢰하기가 어려운 게 고객들의 입장입니다. 따라서 사이버 보험이 정착하려면 물리적으로 더 많은 시간이 필요합니다.”
[미국 라스베이거스=국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
