.gif)
RMS, ARI 월드와이드, 런던의 로이즈 등 전통 보험사 등장
리스크의 객관적인 평가법 마련하고 제3자에 의한 보안 점검 거부감 깨야
[보안뉴스 문가용] 2016년 사이버 보험이 더 똑똑해지고, 그러므로 까다로워질 예정이다. 사이버 리스크에 대한 개념이 보다 분명해짐으로써 앞으로 고객들에 대한 보험 심사 등은 대폭 까다로워질 가능성이 높다. 사고 발생 시 사전 보안 조치에 대한 보험사의 관찰력이 매우 높아질 것이 분명한 가운데, 이는 정보보안이라는 산업 전체에는 긍정적인 영향을 미칠 것으로 보인다.
왜 이런 전망이 나오는 것일까? 먼저 지난 주, 세계에서 가장 큰 재앙 모델링 및 위험 평가 기관이라고 볼 수 있는 RMS(Risk Management Solutions)와 ARI 월드와이드에서 사이버 위험 관리 시장으로의 진출을 발표했다. 그것도 바로 다음 달부터다.
먼저는 캠브리지 대학의 리스크 연구센터와 함께 RMS와 ARI는 ‘사이버 노출 데이터 개요(Cyber Exposure Data Schema)’라는 문서를 먼저 발간할 예정으로 이 문서는 사이버 위협에 관한 사이버 정보를 공유하고, 평가하고, 수량화하고, 분야를 막론하고 사용이 가능한 공통된 언어 및 항목, 표준을 제안하는 것에 초점을 맞춘다. 여기에는 런던의 로이즈사도 참여한다.
RMS, ARI, 런던의 로이즈는 모두 전통 보험 시장에서의 강자들이다. 이들은 왜 기존의 보험 시장을 사이버 공간으로까지 확장하려는 걸까? 당연히 사업을 성장시키기 위해서다. 그런데 왜 올해에 이런 일들이 더 많이 일어나는 것일까? 무엇이 이들을 자극했을까? 먼저 이런 전통의 강자들이 스스로 ‘내 구역’이라고 생각했던 ‘위협 평가’에 있어서 사이버 공간이라는 제한이 붙긴 하지만 새로운 강자들이 출현했다. 새로운 수요가 눈에 띄었고, 이는 사업가라면 누구나 욕심이 나는 상황이었다. 지금도 이 수요는 계속해서 늘어나고 있으며, 아직도 정확한 평가 방법에 대한 표준이 마련되지도 않았다. 얼마든지 덤벼볼 만한 시장인 셈.
매출 성장 및 기술 컨설팅 조사 기업인 PWC에 따르면 사이버 보험 시장은 수년 안에 세 배로 규모가 커질 것이라고 한다. 더 구체적으로 말하자면 2020년까지 약 750억 달러 규모를 예상하고 있다. 사이버 보험 시장 내에서도 리스크 및 위협을 평가하는 데에 있어 더 똑똑해져야 한다는 자성 비슷한 소리가 계속해서 나오고 있기도 하다.
“보험사가 계속해서 현재의 정책 그대로를 고집한다면, 그건 이 블루오션을 놓치겠다고 선언하는 것이나 다름없습니다. 가격을 매기는 기준, 고객에게 사전에 요구해야 할 정책 등” PWC 사의 보험 파트너인 폴 델브리지(Paul Delbridge)의 설명이다. “게다가 변화는 빨라야 하기도 합니다. 계속 시간을 끌기만 하면 누군가 혁신의 능력이 있는 새로운 강자가 등장할 겁니다.”
현재 당사나 파트너사가 아닌 제3자가 보안을 평가하는 것에 대한 업계 내 분위기가 바뀌고 있다는 것이 진짜 중요한 관전 포인트라고 브이아머(vArmour)의 최고 보안 전략가인 마크 웨더포드(Mark Weatherford)는 설명한다. “누군가는 인터뷰처럼 조사할 수도 있고, 누군가는 내부 네트워크를 스캐닝할 수도 있습니다. 외부에서 가시성을 확보하는 네트워크 기술을 동원할 수도 있고요.”
제3자가 내 사이버 환경을 검사한다? 이는 생각보다 정서상 거부감이 심한 개념이다. 그렇기 때문에 이를 해결하기 전에는 사이버 보안 보험 시장의 성장이 그다지 빠르지 않을 것이라는 전망도 있다. 하지만 보안업계가 이런 방향으로 움직여, 그런 필요에 대한 목소리를 높이면 정책 관련자나 학계에서 대책을 마련할 것이고, “그런 노력 덕분에 아무 때, 아무 데서나 총을 쏠 수 있었던 서부시대를 지나올 수 있었다”고 웨더포드는 반박한다. 실제로 현재 미국 내에서는 연방 거래위원회라는 제3자가 기업들의 보안 환경에 대해 간섭할 수 있는 기반이 서서히 마련되고 있기도 하다.
“보험 업체들이 리스크를 평가하는 보다 확실하고 객관적이며 정확한 지표를 마련하면 할수록, 보험 정책도 바뀔 것이고 가입 고객은 보다 까다로운 정책에 따라 네트워크의 안전을 관리해야 할 것입니다. 이는 고객 한 사람 입장에서야 골치 아픈 일이지만 장기적인 안목에서는 나쁘다고 할 수 없지요. 먼저는 과정이야 어쨌든 정확한 평가 방법이 등장한다는 것도 긍정적인 것이고, 그로 인해 보다 더 안전하게 네트워크를 관리하는 방법이 문화처럼 보편화될 것이라는 것도 긍정적이니까요.”
또한 거의 대부분의 보험 상품들이 그렇듯, 사이버 보안에 대한 보험 상품도 계약을 정식으로 하기 전에 보험사의 심사가 있을 예정이다. 이 과정에서 생각지도 못했던 문제들이 발견될 수도 있고 더 나은 해결책이 등장할 수도 있다. 또한 보안에 대해 잘 몰랐던 걸 보험 상품 하나 사들이면서 배울 수도 있게 된다.
웨더포드는 “보험 업계가 앞으로 고객의 리스크를 평가하는 데에 역동성과 실시간이 키워드가 될 것”이라고 예측한다. 또한 “일반 기업들도 앞으로 사이버 보안에 관심을 가질 것이고, 사이버 보안에 대한 보험 상품을 계약한다는 건 곧바로 사이버 보안에 대한 기본을 마련하겠다는 뜻이 될 것”이라는 예측도 잇는다.
하지만 업계 내에서는 제3자가 보안에 간섭한다는 건, 어떤 식으로 악용될 지도 모르기 때문에 신중하게 접근해야 한다는 목소리도 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
리스크의 객관적인 평가법 마련하고 제3자에 의한 보안 점검 거부감 깨야
[보안뉴스 문가용] 2016년 사이버 보험이 더 똑똑해지고, 그러므로 까다로워질 예정이다. 사이버 리스크에 대한 개념이 보다 분명해짐으로써 앞으로 고객들에 대한 보험 심사 등은 대폭 까다로워질 가능성이 높다. 사고 발생 시 사전 보안 조치에 대한 보험사의 관찰력이 매우 높아질 것이 분명한 가운데, 이는 정보보안이라는 산업 전체에는 긍정적인 영향을 미칠 것으로 보인다.
왜 이런 전망이 나오는 것일까? 먼저 지난 주, 세계에서 가장 큰 재앙 모델링 및 위험 평가 기관이라고 볼 수 있는 RMS(Risk Management Solutions)와 ARI 월드와이드에서 사이버 위험 관리 시장으로의 진출을 발표했다. 그것도 바로 다음 달부터다.
먼저는 캠브리지 대학의 리스크 연구센터와 함께 RMS와 ARI는 ‘사이버 노출 데이터 개요(Cyber Exposure Data Schema)’라는 문서를 먼저 발간할 예정으로 이 문서는 사이버 위협에 관한 사이버 정보를 공유하고, 평가하고, 수량화하고, 분야를 막론하고 사용이 가능한 공통된 언어 및 항목, 표준을 제안하는 것에 초점을 맞춘다. 여기에는 런던의 로이즈사도 참여한다.
RMS, ARI, 런던의 로이즈는 모두 전통 보험 시장에서의 강자들이다. 이들은 왜 기존의 보험 시장을 사이버 공간으로까지 확장하려는 걸까? 당연히 사업을 성장시키기 위해서다. 그런데 왜 올해에 이런 일들이 더 많이 일어나는 것일까? 무엇이 이들을 자극했을까? 먼저 이런 전통의 강자들이 스스로 ‘내 구역’이라고 생각했던 ‘위협 평가’에 있어서 사이버 공간이라는 제한이 붙긴 하지만 새로운 강자들이 출현했다. 새로운 수요가 눈에 띄었고, 이는 사업가라면 누구나 욕심이 나는 상황이었다. 지금도 이 수요는 계속해서 늘어나고 있으며, 아직도 정확한 평가 방법에 대한 표준이 마련되지도 않았다. 얼마든지 덤벼볼 만한 시장인 셈.
매출 성장 및 기술 컨설팅 조사 기업인 PWC에 따르면 사이버 보험 시장은 수년 안에 세 배로 규모가 커질 것이라고 한다. 더 구체적으로 말하자면 2020년까지 약 750억 달러 규모를 예상하고 있다. 사이버 보험 시장 내에서도 리스크 및 위협을 평가하는 데에 있어 더 똑똑해져야 한다는 자성 비슷한 소리가 계속해서 나오고 있기도 하다.
“보험사가 계속해서 현재의 정책 그대로를 고집한다면, 그건 이 블루오션을 놓치겠다고 선언하는 것이나 다름없습니다. 가격을 매기는 기준, 고객에게 사전에 요구해야 할 정책 등” PWC 사의 보험 파트너인 폴 델브리지(Paul Delbridge)의 설명이다. “게다가 변화는 빨라야 하기도 합니다. 계속 시간을 끌기만 하면 누군가 혁신의 능력이 있는 새로운 강자가 등장할 겁니다.”
현재 당사나 파트너사가 아닌 제3자가 보안을 평가하는 것에 대한 업계 내 분위기가 바뀌고 있다는 것이 진짜 중요한 관전 포인트라고 브이아머(vArmour)의 최고 보안 전략가인 마크 웨더포드(Mark Weatherford)는 설명한다. “누군가는 인터뷰처럼 조사할 수도 있고, 누군가는 내부 네트워크를 스캐닝할 수도 있습니다. 외부에서 가시성을 확보하는 네트워크 기술을 동원할 수도 있고요.”
제3자가 내 사이버 환경을 검사한다? 이는 생각보다 정서상 거부감이 심한 개념이다. 그렇기 때문에 이를 해결하기 전에는 사이버 보안 보험 시장의 성장이 그다지 빠르지 않을 것이라는 전망도 있다. 하지만 보안업계가 이런 방향으로 움직여, 그런 필요에 대한 목소리를 높이면 정책 관련자나 학계에서 대책을 마련할 것이고, “그런 노력 덕분에 아무 때, 아무 데서나 총을 쏠 수 있었던 서부시대를 지나올 수 있었다”고 웨더포드는 반박한다. 실제로 현재 미국 내에서는 연방 거래위원회라는 제3자가 기업들의 보안 환경에 대해 간섭할 수 있는 기반이 서서히 마련되고 있기도 하다.
“보험 업체들이 리스크를 평가하는 보다 확실하고 객관적이며 정확한 지표를 마련하면 할수록, 보험 정책도 바뀔 것이고 가입 고객은 보다 까다로운 정책에 따라 네트워크의 안전을 관리해야 할 것입니다. 이는 고객 한 사람 입장에서야 골치 아픈 일이지만 장기적인 안목에서는 나쁘다고 할 수 없지요. 먼저는 과정이야 어쨌든 정확한 평가 방법이 등장한다는 것도 긍정적인 것이고, 그로 인해 보다 더 안전하게 네트워크를 관리하는 방법이 문화처럼 보편화될 것이라는 것도 긍정적이니까요.”
또한 거의 대부분의 보험 상품들이 그렇듯, 사이버 보안에 대한 보험 상품도 계약을 정식으로 하기 전에 보험사의 심사가 있을 예정이다. 이 과정에서 생각지도 못했던 문제들이 발견될 수도 있고 더 나은 해결책이 등장할 수도 있다. 또한 보안에 대해 잘 몰랐던 걸 보험 상품 하나 사들이면서 배울 수도 있게 된다.
웨더포드는 “보험 업계가 앞으로 고객의 리스크를 평가하는 데에 역동성과 실시간이 키워드가 될 것”이라고 예측한다. 또한 “일반 기업들도 앞으로 사이버 보안에 관심을 가질 것이고, 사이버 보안에 대한 보험 상품을 계약한다는 건 곧바로 사이버 보안에 대한 기본을 마련하겠다는 뜻이 될 것”이라는 예측도 잇는다.
하지만 업계 내에서는 제3자가 보안에 간섭한다는 건, 어떤 식으로 악용될 지도 모르기 때문에 신중하게 접근해야 한다는 목소리도 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
