보험 상품들, 현재는 아무런 기준 없어 회사마다 제각각
정책 꼼꼼히 읽고, 제시된 내용 두세 번 확인하고...예외 규정이 핵심
[보안뉴스 문가용 기자] 이제는 누구나 사이버 보안과 관련된 안 좋은 소식들을 한두 개 정도 들어서 알고 있는 듯하다. 이를 테면, 거대한 보안 사고가 발생했는데, 믿고 있던 사이버 보험사는 보장을 못해준다고 주장해 소송전이 벌어지는 사례 같은 것들 말이다. 이는 결국에 가서는 ‘사이버 위험’이라는 것을 보험사와 피보험사가 제대로 이해하지 못해 발생하는 일이다. 사이버 보험 정책을 꽤나 많이 검토했던 변호사로서, 필자가 사이버 보험을 검토하는 기업들에게 몇 가지 팁을 제공하고자 한다.
[이미지 = iclickart]
사이버 보험에 가입되어 있는지 잘 모르겠다면, 아마 가입되어 있지 않을 것이다
사이버 보안 사고는 일반적인 보험 상품과 묶이지 않는다. 거의 대부분의 사이버 보험 상품들은 독자적으로 운영된다. 문제는 이 사이버 보험 상품 세계에 기준이라는 것이 딱히 없고, 회사마다 ‘알아서’ 독자적으로 만들고 있다는 것이다. 그래서 기존 보험 회사들이 제공하는 전통의 상품들은 다 거기서 거기로 보이지만, 사이버 보험 상품은 그렇지 않다. 그러므로 사이버 보험 상품만큼은 ‘대충 비싼 돈 주고 고급 상품 사다 쓰면 된다’가 통하지 않는다. 반드시 피보험자의 꼼꼼한 확인과 조사가 필요하다.
요약한 것만 찾지 말고, 정책 내용을 처음부터 끝까지 읽어야 한다
앞서 말했지만 현재 사이버 보험 상품들의 가장 큰 특징은 회사마다, 상품마다 큰 차이를 보인다는 것이다. 어디 이름도 모르는 블로거나 유튜버의 보험 가입 팁 같은 게 보편적으로 적용될 수 없는 분야라는 것이다. 그러니 모든 것이 ‘케이스 바이 케이스’이고, 따라서 피보험자 스스로가 정책 내용을 적극적으로 이해하려고 애써야 한다. 당연한 거 아니냐고 하는 사람들이 있을 텐데, 변호사 생활을 하면서 정책을 꼼꼼히 읽는 피보험자를 만나본 건 손에 꼽을 정도로 적다. 99%가 보험 정책의 요약본만 읽고 잊어버린다.
왜 정책 내용을 처음부터 끝까지 꼼꼼히 읽는 게 중요할까? 모든 보험 상품 내용에는 반드시 법적으로 정의가 된 용어들이 포함되어 있으며, 이 용어들이 정책의 실질적인 성격을 정의한다. 만약 보험사와 피보험사 간에 ‘해당 사건은 보장 받을 수 있다, 없다’ 여부를 놓고 다툼이 벌어졌다면, 법원은 바로 이 법적 용어들부터 참고하게 된다. 그리고 이 용어들은 여러 가지 이유로 상품 가입 시점에 소개되지 않는다. 소개되지 않았다고 해서 그 책임을 보험사가 지게 되는 사례는 극히 드물다. 보험 상품은 보험사와 피보험사 간의 ‘계약서’다. 모든 계약 위반 사건이 다 그렇듯, 법원이 찾는 건 양자가 한 약속의 내용이 법적 용어로 설명되어 있는 부분이다. 지금 읽어두는 편이 도움이 되는 건 자명한 일이다. 당신과 싸워야 할지도 모르는 보험사는 이미 다 알고 있는 내용이다.
또한 개인적인 경험 상 ‘요약본’에는 소셜 엔지니어링 공격은 보상 대상이 되지 않는다는 내용이 포함되지 않은 경우가 많았다. 소셜 엔지니어링 공격 중 대표적인 건 피싱인데, 보험사에 따라서는 랜섬웨어 공격도 소셜 엔지니어링의 일부로 보고 있기도 하다. 게다가 거의 모든 사이버 공격은 피싱으로부터 시작한다. 요약본은 믿을 게 되지 못한다.
중요한 게 하나 더 있다. 보험 정책을 CISO 등 사이버 보안 책임자들도 읽고 검토하도록 해야 한다는 것이다. 왜냐하면 보험 정책에는 법적 용어만이 아니라 기술적 용어도 적잖이 포함되어 있기 때문이다. 최근 필자는 어떤 보험 정책 내용 중에 “기술적으로 잘못된 행동”이라거나 “프라이버시와 보안의 측면에서 잘못된 행위”가 언급된 것을 보았다 그 항목 밑으로는 상세한 기술적 설명들이 이어졌으나, 대부분의 경영진은 모호하게 작성된 제목만 대충 훑고 넘어간다. 게다가 상세한 기술 설명이라는 것도, 아무래도 보안을 전문으로 하지 않는 보험사가 작성한 것이다 보니 완전하지 않았다. 보안을 전문으로 하는 사람이 시간을 들여 정책을 살피는 것은 당연한 일이다.
예외 조항이 사실은 핵심일 때가 많다
‘사이버 위험’을 ‘금전적 손해’로 전환하는 건 대단히 어려운 일이다. 완전히 잘 되는 것도 아니다. 그래서 이 전환의 과정 중에 필연적으로 특정 유형의 공격들은 보장 내용에서 빠지게 된다. 보험사마다 빼는 것도 다양한데, 요즘에는 주로 피싱 공격, 랜섬웨어 공격, 사업 이메일 침해 공격(BEC)이 예외 규정에 포함된다. 그러니 지금 시점에서는 ‘보장이 되는 항목’만큼 ‘예외 규정’을 살피는 게 중요한 일이다.
최근 들어 보험사들이 상품 내용의 요약본과 함께 총 보장 금액을 제시하는 경우가 많아졌다. 총 500만 달러가 보장된다는 내용의 그래프가 떡 하니 자리 잡고 있는 문서가 피보험자에게 제출되는 것이다. 하지만 여기에는 2차 한도나 예외 항목과 같은 개념이 그려져 있지 않은 경우가 대부분이다. 필자가 본 한 설명서의 경우, “소셜 엔지니어링의 2차 제한 금액은 10만 달러다”라는 내용이 66 페이지짜리 문건의 54 페이지에 자그맣게 적혀 있었다. 요약본에는 그나마도 없었다.
사이버 보험에 가입하고 싶다면, “예외 규정이 어딘가에 숨어있다”는 것을 반드시 기억해야 한다. 예외 규정을 따로 항목화 해서 마련하고 있지 않을지도 모른다. 그런 계약서는 곳곳에 예외 내용들을 숨겨 놓는다. 주의가 필요하다. 또한 피보험자는 사업 진행 사안을 제대로 이해하고 어떤 부분이 반드시 보장되어야 하며, 어떤 부분은 없어도 되는지를 파악하고 있어야 한다. 그래야 제시된 상품을 가지고 보다 ‘맞춤형’으로 타협할 수 있게 된다. 가장 확실한 건 사이버 보험을 전문으로 하는 변호사나 법 전문가를 선임하는 것이다.
협상은 사고가 터지기 전에 하는 것이다
누구나 좋은 조건에 보험 상품을 구매하길 원한다. 보험사들도 이를 잘 알고 있다. 즉, 고객이 협상을 하려 든다는 걸 예상하고 있다는 것이다. 그러니 주는 대로 그냥 받지 말고, 최대한 협상을 진행해야 한다. 딱 맞는 보험 상품은 존재하지 않으며, 따라서 양측이 맞춰가야 하는 것이다.
예를 들어 만약 회사와 친한 포렌식 팀이 있다면, 보험사에 해당 팀이나 업체를 계약 내용 중에 포함시키는 것을 제안해보라. 보험사들은 종종 ‘패널’이라고 하는 자문 위원이나 포렌식 전문가를 두고 일하길 좋아한다. 이들을 통해 사고와 피해를 평가하는 것이다. 문제는 일부 보험 업자들이 ‘자문 위원’이라고 명시해놓은 업체들은 그저 이름만 유명한 곳이고, 실제 해당 보험사와는 일면식도 없는 경우가 많다는 것이다. 따라서 실제 사건이 터지면 이 유명한 회사들에는 연락이 가지 않는다. 심지어 동네 한 구석에 있는 자그마한 컴퓨터 수리소와 협조하는 곳도 있다.
그러니 보험 관련 정책에 ‘내가 잘 아는 업체’ 혹은 ‘신뢰할 만한 업체’를 지정하는 것도 나쁘지 않은 협상 방법이다. 또한 보험사가 지정해둔 자문 업체가 있다면 직접 연락을 해서 해당 보험사와의 관계를 물어보는 것도 좋은 방법이다. 현재로서 사이버 보험 가입 시 기억해야 할 키워드는 딱 하나다. 바로 ‘꼼꼼함.’
글 : 베스 버긴 월러(Beth Burgin Waller), Woods Rogers PLC
[국제부 문가용 기자(globoan@boannews.com)]
정책 꼼꼼히 읽고, 제시된 내용 두세 번 확인하고...예외 규정이 핵심
[보안뉴스 문가용 기자] 이제는 누구나 사이버 보안과 관련된 안 좋은 소식들을 한두 개 정도 들어서 알고 있는 듯하다. 이를 테면, 거대한 보안 사고가 발생했는데, 믿고 있던 사이버 보험사는 보장을 못해준다고 주장해 소송전이 벌어지는 사례 같은 것들 말이다. 이는 결국에 가서는 ‘사이버 위험’이라는 것을 보험사와 피보험사가 제대로 이해하지 못해 발생하는 일이다. 사이버 보험 정책을 꽤나 많이 검토했던 변호사로서, 필자가 사이버 보험을 검토하는 기업들에게 몇 가지 팁을 제공하고자 한다.
[이미지 = iclickart]
사이버 보험에 가입되어 있는지 잘 모르겠다면, 아마 가입되어 있지 않을 것이다
사이버 보안 사고는 일반적인 보험 상품과 묶이지 않는다. 거의 대부분의 사이버 보험 상품들은 독자적으로 운영된다. 문제는 이 사이버 보험 상품 세계에 기준이라는 것이 딱히 없고, 회사마다 ‘알아서’ 독자적으로 만들고 있다는 것이다. 그래서 기존 보험 회사들이 제공하는 전통의 상품들은 다 거기서 거기로 보이지만, 사이버 보험 상품은 그렇지 않다. 그러므로 사이버 보험 상품만큼은 ‘대충 비싼 돈 주고 고급 상품 사다 쓰면 된다’가 통하지 않는다. 반드시 피보험자의 꼼꼼한 확인과 조사가 필요하다.
요약한 것만 찾지 말고, 정책 내용을 처음부터 끝까지 읽어야 한다
앞서 말했지만 현재 사이버 보험 상품들의 가장 큰 특징은 회사마다, 상품마다 큰 차이를 보인다는 것이다. 어디 이름도 모르는 블로거나 유튜버의 보험 가입 팁 같은 게 보편적으로 적용될 수 없는 분야라는 것이다. 그러니 모든 것이 ‘케이스 바이 케이스’이고, 따라서 피보험자 스스로가 정책 내용을 적극적으로 이해하려고 애써야 한다. 당연한 거 아니냐고 하는 사람들이 있을 텐데, 변호사 생활을 하면서 정책을 꼼꼼히 읽는 피보험자를 만나본 건 손에 꼽을 정도로 적다. 99%가 보험 정책의 요약본만 읽고 잊어버린다.
왜 정책 내용을 처음부터 끝까지 꼼꼼히 읽는 게 중요할까? 모든 보험 상품 내용에는 반드시 법적으로 정의가 된 용어들이 포함되어 있으며, 이 용어들이 정책의 실질적인 성격을 정의한다. 만약 보험사와 피보험사 간에 ‘해당 사건은 보장 받을 수 있다, 없다’ 여부를 놓고 다툼이 벌어졌다면, 법원은 바로 이 법적 용어들부터 참고하게 된다. 그리고 이 용어들은 여러 가지 이유로 상품 가입 시점에 소개되지 않는다. 소개되지 않았다고 해서 그 책임을 보험사가 지게 되는 사례는 극히 드물다. 보험 상품은 보험사와 피보험사 간의 ‘계약서’다. 모든 계약 위반 사건이 다 그렇듯, 법원이 찾는 건 양자가 한 약속의 내용이 법적 용어로 설명되어 있는 부분이다. 지금 읽어두는 편이 도움이 되는 건 자명한 일이다. 당신과 싸워야 할지도 모르는 보험사는 이미 다 알고 있는 내용이다.
또한 개인적인 경험 상 ‘요약본’에는 소셜 엔지니어링 공격은 보상 대상이 되지 않는다는 내용이 포함되지 않은 경우가 많았다. 소셜 엔지니어링 공격 중 대표적인 건 피싱인데, 보험사에 따라서는 랜섬웨어 공격도 소셜 엔지니어링의 일부로 보고 있기도 하다. 게다가 거의 모든 사이버 공격은 피싱으로부터 시작한다. 요약본은 믿을 게 되지 못한다.
중요한 게 하나 더 있다. 보험 정책을 CISO 등 사이버 보안 책임자들도 읽고 검토하도록 해야 한다는 것이다. 왜냐하면 보험 정책에는 법적 용어만이 아니라 기술적 용어도 적잖이 포함되어 있기 때문이다. 최근 필자는 어떤 보험 정책 내용 중에 “기술적으로 잘못된 행동”이라거나 “프라이버시와 보안의 측면에서 잘못된 행위”가 언급된 것을 보았다 그 항목 밑으로는 상세한 기술적 설명들이 이어졌으나, 대부분의 경영진은 모호하게 작성된 제목만 대충 훑고 넘어간다. 게다가 상세한 기술 설명이라는 것도, 아무래도 보안을 전문으로 하지 않는 보험사가 작성한 것이다 보니 완전하지 않았다. 보안을 전문으로 하는 사람이 시간을 들여 정책을 살피는 것은 당연한 일이다.
예외 조항이 사실은 핵심일 때가 많다
‘사이버 위험’을 ‘금전적 손해’로 전환하는 건 대단히 어려운 일이다. 완전히 잘 되는 것도 아니다. 그래서 이 전환의 과정 중에 필연적으로 특정 유형의 공격들은 보장 내용에서 빠지게 된다. 보험사마다 빼는 것도 다양한데, 요즘에는 주로 피싱 공격, 랜섬웨어 공격, 사업 이메일 침해 공격(BEC)이 예외 규정에 포함된다. 그러니 지금 시점에서는 ‘보장이 되는 항목’만큼 ‘예외 규정’을 살피는 게 중요한 일이다.
최근 들어 보험사들이 상품 내용의 요약본과 함께 총 보장 금액을 제시하는 경우가 많아졌다. 총 500만 달러가 보장된다는 내용의 그래프가 떡 하니 자리 잡고 있는 문서가 피보험자에게 제출되는 것이다. 하지만 여기에는 2차 한도나 예외 항목과 같은 개념이 그려져 있지 않은 경우가 대부분이다. 필자가 본 한 설명서의 경우, “소셜 엔지니어링의 2차 제한 금액은 10만 달러다”라는 내용이 66 페이지짜리 문건의 54 페이지에 자그맣게 적혀 있었다. 요약본에는 그나마도 없었다.
사이버 보험에 가입하고 싶다면, “예외 규정이 어딘가에 숨어있다”는 것을 반드시 기억해야 한다. 예외 규정을 따로 항목화 해서 마련하고 있지 않을지도 모른다. 그런 계약서는 곳곳에 예외 내용들을 숨겨 놓는다. 주의가 필요하다. 또한 피보험자는 사업 진행 사안을 제대로 이해하고 어떤 부분이 반드시 보장되어야 하며, 어떤 부분은 없어도 되는지를 파악하고 있어야 한다. 그래야 제시된 상품을 가지고 보다 ‘맞춤형’으로 타협할 수 있게 된다. 가장 확실한 건 사이버 보험을 전문으로 하는 변호사나 법 전문가를 선임하는 것이다.
협상은 사고가 터지기 전에 하는 것이다
누구나 좋은 조건에 보험 상품을 구매하길 원한다. 보험사들도 이를 잘 알고 있다. 즉, 고객이 협상을 하려 든다는 걸 예상하고 있다는 것이다. 그러니 주는 대로 그냥 받지 말고, 최대한 협상을 진행해야 한다. 딱 맞는 보험 상품은 존재하지 않으며, 따라서 양측이 맞춰가야 하는 것이다.
예를 들어 만약 회사와 친한 포렌식 팀이 있다면, 보험사에 해당 팀이나 업체를 계약 내용 중에 포함시키는 것을 제안해보라. 보험사들은 종종 ‘패널’이라고 하는 자문 위원이나 포렌식 전문가를 두고 일하길 좋아한다. 이들을 통해 사고와 피해를 평가하는 것이다. 문제는 일부 보험 업자들이 ‘자문 위원’이라고 명시해놓은 업체들은 그저 이름만 유명한 곳이고, 실제 해당 보험사와는 일면식도 없는 경우가 많다는 것이다. 따라서 실제 사건이 터지면 이 유명한 회사들에는 연락이 가지 않는다. 심지어 동네 한 구석에 있는 자그마한 컴퓨터 수리소와 협조하는 곳도 있다.
그러니 보험 관련 정책에 ‘내가 잘 아는 업체’ 혹은 ‘신뢰할 만한 업체’를 지정하는 것도 나쁘지 않은 협상 방법이다. 또한 보험사가 지정해둔 자문 업체가 있다면 직접 연락을 해서 해당 보험사와의 관계를 물어보는 것도 좋은 방법이다. 현재로서 사이버 보험 가입 시 기억해야 할 키워드는 딱 하나다. 바로 ‘꼼꼼함.’
글 : 베스 버긴 월러(Beth Burgin Waller), Woods Rogers PLC
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
