수조 원 피해, 사이버리스크...우리는 준비됐는가?

[테크월드뉴스=주가영 기자] 디지털화가 가속화되고 상호 연결이 확대되면서 정보유출, 신분도용 등 사이버리스크가 확대되고 있다. 사회 전반에 걸쳐 급속히 확산되고 있는 사이버 리스크는 그 특성이 지속적으로 변화하고 있고 피해 규모가 대규모화되는 추세다. 하지만 기업들의 사이버리스크에 대한 인식은 상대적으로 적은데다 그 피해에 대한 기준 역시 명확하지 않다.

▶글로벌 10대 리스크 중 하나 사이버 리스크

사이버 리스크는 사회 전반에 걸쳐 급속히 확산하고 있으며, 중요성과 관심도 증가하고 있다. 세계경제포럼(WEF)은 사이버공간의 변화를 촉진하는 대표적인 변화로 유비쿼터스 연결성, 인공지능(AI), 양자 컴퓨팅, 디지털 ID(Digital Identity)를 제시하고, 각각에 대해 주요 미래 사이버 위협을 전망한 바 있다. 더불어 사이버 범죄와 사이버 보안 취약 문제의 확산을 글로벌 10대 리스크 중 하나로 평가했는데 사이버 리스크는 기술 분야에서 유일하게 언급된 10대 리스크 항목이다.

사이버 리스크의 특성은 지속적으로 변화하고 있어 대응이 쉽지 않으며, 국가 간 갈등･분쟁을 배경으로 사이버 공격이 발생하기도 한다. 사이버 공격의 형태와 대상은 변화하고 있는데, 최근에는 랜섬웨어 공격과 그 피해 규모가 급격히 증가하고 있다.

사이버 범죄 대상은 보안이 비교적 취약한 중소기업을 대상으로 하는 경우가 많으며, 헬스케어, 금융서비스 등의 중요 산업에서는 디지털화로 인해 공급망 전체에서 사이버 취약성이 증가했다.

뿐만 아니라 최근의 사이버 범죄는 대규모화되고 있어 국가 단위의 갈등 요소로까지 확대되고 있다. 반서방 국가들의 친서방 국가 및 기관을 상대로 한 사이버 공격, 또는 북한 해커집단의 타 국가 금융기관을 상대로 한 사이버 금융 탈취 사건들이 빈번히 발생하고 있다. 우크라이나 전력망 공격(2015)과 낫펫트야(NotPetya) 공격(2017)은 러시아가 우크라이나를 상대로 벌인 사이버 공격이다.

▶보장 격차 99% 이상

사이버 리스크 증가와 함께 사이버보험시장도 성장하고 있지만, 사이버 리스크의 보장 격차와 보험가입의 지역적 편차는 큰 것으로 나타났다. 글로벌시장에서 사이버보험의 수입보험료는 매년 증가(2020년 70억 달러→2021년 100억 달러→2022년 130억 달러)하고 있으며, 2025년에는 230억 달러에 이를 것으로 예측된다. 특히 미국시장에서 사이버보험 수입보험료는 2021년 65억 달러로, 2015년 이후 연평균 30%씩 고속성장하고 있다.

사이버보험시장의 성장에도 불구하고 사이버 리스크로 인한 손실에 비하면 보장 공백은 매우 큰 것으로 추정된다. 맥아피에 따르면 2020년 사이버 범죄로 인한 금전적 손실은 약 9450억 달러로 추정된다. 맥킨지 런던 사무소의 파트너인 제임스 폴리블랭크(James Polyblank)는 이를 근거로 2020년 기준 사이버 리스크의 보장 격차는 99% 이상으로 추정된다고 언급한 바 있다. 사이버시큐리티벤쳐는(Cybersecurity Ventures)는 2021년 사이버 범죄 피해가 6조 달러에 이른다고 추정했으며, 세계경제포럼은 이 추정치를 인용한 바 있는데 이를 반영할 경우 보장 격차는 훨씬 더 커지게 된다.

사이버보험시장도 미주와 유럽에 편중되어 있어 지역적 편차도 심한 것으로 나타났다. 세계보험감독관협회(IAIS)가 발표한 2021년 글로벌 사이버보험 원수보험료 총액은 137억 달러인데, 미주 대륙이 전체 원수보험료의 71%(97억 달러), 유럽과 아프리카는 29%(39억 달러)를 차지하고 있다. 아시아･오세아니아 지역은 1% 미만(5562만 달러)에 불과한 것으로 나타났다. 한국 중국 일본이 포함된 경제 권역임에도 불구, 경제 규모에 비해 보험 가입이 매우 저조한 것이다.

▶국내 역시 보장 제각각, 피해 기준 불명확

보험연구원에 따르면 국내에서 기업의 사이버 위험을 보장하는 사이버보험의 보장내용은 표면적으로는 보험회사별로 큰 차이가 없어 보이지만 세부적인 보장범위 및 면책사항, 사전적 리스크관리 서비스 제공 측면에서 차이가 있다.

기업성 사이버보험은 의무보험과 임의보험으로 구분할 수 있다. 의무보험은 관련 법령에서 기업의 배상책임을 담보하기 위해 가입을 요구하는 보험으로 회사별 상품 차이가 없다. 임의보험은 기업의 재산손실, 영업 손실 등을 추가로 보상하는 보험으로 회사별 차이가 있으며, 제3자에 대한 배상책임뿐만 아니라 기업의 직접적인 재무적 손실을 보장하고 있다. 임의보험(사이버 종합보험)의 보장 항목은 보험회사 간에 큰 차이는 없어 보이지만 보장범위 및 면책사항 등에서 일부 차이가 있고, 위험관리 컨설팅과 같은 포괄적인 서비스 제공에 차이가 있다. 국내에서 판매되는 사이버 종합보험과 해외 재보험회사가 제공하는 사이버보험은 보장 항목에서는 큰 차이가 없다.

다만 일부 보험회사는 제3자 배상책임의 범위를 정보 유출 및 보안 실패로 인한 배상책임에 한정하거나, 프로그래밍 에러로 인한 손실을 면책사항으로 하는 등 세부 항목에서 차이가 있기도 하다. 또한 일부 보험회사는 사고 발생 후 보상에 중점을 두고 있어 사이버 리스크 솔루션을 제공하는 등 사전적인 리스크관리를 병행하는 보험회사에 비해 사이버 리스크관리에 한계가 있을 것으로 보인다.

보험연구원 김규동 연구위원은 “국내 사이버 피해액과 보험가입 상황을 비교하면 글로벌시장처럼 사이버 리스크 보장 격차는 여전히 큰 상황인데, 사이버 리스크 및 피해에 대한 기준이 명확하지 않고 기업의 사이버 리스크에 대한 인식이 부족한 실정”이라며 “사이버 피해 규모 추정은 방법에 따라 큰 차이를 보이고 있어 신뢰할만한 사이버 피해 측정 기준이 없다”고 말했다.

실제로 국내의 사이버 리스크에 대한 피해규모와 이를 기반으로 한 보험 시장의 규모도 모두 추정이 상이하다.

한국정보통신보안윤리학회는 2020년 국내 사이버 피해액을 1.7조 원(기업 6956억원, 개인 9834억 원)으로 추정했으나, 미래창조과학부는 2015년 경제적 피해 규모를 연간 3.6조 원으로 추정하며 큰 차이를 보인바 있다.

과거 금융당국의 조사로 2016년 국내 보험회사의 사이버보험 수입보험료가 358억 원으로 집계된 적이 있으나, 이후에는 여러 실무보고서에서 연간 500억원으로 추정되었을 뿐 정확한 규모는 확인되고 있지 않으며, 보험회사마다 사이버보험 분류 기준도 상이하다.

사이버 사고는 빈도가 낮은 대신 심도가 커서 보험료 산출 시 리스크 마진을 높게 산정할 수밖에 없으며, 사이버 사고 데이터가 부족하고 사이버 리스크 평가 모델도 표준화되어 있지 않아 보험료를 낮추는 것이 어렵다. 따라서 보험회사는 보장 격차 해소를 위해 리스크 평가 모형과 손실통제 서비스에 투자를 확대할 필요가 있다는 주장이다. 리스크 평가가 정교해지고 표준화되면 기업의 다양한 사이버 리스크를 더 정교하게 측정할 수 있어 보험료 인하가 가능해진다.

김 연구위원은 “기업들은 사이버 리스크에 대한 인식이 부족하고, 사이버 보안 수준을 과신하는 경향이 있고 사이버종합보험은 일부 대기업 중심으로 가입되고 있어 중소기업의 보장 격차는 더 클 것으로 예상된다”며 “사이버 사고를 당했다는 사실이 알려지면 평판을 해칠 수 있다는 우려 때문에 보험 가입을 꺼리는 기업도 있다”고 말했다.

이어 그는 “낮은 가입률과 역선택 증가로 보험회사의 사이버 리스크 인수에 대한 부담 증가는 보험료 인상의 원인이 되고, 보험가입이 줄어드는 악순환이 발생할 수 있다”며 “사이버 리스크 보장 격차를 해소하기 위해선 보험회사의 사이버 리스크 평가 모형 발전 및 사전적 손실통제 서비스 제공 확대, 기업은 사이버 리스크에 대한 인식을 제고할 필요가 있다”고 밝혔다.

보험업계 관계자는 “사이버 리스크는 점차 교묘하고 정교하게 진화하고 있어 어떤 식으로 위험이 닥칠지 알 수 없다”며 “기업들이 보안 강화로 위기관리를 하는 것처럼 사이버보험도 그 일환으로 사고 발생시 시간과 재정적 손실을 최소화할 수 있다”고 설명했다.