자연재해나 사이버 공격과 같은 치명적인 위험에는 보험이 필요합니다. 보험사는 한 피보험자가 피해를 입었을 때 리스크를 합산하고 피해를 입지 않은 다른 피보험자의 보험료를 활용함으로써 거액의 보험금을 지급할 수 있습니다. 

그러나 보험이 제대로 작동하려면 공정성이 보장되어야 하며, 보험사는 보험 정책이 남용되지 않도록 해야 합니다. 예를 들어, 기업이 보험금을 빠르게 청구할 것이라는 사전 지식을 가지고 보험에 가입하는 상황을 피해야 합니다.

이러한 안전장치는 보험 약관에 명시되어 있습니다. 그러나 사이버 보안 보험의 경우 이러한 약관(작은 글씨라고도 함)이 점점 더 논쟁의 대상이 되고 있으며, 이제는 사이버 보안 보험의 가치에 대한 유효한 질문이 제기되고 있습니다.

이 글에서는 전쟁 제외 조항과 관련된 문제점을 살펴보고, 보험사가 이러한 조항을 보험증권의 작은 글씨로 작성하는 것이 사이버 보험의 가치를 떨어뜨리는 이유를 설명합니다.

사이버 보안 보험에 대한 이해

사이버 공격이 성공하면 수백만 달러의 비즈니스 손실, 심각한 평판 손상, 최악의 경우 조직 전체가 폐쇄되는 등 정말 치명적인 결과를 초래할 수 있습니다. 이러한 종류의 재해는 보험 제도가 필요한 전형적인 위험의 예입니다. 사이버 보안 보험에 가입한 기업은 보험료를 지불하는 대가로 이론적으로 손실에 대한 보상을 받아야 합니다.

피해를 입히는 사이버 공격이 증가하면서 보험 상품에 대한 요구가 커지고 있습니다. 예를 들어, 널리 퍼진 랜섬웨어 공격 중 하나인 NotPetya로 인해 발생한 비용은 100억 달러 수준.

사이버 보안 보험에 대한 수요는 손실이 잠재적으로 치명적일 수 있다는 사실 때문만은 아닙니다. 랜섬웨어와 같은 공격으로부터 조직을 보호하는 것이 어렵다는 점도 중요한 요인입니다. 새로운 취약점과 익스플로잇의 꾸준한 흐름을 따라잡기 어렵기 때문에 공격에 대한 완벽한 보호를 제공하는 것은 본질적으로 거의 불가능할 수 있습니다. 즉, 사이버 공격은 모든 조직에 닥칠 수 있는 재앙이므로 이에 대비하여 보험에 가입하는 것이 현명합니다.

보험에 따라 귀중한 데이터 손실부터 공격 중단으로 인한 수입 손실까지 사이버 공격으로 인한 대부분의 피해에 대해 보상을 받을 수 있습니다. 몸값 갈취도 보험에 포함될 수 있으며, 이 경우 몸값을 지불해야 하는 경우 돈을 돌려받을 수 있습니다.

보험 금액과 보험금 지급 조건은 작은 글씨라고도 하는 '보험 증권'에 명시되어 있습니다. 작은 글씨에는 보험의 또 다른 중요한 측면, 즉 손실을 입었더라도 보험금이 지급되지 않는 상황도 포함되어 있다는 점에 유의할 필요가 있습니다.

작은 글씨로 인해 우려되는 이유

생각해 보면 보험사가 보험금 지급 조건에 제한을 두는 것은 전적으로 합리적입니다. 보험사는 사기성 보험금 청구와 기회주의적 보험금 청구로부터 보험 가입자를 보호해야 합니다.

따라서 작은 글씨를 항상 걱정해야 하는 것은 아니며, 계약의 양 당사자가 공정한 대우를 받을 수 있도록 보장하는 것일 뿐입니다. 작은 글씨를 통해 양 당사자는 계약에 따라 보험 계약자에게 어떤 권리가 있는지 등 기대되는 사항을 알 수 있습니다.

예를 들어, 사이버 보험 정책에서는 기업이 워크로드를 보호하기 위해 최소한의 노력을 기울일 것을 요구하는 것이 일반적입니다. 왜 그럴까요? 보호되지 않은 워크로드는 공격자의 표적이 될 수 있으며, 간단한 예방 조치를 취하지 않은 상태에서 보험금 지급을 기대하는 것은 공정하지 않기 때문입니다.

이로 인해 약관에서 우려할 만한 항목이 점점 더 많아지고 있습니다. 오늘날 사이버 보험 약관에는 공격과 그로 인한 피해가 전쟁 또는 전쟁 관련 행위의 결과인 경우 보험금을 지급하지 않는다는 조항이 포함되어 있습니다. 이 조항이 왜 중요한지 지금부터 살펴보겠습니다.

전쟁 제외는 복잡성을 더합니다.

사이버 공격은 이제 국제 전쟁의 일부가 되었습니다. - 국가 행위자들은 물리적 영역뿐만 아니라 전자전을 통해서도 적을 공격합니다. 과거에는 전쟁 면책 조항은 일반적으로 보험 약관에 포함되었습니다. 전쟁은 매우 치명적인 사건이기 때문에 모든 보험 계약자가 동시에 전쟁 관련 손해를 청구할 경우 보험사가 생존할 수 없다는 이유에서입니다.

사이버 영역에서의 전쟁은 일반 전쟁과 마찬가지로 무차별적이기 때문에 원래의 목표를 훨씬 뛰어넘어 모든 것이 파괴될 수 있습니다. 따라서 보험사가 전쟁 제외 조항을 추가하는 것은 타당한 이유가 있지만, 특히 현재의 지정학적 환경에서는 전쟁 제외 조항이 몇 가지 문제를 야기하고 있습니다.

전쟁이 무엇인지 정확히 정의하는 것은 첫 번째 문제일 뿐입니다. 하지만 더 어려운 문제가 있습니다. 사이버 공격으로 인한 피해를 누구의 책임으로 돌릴 수 있을까요? 사이버 범죄자는 공격이 발생하고 가해자가 어둠 속으로 사라지는 경우가 대부분입니다. 랜섬웨어 공격의 배후가 누구인지 알기는 어렵습니다.

즉, 공격이 전쟁 행위인지 아니면 다른 원인에 의한 것인지 판단하는 것은 간단하지 않습니다. 국가 단체의 소행일까요? 그럴 가능성이 있지만 정확히 파악하기는 어렵습니다. 물론 전쟁 목적을 달성하기 위해 행동한 국가 집단이라면 보험사는 전쟁 제외 조항으로 인해 보험금을 지급하지 않습니다.

사이버 보안 보험금 청구의 잠재적 규모를 고려할 때, 보험사가 전쟁과 같은 활동의 결과라고 생각할 만한 이유가 있다고 주장하여 보험금 지급을 피하려고 하는 것은 놀라운 일이 아닙니다.

귀하의 계약은 법정에서 면밀히 조사될 수 있습니다.

보험사는 보험금 지급을 거부할 근거가 있다고 판단되는 경우 일방적으로 보험금 지급을 거부할 수 있습니다. 국가 행위자가 공격에 연루될 '가능성'을 고려할 때 보험사가 보험금 지급을 거부할 위험은 이제 끝났습니다. 적어도 보험사에 따르면 말입니다.

보험 계약자는 보험사와 논쟁을 벌일 수 있지만, 손해액이 수백만 달러에 달할 경우 보험사가 자신의 입장을 고수할 가능성이 높습니다. 결국 법원에 의존할 수밖에 없습니다. 최근 많은 랜섬웨어 소송에서 바로 이런 일이 발생하고 있습니다.

최근 헤드 라인을 장식한 한 가지 사례는 머크 대 에이스 아메리칸입니다. 대형 제약 회사인 머크는 러시아 군과 연계된 낫페트야 공격의 희생양이 되었습니다. 보험사인 에이스 아메리칸은 낫페트야 배후 세력이 전쟁을 통해 군사적 이득을 추구했기 때문에 보상 대상에서 제외된다며 머크가 청구한 17억 5천만 달러의 보험금 지급을 거부했습니다.

머크는 보험사의 주장을 받아들이지 않고 에이스 아메리칸을 법정에 세웠습니다. 3년여가 지난 후 법원은 Merck의 손을 들어주며 손해배상금을 지급하라는 판결을 내렸습니다. 이 사건에서 법원은 에이스 아메리칸의 약관이 랜섬웨어 공격과 전쟁 행위 사이의 연관성에 대해 충분히 명확하지 않다고 판단했습니다. 어느 쪽이든 판결이 나올 수 있었습니다.

우수한 사이버 보안은 최고의 보험입니다.

머크가 승소했지만 보험 업계도 교훈을 얻었기 때문에 로이드 시장 협회가 문서를 발표했습니다. 회원사들이 보험금 지급과 관련된 전쟁 관련 조건을 강화하는 데 사용할 수 있는 몇 가지 조항이 포함된 문서를 발표했습니다.

향후 소송에서 보험사에 유리한 판결이 내려져 보험사가 랜섬웨어 피해에 대한 배상책이 없다는 판결을 받을 수도 있습니다. 즉, 가입한 보험이 보험금을 지급하지 않을 수 있는 실질적인 위험이 있습니다.

랜섬웨어 보험에 대해 생각해 볼 가치가 있고 보험료를 지불하면 큰 보험금을 받을 수도 있지만, 사이버 위험 정책은 어디까지만 가능하다는 점을 이해하는 것이 중요합니다. 공격으로부터 조직을 보호하는 것이 가장 중요한 일이며 보험은 최후의 수단일 뿐입니다.

정책의 최소 사이버 보안 요구 사항을 훨씬 뛰어넘어야 합니다. 실시간 패치 솔루션 - KernelCare Enterprise - 는 여러분의 무기고에 있어야 할 많은 도구 중 하나입니다. 완벽한 사이버 보안은 현실적으로 불가능하지만 가능한 한 이에 가까워지기를 원한다면 KernelCare가 핵심 단계입니다.

보험료가 합리적이라면 사이버 보안 위험 보험에 가입하는 것이 좋습니다. 하지만 보험 약관에 나중에 깜짝 놀랄 수 있는 작은 글씨로 되어 있을 수 있다는 점에 유의하세요.