기술 지원
문서
로그인
문의하기
사이버 보안 보험의 유용성에 대한 의문이 다시 제기되고 있습니다.
조아오 코레이아
2023년 1월 11일 - 기술 에반젤리스트
사이버 보안 보험은 끔찍한 일이 발생했을 때 최소한의 보상을 기대할 수 있는 최후의 안전망으로 여겨집니다.
하지만 우리가, 및 기타에서 과거에 논의했듯이, 실제 시나리오는 이러한 보험 정책에서 기대하는 보호의 다른 측면을 보여주고 있습니다.
이러한 정책에 포함 된 반박하기 어려운 "전쟁 행위"조항을 넘어 휴가 기간 동안 또 다른 못이 박혔습니다. 사이버 보안 보험의 관에 또 다른 못이 박혔습니다. - 기존의 모든 사이버 보안 보험 정책을 쓸모없는 종이 한 장에 불과하게 만들 수 있는 잠재력을 가진 판결입니다.
스토리 되감기
2019년, 안타깝게도 오하이오에 본사를 둔 한 회사가 랜섬웨어 공격을 받았습니다. 랜섬웨어는 과거에도 그랬고 지금도 여전히 수익성이 높은 사업이며 전 세계적으로 많은 피해자가 발생하고 있기 때문에 크게 이상한 일은 아니었습니다. 요구된 몸값은 3비트코인으로 당시 약 35,000달러에 해당하는 금액이었습니다. 이 이야기와 관련이 없는 이유로, 이 회사는 자체 파일에 대한 액세스 권한을 복구하기 위해 몸값을 지불하는 (부적절한) 조치를 취했습니다. 지금까지 이 이야기는 전 세계 수백 건의 사례와 비슷하게 평범하지 않은 이야기입니다.
다음 날, 회사는 사이버 보안 보험에 가입되어 있었기 때문에 보험사에 몸값을 지불하는 데 사용한 금액과 부수적 손해(비즈니스 수익 손실)를 회수하기 위한 요청서를 제출했습니다.
여기서 흥미로운 점이 있습니다. 보험금 청구가 접수된 당일, 보험사는 랜섬웨어로 인한 '직접적인 물리적 피해'가 없었기 때문에 보상금을 지급하지 않겠다는 답변을 보내며 보험금 지급을 거부했습니다.
이러한 대응에 만족하지 못한 오하이오주 회사는 보험 회사를 법정에 제소했고, 놀랍게도 사이버 보안 보험 청구에 대해 "물리적 피해가 존재하지 않는다"는 보험 회사의 주장(....)을 지지하는 판결이 내려지면서 패소했습니다.
다시 한 번 결과에 불만을 품은 이들은 항소, 소송, 반소가 이어졌고, 오하이오 대법원에서는 2022년 12월 말에 판결을 내렸습니다. 오하이오 대법원은 근시안적인 판결로 보이는 첫 번째 판결을 유지하면서 (느슨하게 인용한) "소프트웨어는 컴퓨터 명령어 집합이므로 물리적 손상이 있을 수 없다"(...) "1과 0의 집합"이라고 덧붙였습니다. 다시 한 번 말씀드리지만, 이 판결은 사이버 보안 보험 정책 청구와 관련이 있습니다.
이번 결정으로 경쟁 구도가 바뀌는 방식
사실 과거에도 랜섬웨어 감염으로 인해 물리적 피해가 발생한 적이 있습니다. 심지어 랜섬웨어 감염과 직접적으로 연관된 것으로 여겨지는 감염 하지만 나중에 반박되었습니다.. 랜섬웨어 감염으로 인해 의료 장비가 오작동하거나 공장 자동화 장비가 오작동하는 등 물리적 손상이 발생하려면 매우 특별한 환경이 필요합니다. 극단적인 오작동. 그럼에도 불구하고 이러한 사례는 절대적으로 소수에 불과하며 수천 건의 사례 중 극히 일부에 불과합니다.
대법원이 올바르게 주장했듯이 랜섬웨어 감염은 소프트웨어와 구체적으로 언급되지 않은 데이터에도 영향을 미치며, 이는 실제로 0과 1의 집합입니다. 이는 매우 가치 있고 매우 중요한 0과 1의 집합입니다. 사실 너무 가치 있어서 기업들이 사이버 보안을 위해 보험에 가입할 정도로 중요합니다.
그렇다면 보험회사는 보험 가입자를 정확히 무엇으로부터 보호하고 있는 것일까요? A 플로피 디스크가 너무 빨리 꺼져 누군가를 다치게 하는 것? 자체 파일을 암호화하는 과열된 서버를 건드려 손가락에 화상을 입은 사람?
대법원의 이 결정은 선례가 되었습니다. 앞으로는 보험 회사가 언제든지 이 결정을 취소하고 보상금 지급을 피할 수 있기 때문에 이러한 모든 정책은 실제로 무효화될 수 있습니다( 응시 결정 로 알려진 법률 용어).
안전망 없는 사이버 보안
이러한 보험에 가입한 회사에서 근무하거나 이러한 보험에 가입할 책임이 있는 경우, 보험사에 실제로 어떤 상황이 보장되는지(가급적 서면으로) 명확히 요청하여 문제가 발생할 경우 기대치를 조정할 수 있도록 하는 것이 좋습니다. 백업과 마찬가지로 이러한 유형의 보험은 테스트를 해봐야만 그 상태를 알 수 있으며, 백업과 마찬가지로 가장 필요할 때 항상 고장날 수 있습니다.
사이버 보안 지출의 우선순위를 전환하는 것을 고려하세요. 더 나은 보안 솔루션에 투자하고 운영 관행 개선 에 투자하는 것이 더 나은 투자일 수 있습니다. 시간이 지날수록 안전망의 구멍이 점점 더 커지고 있기 때문입니다. 이러한 방법을 유용한 보안 조치로 간주하는 것은 점점 더 받아들이기 어려워지고 있습니다.
마지막으로, 저작권이라는 안타까운 논리로 같은 논쟁이 벌어질 가능성이 높은 관련 분야에서도 이 판결을 따라가는 것도 흥미로울 것입니다. 여전히 0과 1뿐이죠? 부지런한 변호사가 이런 사건에서 같은 주장을 할 때까지 얼마나 걸릴지 궁금해집니다.
하지만 그건 다른 날의 이야기입니다.
새해 복 많이 받으세요.
