방재정보

방재 관련 기술정보를 전해다립니다.

세계 사이버보험 시장 현황 및 위험트렌드

Serene Chan(Regional Head Cyber Asia), 위진욱 차장(뮌헨재보험)

전 세계 사이버 보험 시장 현황

여러 설문조사에서 사이버 리스크는 많은 기업, 개인들에게 가장 우려되는 리스크로 늘 손꼽히고 있다. 글로벌 회계법인 PwC의 2022년 설문조사에서 사이버 리스크는 기업인들에게 가장 우려되는 리스크로 선정 되었으며, 2023년도 발표된 알리안츠 설문조사에서도 기업휴지와 함께 가장 우려되는 리스크로 발표 되었다.

실제 여러 기업에서 발생한 사이버 공격, 그리고 그로 인한 피해가 많은 뉴스 헤드라인을 장식하면서 사이버 리스크는 기업 경영 측면에서 더 이상 간과해서는 안 되는 중요한 리스크로 떠오르게 되었다.
2021년 5월 발생한 미국 콜로니얼 파이프라인 랜섬웨어 공격은 사이버 공격이 단순한 기업의 피해로만 끝나는 것이 아닌 각종 사회적 혼란까지도 야기할 수 있음을 보여주었으며, 2022년 일본 토요타 협력사에 발생한 해킹 공격은 사이버 공격이 거래처의 공급망 관리에도 영향을 줄 수 있음을 증명하였다.

단순히 기업의 피해 뿐만 아니라, 개인정보 자체에 대한 중요성이 계속해서 강조 되면서 전반적인 사이버 리스크에 대한 사회 인식이 크게 증가 하였으며, 사이버보험 역시 이에 맞추어 급격한 성장을 만들어 냈다.

2017년까지 약 4.8조억원 정도였던 전 세계 사이버보험 시장은 2020년을 기점으로 급격하게 성장하였으며, 2022년도에는 2017년도 대비 200% 가까운 성장인 14조 5천억원까지 크게 늘어났다.
지역별로 보자면 2022년 기준 미국이 전체 시장의 68%를 차지하고 있으며, 2025년까지 유럽과 기타 국가들의 시장 역시 점차적으로 성장할 것으로 예상된다.

사이버보험의 성장 배경

사이버보험이 2020년 기점으로 급격히 성장한 주요 원인을 조금 더 자세히 들여다본다면, 위에 간략히 언급한 대로 “랜섬웨어” 공격의 증가와 “개인정보유출”에 대한 인식 확대로 볼 수 있다.

랜섬웨어는 몸값을 의미하는 '랜섬'과 소프트웨어의 '웨어’의 합성어다. 컴퓨터의 파일을 암호화해 파일과 시스템을 사용할 수 없게 만들어 몸값을 요구하는 일종의 악성 소프트웨어다. 감염 시 해커들에게 몸값을 지불한 뒤에야 다시 운영이 가능하게 하며, 이 과정에서 데이터가 유출되거나 완전히 파괴되는 경우도 발생한다.

과거에는 해커가 직접 악성코드를 만들고, 네트워크에 침투하고, 협상을 벌이며 돈을 받아내는 모든 과정을 단독을 진행했지만, 랜섬웨어의 분업화가 이루어진 일명 “서비스형 랜섬웨어 (RaaS)”의 등장으로 인해 조금 더 산업화 및 분업화된 공격이 가능 해졌다. 전문화된 분업을 통해 공격에 들어가는 시간과 노력을 크게 절감시켰고, 사이버 범죄의 진입 장벽이 낮아지며 결과적으로 더 많은 기업이 공격의 목표가 되었으며, 기술적으로는 부족한 능력을 가진 공격자들도 분업화를 통해 높은 수익을 가져가게 되어 더욱 적극적으로 공격을 감행하는 악순환이 반복되었다.

개인정보에 대한 중요성 역시 사이버보험의 성장에 큰 축을 이루고 있는데, 기업들이 보관 및 관리하는 개인정보의 절대적 숫자 자체가 크게 늘어나고 있고 그에 대한 중요성 역시 법적으로 계속해서 강조되고 있다는 점이다. 2018년부터 시행된 유럽연합의 개인정보 보호 규정인 GDPR (General Data Protection Regulation) 은 개인정보가 유출 될 경우 전체 매출의 최대 4%까지의 과징금을 부과할 수 있으며, 해외 여러 다른 국가들도 형태는 조금씩 다르지만 비슷한 기조의 개인정보 보호 규정을 계속해서 만들어 가고 있다. 물론 단순히 과징금 부과에 대한 걱정 때문에 개인정보에 대한 인식이 늘어난 것이 아닌, 개인정보의 중요성에 대한 전반적인 사회 분위기가 리스크에 대한 인식을 끌어 올린 것으로 보인다.

랜섬웨어와 개인정보유출에 따른 사이버 리스크에 대한 인식이 올라가며 사이버보험의 증권 숫자가 늘어난 부분도 있지만 위에 언급된 여러 사고들로 인해 갱신 시 보험료가 인상되며 시장 규모가 커진 부분도 있다 랜섬웨어에 감염 시 관련된 기업휴지비용,데이터복구비용, 사고 조사비용, 위기관리 비용 등, 하나의 사고로 여러가지 비용이 동시에 청구되는 경향이 있으며, 마찬가지로 개인정보유출이 발생하게 된다면 과징금 뿐만 아니라 개인정보유출에 수반되는 통지비용, 사고 조사비용, 위기관리비용, 추가근무비용, 법률비용 등, 하나의 유출 사고에 여러 비용들에 대한 청구가 동시에 들어 오는 게 일반적이다. 실제로 2019년 3분기 갱신 시 평균 보험료 상승분은1%정도였으나 계속해서 꾸준하게 증가하며 2020년 3분기에는 8%, 그리고 2021년 3분기에는 34%의 평균 보험료 인상이 있었다.

앞으로의 과제

사이버보험은 아직 상대적으로 새로운 상품이며, 그에 따라 축적되어 있는 데이터 자체가 부족한 편이다. 또한 계속해서 진화 및 변화하는 리스크의 특성 상 과거에 수집한 데이터가 현재는 큰 의미를 가지지 못하는 경우도 존재한다.

단기간에 갑작스러운 성장이 이루어 졌기 때문에 보험회사별로 사이버 리스크에 대해 상당히 다른 관점을 가지고 있고, 하나의 통합된 개념을 정립하기가 아직은 쉽지 않은 상황이다. 예를 들어, 통신사의 오류 혹은 해킹으로 인해 인터넷이 멈추고 그로 인해 발생하는 기업 휴지의 경우 보험으로 감당할 수 없는 가장 핵심적인 축적 리스크 중 하나로 판단하고 있는데, 해당 면책이 실질적으로 모든 사이버보험 계약에 적용된 것은 그리 오래되지 않았다. 해당 개념을 보험회사마다 각각 정립하고, 면책의 필요성을 논의하는 것 자체가 어려웠기 때문이다.

사이버의 특성 상 하나의 공격으로 여러 보험 가입자 (혹은 상황에 따라 전체 보험 가입자)가 동시에 타격을 받는 경우가 생길 수 있기 때문에 위에서 언급된 것 과 같은 축적된 리스크 형태의 사고에 대해 컨트롤 하는 것을 가장 중요한 요소로 판단하고 있다. 보험으로 감당이 불가능하다 판단되는 리스크에 대해서는 계속해서 조정이 필요하다.

최근 전세계 사이버 시장에서 가장 뜨거운 주제는 “사이버 전쟁”이다. 일반적인 전쟁과는 달리 눈에 보이지 않는 사이버전쟁은 분명 다른 방식으로 접근 해야만 한다. 특정 국가들의 지원을 받는 조직이 발생시킨 전쟁 성격의 공격은 분명 보험으로 감당할 수 있는 리스크가 아니며, 이를 어떠한 방법으로 예방할 수 있을지에 대한 논의는 현재까지도 계속해서 이루어지고 있다.

앞으로 어떠한 형태로든 사이버보험이 성장할 것이라는 것 자체에 의심을 가지는 사람은 많지 않다. 다만 염두 해 두어야 하는 사항은 반드시 “지속 가능한” 성장 이어야 한다는 것이다. 짧은 시간내에 큰 성장을 이룬 만큼 앞으로의 방향에 대해서 전 세계적으로 적극적인 노력이 시점이다.