오늘날 전 세계는 그 어느 때보다 디지털 방식으로 연결되어 있다. 하루를 시작하며 집을 나서고, 일을 마치고 돌아오기까지 우리는 온라인 시스템과 네트워크로 구성된 세상에서 살아가고 있다. 출근길에 인스타그램, 페이스북, 링크드인 등 사회관계망서비스(SNS)를 살펴보고, 유튜브나 틱톡을 재생하거나 이메일을 확인하며 쉴 새 없이 우리의 눈과 손은 스마트폰과 랩탑에 접착해 있다. 그야말로 우리의 생활양식은 달라졌고, 이러한 변화가 일상이 된 지금은 그다지 새롭지 않게 느껴진다.
사회현상의 변화는 새로운 위험을 수반한다. 사람이 살아가며 전통적으로 위험을 인식해 온 하늘과 땅과 바다의 위협들은 가시적이었다. 물과 불은 눈에 보이고 손에 잡히었고, 그 위협을 구체적인 수치로 산정할 수 있었다. 계산이 가능한 위협은 이를 보상하는 체계를 미리 만들 수 있다. 이 체계 안에서 우리는 위험을 줄이려 노력했고, 위협에 대응하는 역량을 키워 왔으며, 그에 맞추어 보험 산업이 발달하게 되었다.
그런데 달라진 생활양식에서 오는 위협은 비가시적이다. 눈에 보이는 스마트폰과 랩탑 화면 너머에는 보이지 않는 위협들이 도사린다. SNS에 돌아다니는 정보나 영상의 진위 여부도 알 수 없다. 내게 이메일을 보낸 상대방이 그간 함께 협업해 온 실제 비즈니스 파트너가 아닐 수 있다. 단순한 정보, 혜택인 줄 알고 휴대전화 메시지 링크를 클릭했다가 휴대전화의 통제권을 빼앗길 수도 있다. 스마트 홈을 표방하는 새 아파트에 설치된 카메라를 통해 누가 우리 집을 훔쳐본다. 이처럼 가상적인 공간에서 다양한 사이버 수단을 사용하여 위험을 발생시키는 활동들을 본고에서는 ‘사이버범죄 위협(Cybercrime threat)’이라 통칭하였다.
가상적인 공간에서의 위협은 실재한다. 비가시적 위협의 결과는 너무도 가시적이다. 그러면 이렇게 가시적이고 실재하는 위험을 보험 산업에서는 어떻게 정의하고 대응할 수 있을까. 법률적으로는‘보험상품’이란, 위험 보장을 목적으로 우연한 사건 발생에 관하여 금전 등을 지급할 것을 약정하고 대가를 수수하는 계약이다(보험업법 제2조 제1호). 그렇다면 어떤 위험들과 우연한 사건들이 있을 것인지를 알아보는 것은, 얼마만큼의 대가를 수수하고(보험료 수수) 어떻게 금전 등을 지급할 것인지(보험금 지급)를 정하는 데에 논리적인 전제가 된다. 이하에서는 변화한 생활양식에서 우리가 처한 ‘사이버범죄 위협’에 관하여 2023. 10. 16. 한국화재보험협회 국제세미나에서 발표한 내용 중심으로 간략히 살펴보고자 한다.
이른바 ‘다보스 포럼’이라 하는 세계경제포럼(World Economic Forum)은 ‘세계의 상태를 개선하기 위해 노력한다’는 사명 아래 세계 각국의 정치·경제 지도자들이 모여 주요 산업 의제를 논의한다.2) 작년 2022년 7월 세계경제포럼은, 컨설팅 그룹 PwC의 분석 자료를 토대로3) 사이버범죄가 경제에 미치는 가장 큰 위협으로 보인다고 발표했다.4) 인용된 자료에 따르면 약 53개국 1,300여 기업들을 대상으로 조사한 결과 사이버범죄로 인한 사기를 경험한 기업들은 위 표와 같이 규모에 따라 분류해 볼 때, 연 매출액 약 1,000억 원5) 미만에서는 32%, 약 1,000억원 이상 1조 원 미만에서는 41%, 약 1조 원 이상 10조 원 미만에서는 42%, 10조 원 이상에서는 32% 등으로 나타났다. 즉, 사이버범죄는 규모가 크거나 작은 기업들 모두에서 전반적으로 나타나는 현상이고, 규모의 차이와는 관계 없이 기업의 일상적인 경제활동은 고르게 사이버범죄 위협에 노출되어 있는 것으로 분석된다.
https://www.weforum.org/events/annual-meeting-of-the-global-future-councils-2023
“PwC’s Global Economic Crime and Fraud Survey 2022”,
https://www.pwc.com/gx/en/forensics/gecsm-2022/pdf/PwC%E2%80%99s-Global-Economic-Crime-and-Fraud-Survey-2022.pdf
“Nearly half of businesses are being hit by economic crime, with cybercrime the gravest threat. What can they do about it?” https://www.weforum.org/agenda/2022/07/fraud-cybercrime-financial-business/
계속해서 보고서는 ‘제조(32%) – 금융(38%) – 에너지(29%) – 유통(27%) – 정부 및 공공기관(36%) – 건강산업(40%) – 기술 미디어 통신(50%)’ 등 기업 유형별로도 분석하고 있다. 상대적으로 기술, 미디어 및 통신 분야의 이용 빈도가 높아짐에 따라 높은 발생률을 보이고 있고, 전반적으로 약간의 편차는 있으나 여러 기업 유형들에서 사이버범죄는 공통된 위협 요인으로 분석된다. 도표에는 나타나 있지 않으나 최근 사이버 공격 유형으로 등장하는 ‘공급망 공격(Supply chain attack)’을 포함한 새로운 위협은 해당 공급망의 영향을 받는 여러 유형의 회사들에 직접적인 영향을 미쳐 더 큰 혼란을 초래할 가능성도 있다.
국내로 범위를 좁혀 살펴보면, 경찰청 국가수사본부에서 발표한 ‘2023년 사이버범죄 트렌드’ 보고서에 따르면 2018년부터 지난 5년간 전체 사이버범죄는 약 15만 건에서 23만 건까지 점차 증가하는 추세를 보여 왔다. 국가 규모의 차이는 있지만 산업 발달의 정도가 비슷한 싱가포르의 경우 2021년 기준 사이버범죄가 22,219건 보고된 것과 비교하면4), 인구 대비 우리나라 발생 건수는 이와 비슷한 수준으로 평가된다. 작년 2022년 전체 사이버범죄는 230,355건 발생하였으며, 전년도 2021년 대비(217,807건) 소폭(5.8%) 증가하였다. 이는 개인과 기업을 대상으로 하는 모든 사이버범죄 신고를 포괄한 것으로, 기업 대상 사이버범죄 위협을 평가하려면 보다 구체적인 유형을 들여다볼 필요가 있다.
“Breakdown of cybercrime cases in Singapore in 2021”
https://www.statista.com/statistics/1270670/singapore-breakdown-of-cybercrime-cases/?kw=&crmtag=adwords&gclid=Cj0KCQjw4bipBhCyARIsAFsieCxA-Xyfakte7ARVK3z-jL7GqrAvhEksTY0KaHVbo9uDPyAUEt38DrQaAvPNEALw_wcB
국내 사이버범죄 유형은 크게 ① 정보통신망 침해범죄, ② 정보통신망 이용범죄, ③ 불법콘텐츠 범죄 등으로 나눌 수 있다. 정보통신망 ‘침해’범죄는 해킹, 악성프로그램 유포 등 정보통신망에 불법적으로 침입하는 방식으로 저지른 범죄이다. 정보통신망 ‘이용’ 범죄는 사이버사기, 사이버금융범죄 등 정보통신망을 악용하여 저지른 범죄다. 불법콘텐츠 범죄는 불법 영상물 등 법이 금지하는 정보 등을 생산·유포하거나 사이버도박 등을 포함하는 범죄 유형이다. 이 중 기업 차원에서 눈여겨볼 분야는 정보통신망 ‘침해’와 ‘이용’범죄 유형이다. 악성 프로그램을 이용하여 랜섬웨어(Ransomware)나, 말웨어(Malware)를 유포한다든지, 타인을 사칭하여 피싱(Phishing)하는 수법으로 크고 작은 기업들을 대상으로 사이버범죄가 발생하고 있다. 보다 세부적으로 분류하여 그 추이를 살피면 다음과 같다.
위 유형들을 세분화하면 그림 5. 도표와 같다. 그 비중을 보면, 사이버사기(155,715건)가 전체 사이버범죄(230,355건) 발생건수의 67.6%로 가장 큰 비중을 차지하였고, 사이버금융범죄(28,546건)가 12.4%를 차지하였다. 그 외에 사이버저작권침해나 사이버명예훼손·모욕 기타 사이버도박은 기업에 대한 위협과는 직접적인 관련성이 적어 생략한다.
‘사이버사기’에서 기업에 큰 위협이 되는 대표적인 유형으로 ‘이메일 무역사기’를 들 수 있다. 이메일 무역사기란 ‘BEC(Business Email Compromise) crime’, ‘CEO fraud’ 등 나라마다 여러 가지 명칭으로 불리는데, 범죄자가 이메일 주소를 해킹하거나 비슷한 메일 주소를 사용하는 방법으로 정상적인 비즈니스 파트너임을 가장하여 피해 기업을 속이고 거래 대금을 보내도록 유도하는 수법을 통칭한다. 전형적인 타인 사칭 사기의 한 종류다. 이메일 무역사기는 우리나라뿐만 아니라 전 세계적으로 엄청나게 많은 피해 기업들을 양산하는 대표적인 사이버 위협이라 할 수 있다. 국제형사기구 인터폴에서도 이메일 무역사기 위협을 줄이기 위해 매년 정기적인 캠페인을 벌이고 있다.7)
이메일 무역사기를 일반적인 금융사기범죄로 볼 것인지 아니면 사이버범죄의 한 종류로 볼 것인지에 관하여 과거에는 엄격히 구분하는 시각도 있었지만, 최근 그 수법이 이메일 해킹을 통해 거래처 정보를 수집하는 것에서 발단이 되는 경우도 많아 주로 사이버범죄로 포괄하여 접근하는 경향이다. 결국 사기와 해킹을 나누어 분류하는 것은 수사상 실익이 적고, 보험 실무적으로는 사기와 해킹을 나누어 접근하는 시각도 있을 수 있는데, 어느 범위까지 보장할 것인지 약관에서 범죄 수법이나 유형을 보다 세부적으로 규율한다면 잠재적인 분쟁 요소를 줄이는 방안이 될 수 있겠다.
Business Email Compromise Fraud, “#BECareful - don’t let scammers trick you into making payments to their accounts”https://www.interpol.int/en/Crimes/Financial-crime/Business-Email-Compromise-Fraud
사이버범죄, 사이버테러 나아가 사이버 전쟁이라는 용어들은 사이버 위협이 점차 광범위한 상태로 증가하는 상태로 일견 이해된다. 그 주체가 민간에서 국가 단위로 되고, 피해 대상이 특정 기업에서 광범위한 산업 전반이 된다. 일반적으로 ‘사이버전(cyber warfare)’은 국가 혹은 배후 세력이 다양한 사이버 공격 수단을 사용하여 적의 정보체계를 교란, 거부, 통제, 파괴하는 등 정보 네트워크에 중대한 위해를 가하는 공격을 의미한다.8)
이처럼 사이버전에서는 분산 서비스 거부 공격(이하, 디도스 공격, D-Dos: Distributed Denial of Service attack), 랜섬웨어 등 최신 사이버 공격기법을 이용하여 국가의 핵심적인 시설들을 공격한다. 이는 정부기관, 전력과 통신시설, 금융 시스템을 마비시키는 등 전쟁 수행을 어렵게 한다. 이 과정에서 해당 국가의 전반적인 산업 시설이 파괴되고 유형과 규모에 관계 없이 기업들은 전방위적으로 영향을 받을 가능성이 크다.
사이버전에서 발생하는 사이버 위협은, 첫째 그 시기와 종기가 뚜렷하지 않다. 사이버전은 언제부터가 전쟁 상황이고 언제까지가 전쟁 종료인지 그 시점을 정확히 알기 어렵다. 따라서 사이버위협은 선전포고와 휴전협상이라는 전쟁의 시기와 종기 문제와는 별개로 상존한다. 둘째, 피해 가능성이 있는 대상 범위 설정이나 공격자 식별이 명확히 이뤄지지 않는다. 에너지, 통신, 금융기관 등 전쟁 수행 과정에서 직접적인 타격 대상이 되는 기반 시설들이 1차적인 목표가 되는 한편, 언제든 다른 산업으로 파장이 미칠 가능성이 크다. 기반 산업들은 공급망을 공유하거나 집행기관을 달리 두는 등 다른 산업들과 유기적으로 연결되어 있기 때문이다. 또한 공격목적이 정치적 또는 전쟁 도구적 목적인지 아니면 통상적인 민간에서 저지르는 사이버범죄인지 구분이 어렵다. 따라서 사이버전이 초래하는 사이버 위협은 그 어느 때보다 예측 가능성이 떨어지고 위험의 정도는 높다고 할 수 있다.
작년 2022년 초 러시아는 우크라이나를 침공했다. 러시아는 사이버 공격을 병행하며 우크라이나 위성과 통신망을 무력화시켰다. 특히 국가 주도로 양성한 해커들을(State backed hackers) 전선에 투입하여 우크라이나 공공기관, 통신사, 은행, 미디어 등 다방면으로 악성코드 공격을 감행했다. 이 과정에서 랜섬웨어가 다수 이용되었고, 산업 시스템을 파괴하였으며, 개인정보를 탈취 및 심리전 등 초기 전쟁 수행에 지대한 영향을 미쳤다.10) 이에 대응하여 우크라이나는 지지 세력을 결집했고, 국제 해커 그룹 ‘어나니머스(anonymous)’가 우크라이나 편에서 러시아에 대한 사이버 항전에 가세했다.11)어나니머스는 러시아 정부 운영 뉴스 채널, 국방부, 우주 산업 기업체, 석유산업 자원기업, 인터넷·미디어 기업 등을 대상으로 디도스, 랜섬웨어 등 사이버전을 벌였다.
위와 같은 사이버전 과정에서는, 1차적으로는 국가의 주요 기반시설을 대상으로 하여 핵심 인프라를 무너뜨리는 것을 목표로 한다. 하지만 그 과정에서 연계되어 있는 수많은 기업들은 직·간접적으로 영향을 받을 수밖에 없다. 따라서 원칙적으로 모든 기업들은 사이버전의 대상이 될 수 있고 그만큼 사이버전의 파괴력은 광범위하고, 피해를 산정하기 어렵다.
국내 여건도 예외가 아니다. 북한 해커 그룹 라자루스(Lazarus)는 해외에 있는 한국 기업들에 위장 취업을 시도하기도 했고12), 국내 금융 보안 솔루션을 지속적으로 공격한다거나 13), 국내 조선업계에 피싱메일을 유포하여 악성코드를 설치하는 등14) 사이버 위협은 가시화되고 있다. 이러한 행태들은 사이버전의 전조 현상과 다르지 않고, 이처럼 사이버전은 전통적인 전쟁의 시기·종기와 별개로 그 위험이 상존한다.
다만, 대응하는 방법은 통상적인 사이버 보안 위험과 동일하다. 그 주체가 민간이든 적대국이든, 기업의 입장에서는 사이버 공격에 대비하는 사이버 방어 전략들을 갖추어 얼마나 피해를 최소화하는지가 관건이다. 이와 같이 급변하는 세계 정세 속에서, 사이버전은 사이버 위협의 최신 트렌드로 급부상했다. 이전에는 단편적인 랜섬웨어 공격, 말웨어 등 사건 별 대응이 문제였다면, 이제는 동시다발적으로 산업 전반에 펼쳐지는 사이버 위협들에 대하여 가능한 한 예측 가능성을 높여 위협의 범주를 설정하고 구체적인 위험을 산정하는 것이 보다 더 중요해졌다.
블록체인 기술은 금융 생태계에 혁명적인 변화를 야기하고 있다. 동시에 가상자산과 관련한 범죄도 다양한 방면에서 새로운 수법들이 나타난다. 그야말로 형사법 분야에서 동시다발적으로 수많은 법적 쟁점들을 촉발하고 있는데, 이를 현행 법령들과 실제 발생하고 있는 사건들에 기반하여 분류해 보면 다음과 같다. 가상자산 관련 범죄 유형은, ① 가상자산을 이용하여 범죄자금을 이동시키는 자금세탁 문제, ② 자본시장에서의 주가조작·내부자 거래 등과 같이 가상자산을 매수·매도하는 시장 관점에서 발생하는 문제, ③ 그리고 가상자산을 해킹하여 탈취하는 등 사이버범죄의 대상으로 삼는 침해형 문제 등으로 나눌 수 있다. 이 중 사이버보험과 직접적인 연관이 있을 것으로 예측되는 분야는 세 번째 ‘침해형’ 문제이다. 15)
예를 들면 가상자산 거래소가 해킹되어 고객 보유 자산이 침탈되는 경우가 있을 수 있다. 실제로 이러한 해킹 사고는 종종 발생했고, 이와 관련한 보험금 지급 청구 소송 사례도 발견된다. 16) 이 경우 자산의 형태를 가상자산으로 보유하는 경우가 증가함에 따라 기업뿐만 아니라 일반 개인을 대상으로 하는 사이버보험 상품도 생겨날 여지가 있어 보인다. 17)
가령, 해킹·피싱·말웨어 등으로 인하여 개인이 보유한 가상자산을 침탈당한 경우 이러한 위험을 보상하는 체계를 생각할 수 있다. 실제 이런 모델을 도입하고 있는 국외 기업도 발견된다. 18)
한편, 보험업의 가치 산정 측면에서 가상자산은 그 계산이 복잡하거나 예측 가능성이 떨어진다고 보는 시각도 있을 수 있다. 2022년 하반기 국내 가상자산 시장은 시장 약세가 지속되면서 상반기 대비 시가총액, 거래규모, 영업이익 등이 감소했다. 19) 그렇더라도 시가총액 19조 원, 일평균 거래규모도 3조 원에 달한다. 가상자산이라는 용어 자체도 이제는 그 존재 자체는 무형적일지언정, 가치 자체는 실재하는 것이기에 과연 계속하여 ‘가상’자산이라 명명하는 것이 온당한가 하는 논의도 있다. 그래서 일본에서는 ‘암호자산(Crypto Assets)’이라는 표현을 쓰고, 최근 유럽 의회에서 제정한 암호자산시장에 관한 법률(MiCA, Market in Crypto Assets Regulation)에서도 ‘암호’자산이라는 용어를 도입했다. 그만큼 자산성은 인정받고 ‘가상성’ 보다는 ‘암호성’이라는 특징을 반영하는 추세로 이해된다.
가상자산거래소를 대상으로 한 해킹 공격을 보면, 2011년 일본 마운트콕스사가 약 5,000억 원 상당 피해를 입어 파산하였고20) , 국내에서는 2019년 약 580억 원 규모의 해킹을 당한 업비트, 올해 2023년 상반기에는 약 180억 원어치 가상자산을 탈취당한 지닥 등이 대표적인 사례다. 가상자산거래소가 직접 피해를 입는 경우, 이 거래소에 계정을 만들어 거래한 이용자들이 그 피해를 떠안을 수 있다. 그래서 거래소 또는 가상자산 대상 범죄의 위험성 내지 사회에 미치는 영향은 매우 크다.
2023년 6월, 「가상자산 이용자 보호 등에 관한 법률」(이하 ‘가상자산법’) 제정안이 국회 본회의를 통과하였다. 이는 2023. 7. 18. 제정되어 내년 2024. 7. 19. 시행을 앞두고 있다. 가상자산법에서는 앞선 현실
을 반영하여 가상자산사업자의 보험가입 및 준비금 적립 의무화 조항을 포함시켰다. 21)
가상자산 사이버 위협 역시 다양한 산업에 포괄적인 영향을 미치는데, 이제는 법제환경 변화와 더불어 보험산업 영역에 까지 변화를 가져오고 있다. 22) 23)
2023년 트렌드로 굳이 꼽지 않더라도, 랜섬웨어 문제는 2020년 클롭 랜섬웨어 사례 등 이미 우리에게 익숙하다. 하지만 사이버범죄 위협에서 ‘랜섬웨어(Ransomware)’는 특히 기업을 대상으로 하는 고위험 요소를 안고 있어 늘 우선순위에 있다. 이제는 보안 의식이 상대적으로 높아져 용어 자체는 비교적 익숙해졌지만, 개념이 익숙해진 정도와 신규 피해는 상관관계가 적다. 즉, 클릭하기 전까지는 여러 가지 이유로 랜섬웨어를 발견하기 쉽지 않고, 통상 사이버범죄는 피해를 입게 된다는 인식 없이 발생한다.
간략히 재정리하면, 랜섬웨어란 ① 데이터 엑세스 잠금, ② 해제 조건으로 대가 지급 요구, ③ 지불 시 엑세스 잠금 해제 등 단계로 발생하는 유형의 사이버범죄에서 악성코드를 일컫는다. 즉, 피해 기업의 컴퓨터에 악성 코드를 전송하여 암호화하고, 고객 정보나 제품 데이터에 접근을 차단하는 등 정상적인 업무를 볼 수 없게 만든 뒤, 해제하여 주는 것을 대가로 금품을 지급하도록 요구하는 식이다.
이러한 유형은 엑티브 디렉토리라는 기업 데이터베이스를 대상으로 하여 개인보다는 기업을 대상으로 하는 유형의 사이버범죄이고, 오히려 대기업 보다는 보안 대응이 상대적으로 낮은 중소기업에서 더 잦은 빈도로 발생한다. 24)
경찰청 국가수사본부 사이버수사국에서 발표한 5가지 사이버범죄 트렌드(1. 사이버전 2. 사이버테러위협의 증가 3. 가상자산 4. 플랫폼 마비로 인한 재난 대비 5. 마이데이터) 중 발췌,
https://www.police.go.kr/user/bbs/BD_selectBbs.do?q_bbsCode=1001&q_bbscttSn=20230317103332394
“Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure”
https://www.interpol.int/en/Crimes/Financial-crime/Business-Email-Compromise-Fraud
“Hacker Group Anonymous Declares 'Cyber War' On Putin's Russia”, MSNBC
https://youtu.be/gkrDIjGP4_w?si=EaBJX42X29HKIBfo
“북 해커, 해외 한국 기업 위장 취업 시도” 경향신문 2023. 7. 19.,
https://m.khan.co.kr/economy/economy-general/article/202307192217035#c2b
“북한 해킹조직 라자루스, 국내 금융보안 솔루션 취약점 악용한 공격 지속” 보안뉴스 2023. 6. 13.,
https://www.boannews.com/media/view.asp?idx=119059
“북한발 해킹, 국내 조선업계 대상으로 화력 집중” 보안뉴스 2023. 10. 4.,
https://m.boannews.com/html/detail.html?idx=122374
물론 보험 약관을 어떻게 설정하느냐에 따라 첫 번째, 두 번째 위험 유형도 보험상품화 하는 것은 가능하다.
서울대학교 금융법센터, 제105호 2021년 1월, “사이버보험의 주요 내용 및 쟁점” 42쪽, 권진홍, 김새움
https://www.leeko.com/upload/upFile/202102//RESE202102011512494755341.pdf
“Crypto Insurance”, 2022. 10. 2.,
https://www.investopedia.com/crypto-insurance-5441920
“Though not an insurance company per se, Coincover does offer an individual protection technology and software solution that attempts to prevent crypto businesses from losing crypto due to theft or human error. It covers digital assets against hacking, phishing, malware, device theft, Trojan software, and brute force attacks. The company claims its technology enables the company to compensate for when something goes wrong.”
https://www.coincover.com/
2023. 3. 20. 금융위원회 보도자료, “‘22년 하반기 가상자산사업자 실태조사 결과”
https://www.fsc.go.kr/no010101/79628?srchCtgry=&curPage=19&srchKey=&srchText=&srchBeginDt=&srchEndDt=
“가상화폐 해킹에 대한 사례 연구”, 한국산업보안연구, 2019년 통권 16호, 국민대학교 김문환
“반복되는 코인거래소 해킹…'크립토보험' 도입 논의 수면 위로”, 전자신문 2023. 4. 12.,
https://www.etnews.com/20230412000284
서울경제 2023. 7. 12. “[단독]가상자산 거래소 해킹 1조까지 보상…국내 첫 보험 나온다”
https://www.sedaily.com/NewsView/29S3QM06UU
“변종 랜섬웨어 기승…6월 중소기업 80곳 이상 타격”, 조선일보 2023. 7. 5.,
https://it.chosun.com/news/articleView.html?idxno=2023070501616
이상 눈에 보이지 않는 위협, 사이버범죄라는 주제로 세미나 발제 내용 중심으로 정리해 보았다. 앞에서 본 바와 같이 비가시적 위협의 결과는 매우 가시적이다. 사이버 위협은 사이버전으로 영토가 확장되었고, 랜섬웨어와 이메일 해킹/무역사기는 우리에게 여전히 큰 위협이다. 여기에 가상자산이라는 새로운 위험 요인이 추가됐다. 이렇게 실재하는 위험을 어떻게 구체적인 수치로 산정하여 상품화할 것인지가 사이버보험의 관건이 될 수 있다. 가상자산 의무보험 가입 조항 등 법제 환경의 변화와 더불어 최근 사이버 위협 동향을 반영하여 보험 산업의 새로운 수요가 창출되기를 기대해 본다.