방재정보

방재 관련 기술정보를 전해다립니다.

사이버 리스크 관리 전략

포항공과대학교 산업경영공학과 정광민 교수

1. 디지털 전환과 경영환경의 변화

사회 전반에서 최근 관찰되는 환경변화는 다양하게 정의할 수 있으나, 그 중 가장 두드러지는 변화는 디지털 전환과 인공지능의 범용화일 것이다. 이미 그 신선함이 미약해진 4차 산업혁명이라는 용어는 디지털 전환 및 인공지능 혁명이라는 용어와 혼용되며 사회 전반이 급변할 것처럼 회자되어 왔다. 디지털 전환 또는 인공지능 혁명으로 인해 기업이 경험하는 현상의 특징은 변화의 가속성이다. 이미 4차에 걸친 산업혁명이 발생하는 주기가 크게 단축되고 있다는 것은 잘 알려진 사실이며, 게임체인저(Game-changer) 기술로 평가받고 있는 생성형 AI 모델(특히, OpenAI의 ChatGPT)의 성능 개선도 1세대부터 4세대까지 최근 5년 내 이루어져 왔다. 현재의 기술변화 속도의 기하급수적 특성은 기업이 이로 인한 불확실성을 최대한 제거하기 위해 끊임없이 노력하도록 압박하며, 시장에서의 적자생존 법칙이 단기간 내 확대되는 기술 격차로 귀결될 수 있음을 시사한다.

변화가 빨라지고, 기술격차 해소를 위해 과도한 디지털 전환 경쟁이 심해짐에 따라 디지털 환경에서 경험할 수 있는 새로운 리스크에 대한 대응 또는 관리 역량 제고 또한 시장 차원에서 고민해야 할 중요한 논제이다. 일반적으로 새로운 환경에서 발생할 수 있는 리스크 요인을 이머징 리스크(emerging risk)라고 학술적으로 정의하는데, Flage and Aven(2015)에 따르면 이머징 리스크는 다음의 4가지 개념으로 정의할 수 있다.

  • 1. 새롭게 생성된 리스크
  • 2. 새롭게 인지된 리스크
  • 3. (위협이) 증가하는 리스크
  • 4. 널리 알려지고, 점차 확고해지는 리스크

국제 리스크거버넌스위원회(International Risk Governance Council)에서는 2011년 리포트를 통해 기술발전에 따른 이머징 리스크를 다음의 3가지 유형으로 정의하였다.

  • 1. 과학기술의 발달로부터 기인하는 불확실성을 내포하는 리스크
  • 2. 기술적인 시스템 발전에 따라 증가하는 네트워크 상호의존성(network interdependence)에 의해서 발생할 수 있는 시스템 리스크
  • 3. 진화하는 환경 하 기존 기술의 사용으로 인해 예상치 못한 손실이 발생할 수 있는 리스크 결국 리스크 환경에 관한 불확실성이 높기 때문에 미래 어떤 유형의 리스크 사건이 발생할지 예측이 쉽지 않다는 것을 위의 정의를 통해 생각해 볼 수 있다. 현재 보험시장을 통해 거래할 수 있는 리스크 유형을 전통적 리스크(classical risk)라고 할 때, 이머징 리스크와의 차이점을 생각해보면 <표 1>과 같이 정리할 수 있다.

<표 1> 전통적 리스크와 이머징 리스크 비교

이머징 리스크는 전통적 리스크와 비교했을 때, 정의와 분류가 모호하고(부족한 지식), 통제 및 전가에 대한 의사결정을 위해 필요한 데이터가 불충분하다는 특징을 가진다. 이러한 이머징 리스크를 효과적으로 관리하기 위해서는 정확한 정의와 분류부터 시작하여 이머징 리스크에 관한 데이터베이스 구축, 데이터 기반의 리스크 평가 모델 개발 및 발전, 그리고 리스크 관리 의사결정 시스템 확립까지 일련의 과정을 체계화해야 한다 (그림 1 참조).

<그림 1> 이머징 리스크 관리체계 구축을 위한 과정

본고에서는 앞서 배경 설명한 디지털 전환 및 정보기술 발전에 따른 이머징 리스크로서의 사이버 리스크를 효과적으로 관리하기 위한 방안에 관해 <그림 1>의 과정에 따라 논의하고자 한다.

2. 사이버 리스크 관리 체계 구축을 위한 과정

가. 사이버 리스크 정의와 분류 체계화

(1) 사이버 리스크의 학술적 정의

사이버 리스크에 관한 명확한 학술적 정의는 여전히 논의의 대상이다. 분야에 따라 학자들 간 사이버 리스크를 바라보는 관점에 차이가 있기 때문에 이러한 논의가 이어지고 있으나, 본고에서는 많이 인용되는 두 관점을 다음과 같이 제시한다. 먼저, 세계경제포럼(World Economic Forum)에서는 사이버 리스크를 “사이버 위험이 조직 또는 기관의 가치 있는 자산에 영향을 끼침으로써 궁극적으로 심각한 결과를 유발하는 손실 사건의 실현 가능성”으로 정의한다. 구체적으로 다음의 세가지 정의로 유형화하였다.

  • ● 물리적 사이버 리스크(Physical cyber risk): 하드웨어 또는 소프트웨어의 핵심 기술 기반시설상 발생하는 리스크
  • ● 정보화 사이버 리스크(Informational cyber risk): 데이터 또는 디지털 정보의 유출 또는 파손 리스크
  • ● 인지적 사이버 리스크(Cognitive cyber risk): 사이버 공간상 개인 또는 집단의 지식, 가치, 믿음, 인식 등의 훼손을 유발하는 리스크

물리적 사이버 리스크는 하드웨어 또는 소프트웨어 장애나 네트워크 시스템, 데이터 센터 등의 물리적 피해로 인해 네트워크 장애, 데이터 전송 장애 등의 문제가 발생하는 경우 등을 포괄한다. 2022년 발생한 카카오 데이터 센터 화재로 인해 해당 플랫폼 서비스 이용의 장시간 장애가 발생한 경우가 대표적인 사례라고 할 수 있다. 정보화 사이버 리스크는 개인정보 또는 기밀정보의 유출과 파기 등의 민감 정보 피해 사례를 들 수 있다. 마지막으로 인지적 사이버 리스크는 사이버 공간상 개인 또는 집단의 지식, 가치, 믿음, 인식 등의 훼손을 유발하는 리스크를 의미한다. 두 번째로 리스크 관리 및 보험(Risk Management and Insurance) 분야의 사이버 리스크 연구 중 가장 많이 인용되고 있는 논문인 Biener, Eling and Wirfs(2015)의 연구에서 제안한 사이버 리스크 정의는 다음과 같다.

“정보 및 정보 시스템 상의 기밀성, 가용성 또는 완전성에 부정적 영향을 초래하는 (정보기술자산으로의) 운영 리스크.”

해당 연구를 통해 사이버 리스크를 운영 리스크로 정의함으로써 기존 은행의 규제 모형인 바젤(Basel)에서의 운영 리스크 분석 모형을 활용하여 사이버 리스크를 분석하는 방안을 생각해 볼 수 있다. 실제로 최근 보험계리 분야 연구에서는 운영 리스크 모델을 활용하여 사이버 리스크를 분석한 연구를 다수 관찰할 수 있다.

(2) 사이버 리스크의 분류체계

사이버 리스크를 분류하는 다양한 접근법이 있으나 본고에서는 세가지 분류법을 소개하고자 한다. 먼저, 주로 유럽의 글로벌 (재)보험사 CRO들이 모여 리스크 담론을 논의하는 CRO Forum에서는 2016년 <표 2>와 같이 사고유형, 근본원인, 리스크 동인 및 결과유형으로 사이버 리스크를 세분화하였다. 특히, 근본원인의 경우 바젤에서 규정한 운영리스크 분류 기준을 활용하였는데, 이는 앞서 사이버 리스크를 운영 리스크의 하위개념으로 정의한 접근법과 일맥상통한다. 두 번째로, 사이버 리스크를 특정 기관/조직에만 발생하는 특이 사건(idiosyncratic event)과 시스템적 사건(systemic event)으로 분류한 Zeller and Scherer(2022)의 연구가 있다. <표 3>에서 볼 수 있듯이, 해당 연구에서는 크게 데이터 유출, 사업휴지, 사이버 절도/사기/갈취 등 세가지 대표 유형으로 구분하여 이를 특이사건 및 시스템적 사건 하에서 사례 분류를 하였다.

<표 2> 사이버 리스크 분류 (CRO Forum, 2016)

<표 3> 사이버 리스크 분류 (Zeller and Scherer, 2022)

마지막으로 Cebula and Young(2010)의 연구와 이를 보완한 정광민(2021)의 연구에서는 바젤의 운영리스크 분류법을 사이버 리스크 관점에서 세분화하여 대분류-소분류-리스크 동인의 3단 분류체계를 제안하였다. 이 중 정광민(2021)의 분류체계의 경우 4가지의 대분류 요인(인적위험, 시스템 및 기술 실패, 내부 프로세스 실패, 외부사건)과 요인별 3~4가지의 소분류 요인(총 13가지)을 제안하고 있으며, 소분류 요인별 3~6가지 리스크 동인을 정의함으로써 총 53가지의 리스크 동인을 도출하였다. 이러한 나무구조의 3단 분류체계는 사이버 리스크를 이해하는데 불확실성을 감소시키고, 부서별 세부적인 리스크 관리 action plan을 구축하는데 도움이 될 수 있다.

나. 사이버 리스크 데이터베이스 구축

앞서 사이버 리스크에 관한 정의와 분류체계를 확립했다면 관련 데이터를 수집하여 이를 분석할 수 있는 정형화된 데이터 세트를 구축해야 한다. 사이버 리스크의 세부 유형에 따라 통계적 특성이 다를 수 있기 때문에 충분히 많은 데이터를 확보하는 것이 중요함에도 불구하고, 사이버 리스크는 운영리스크와 마찬가지로 수집할 수 있는 데이터의 양이 많지 않기 때문에 분석에 어려움이 존재한다. 따라서, 기업은 내부에서 수집할 수 있는 사이버 리스크 데이터뿐만 아니라 외부로부터 수집할 수 있는 데이터까지 적극적인 노력이 필요하다.

(1) 사이버 리스크 외부 데이터

일반적으로 외부에서 수집할 수 있는 사이버 리스크 데이터는 과거 사이버 손실에 관한 정보를 제공하는 경우가 대부분이다. <표 4>에서 확인할 수 있듯이 사이버 리스크에 특화된 외부 데이터 베이스는 한정적이다. 그 중에서 학술적으로나 상업적으로 가장 많이 활용되는 것은 Advisen이라는 영리기관이 제공하는 데이터이며, Privacy Rights Clearinghouse라고 하는 비영리기관에서 제공하는 공공 정보유출 손실자료가 있다. 그 외에는 일반적인 운영리스크 손실 데이터베이스로부터 사이버 리스크 관련 샘플을 추출하여 활용하는 경우가 가능하다. 이는 사이버 리스크 관련 외부 데이터베이스에 비해 정보의 범위도 다양하며, 다수의 기관이 참여하여 데이터를 수집한 컨소시엄 형태의 공급 채널 또한 일반적이다. 이러한 외부 데이터의 경우는 손실에 관한 정보가 광범위하고 다양하다는 장점을 가지고 있으나, 지역적 범위에 있어 한계가 있고, 손실의 발생시점과 보고시점 간 시차가 존재하는 경우가 많아 데이터의 bias가 존재할 수 있다.

<표 4> 외부 데이터베이스 가용 사례

(2) 사이버 리스크 내부 데이터

기업 내부로부터 수집할 수 있는 데이터는 외부에서 수집할 수 있는 데이터와 다르게 조직 내, 외부에 구축된 네트워크 환경에 관한 구체적인 정보를 포함할 수 있다. 기업의 내부 데이터는 크게 네트워크 환경, 보안프로그램 세부사항, 보안정책, IT부서 구성 및 운영방식 등 회사의 사이버 보안수준을 전반적으로 파악한 결과물로서의 Inside-out 데이터(또는 digital footprint 데이터)가 있다. 또한, 인터넷상 다양한 탐지 소프트웨어를 설치함으로써 네트워크 연결구조를 파악하고, 가상 공간 내 네트워크 공급망(network supply chain), 악성 노드로부터의 네트워크 트래픽 규모 등의 데이터를 수집할 수 있는데 이를 Outside-in 데이터라고 한다. 이러한 Inside-out, Outside-in 데이터를 통해 기업 내, 외부적으로 기업 자체의 보안 취약성을 파악하고, 사이버 보안에 관한 자세 또는 수준(cyber risk posture)을 종합적으로 평가할 수 있는데, 총칭하여 Cyber-technographics라고 표현한다.

다. 데이터 기반 사이버 리스크 평가

사이버 리스크를 정의하고 분류함으로써 리스크 환경에 관한 기초적인 이해를 다진 후, 가용한 데이터 수집을 통해 본격적인 리스크 평가 모델을 구축할 필요가 있다. 사이버 리스크 평가는 다음의 세가지 방법론을 통해 구조화할 수 있다.

먼저, 사이버 리스크에 노출된 기업 또는 기관의 특성을 평가할 수 있는 도구를 발전시켜야 한다. 기업의 특성을 파악하는데 있어서는 외부 손실 데이터를 활용하여 기업의 재무정보부터 규모 등을 분석하여 정리하는 방식의 접근법을 많이 활용한다. 이를 Firmographics라고 부르는데, 일반적으로 기업의 매출, 임직원 수, 자산규모, 업종, 지리적 위치, 기업 지배구조 등을 분석하여 통계 정보화한다. 매출과 업종의 경우 기업의 사이버 리스크 익스포져(risk exposure)를 결정하는 주요 요인으로 기존 연구를 통해 밝혀져 있으며(Eling and Jung, 2022; Eling, Jung and Shim, 2022), 특히 매출의 경우 회사의 규모를 판단하는 기본적인 정보이지만 임직원 수로 대체하여 평가하기도 한다. 지역적 위치는 전력, 데이터 센터 등의 주요 기반시설(ciritical infrastructure)의 위치 및 업종비율 등에 따라 사이버 리스크 익스포져를 결정하는 요인으로 작용한다. 기업의 형태(예를 들어, 지주회사 또는 계열사 구조) 및 지배구조에 따라 사이버 리스크 관리 및 네트워크 연결구조의 차이가 존재할 수 있기 때문에 이 또한 중요한 요인이다. 이러한 Firmographic 데이터는 기업의 재무제표나 미디어 정보 등을 통해서 지속적으로 업데이트하여 평가가 왜곡되지 않도록 주의하는 것이 필요하다.

다음으로는 보안수준이나 사이버 보안 자세(cyber risk posture)에 관한 정량적 평가의 문제이다. 리스크 계량 및 사이버 위협 인텔리전스(Risk metrics & threat intelligence)라고 부르는 이 단계에서는 앞서 설명했던 기업의 내부 데이터(outside-in & inside-out) 수집을 통해 다양한 보안요소별 정량지표를 구축하는 방식이 일반적이다. <그림 2>의 두 사례에서 볼 수 있듯이 계량기 형태의 cyber health score 시스템을 통해 이메일 보안, 웹사이트 보안, 외부네트워크 보안 등의 요소별 수준을 계량화한다. 또한, Firmographics에서 확인할 수 있듯이 업종 특성이 사이버 리스크 노출수준을 평가하는데 중요한 요인 중 하나이므로 동종업계 기업(peer 그룹)의 위험평가 분포를 통한 해당 기업의 현재 보안수준을 평가하고, peer 그룹 대비 취약한 위험요인을 도출, 평가하는 시스템을 갖출 수 있다.

Firmographics 및 리스크 계량화를 통한 보안 평가 시스템이 갖춰졌다면 사이버 리스크 사건으로 인한 잠재적인 재정 손실 규모를 평가하는 모형을 구축해야 한다. 이 과정을 통해 사이버 리스크 관리에 대한 기업의 재무적 의사결정을 돕고, 미래 발생 가능한 대규모 손실 사건에 대응할 수 있는 역량을 높여줄 수 있다. 미국 시장에서 관찰되는 사이버 리스크 모델 벤더사들의 접근 방식은 firmographics의 기업 특성 정보와 위협 인텔리전스를 통해 사이버 리스크에 노출된 기업고객의 데이터가 충분히 수집된 후 사건의 빈도 및 심도를 전통적인 계리모형을 통해 추정하고 잠재적 재무 손실량을 산출하는 과정으로 이루어진다.

<그림 2> 사이버 리스크 계량 평가 사례(좌: AXA XL, 우: Bitsight)

라. 리스크 관리 의사결정 체계화

기업은 앞선 리스크 이해부터 평가까지의 절차를 통해 얻은 결과를 바탕으로 사이버 리스크를 어떻게 관리하는 것이 가장 효율적일지 결정해야 한다. 이는 전사적 사이버 리스크 관리(Enterprise Cyber Risk Management)체계를 구축함으로써 지배구조 상에서의 효과적 리스크 의사결정이 이루어지도록 할 필요가 있다. 세계경제포럼은 2022년 연구보고서를 통해 사이버 리스크를 관리하기 위한 조직의 효과적 의사결정 구조에 관해 논의하였다. 해당 보고서에서 제안하는 효과적 사이버 리스크 의사결정을 위한 6가지 요소는 다음과 같다.

  • 1. 사이버 보안을 기업의 전략적 기능으로 이해해야 한다. 즉, 사이버 보안은 IT 문제 이상의 가치를 제공함을 이해하고, 디지털 전환 단계별 사이버 리스크 가능성을 분석하고 심의해야 한다. 즉, 전략적 시사점 측면 또는 전사적 리스크 관점에서 사이버 보안 이슈를 검토해야 한다.
  • 2. 사이버 리스크의 경제적 유발요인과 영향을 정확히 파악해야 한다. 사이버 리스크로 인한 경제적 손실 시나리오를 구축하고 리스크 정량화 프레임워크 및 지표를 개발하여 활용하여야 한다. 이를 통해 조직의 사이버 리스크 수용력(Cyber risk appetite)을 이해함으로써 효과적인 리스크 관리 기제를 선택할 수 있도록 한다.
  • 3. 사이버 리스크 관리와 기업의 니즈를 연계할 필요가 있다. 디지털 전환 전략과 잠재적인 사이버 리스크 간의 관계를 이해함으로써 리스크 관리 전략을 수립해야 하며, 이를 위해 경영진의 이해를 제고할 필요가 있다. 이를 통해 중장기적 디지털 전환 전략과 전사적 사이버 리스크 관리체계의 발전전략 간 연계성도 강화할 수 있다.
  • 4. 사이버 보안 기능이 전사 조직구조에 연계될 수 있도록 점검이 필요하다. 즉, 사이버 보안 기능이 전사적으로 발현될 수 있도록 조직구조를 주기적으로 점검하고, 사이버 보안관련 부서와 기능이 충분한 지원과 관심을 받을 수 있도록 의사결정 안건에 주기적으로 논의될 필요가 있다.
  • 5. 지배구조상 사이버 보안 관련 전문성이 반영되어야 한다. CISO(Chief Information Security Officer)와 CRO(Chief Risk Officer), CTO(Chief Technology Officer), CFO(Chief Finance Officer) 간 사이버 보안 관련 유기적인 소통이 이루어져야 하며, 이사회 내 사이버 보안 관련 소위원회를 운영하거나 주기적인 리스크 환경 변화를 업데이트하여 보고할 필요가 있다.
  • 6. 시스템적 사이버 리스크(systemic cyber risk) 탄력성 제고 및 민관협력 강화 방안을 고민해야 한다. 시스템적 사이버 리스크는 네트워크상 연결된 다수의 사용자에게 동시다발적으로 발생하는 유형을 의미하는데, 기업은 이러한 시스템적 리스크의 원천이 되지 않도록 네트워크 구조를 주기적으로 점검해야 한다. 또한 개별 기업의 회복탄력성 제고보다는 산업구조 내 네트워크 환경 전반에서의 회복탄력성 제고를 위한 민관협력 프로그램이 논의될 필요가 있다.

3. 사이버 보험시장 활성화를 위한 과제

기업은 앞서 기술한 효과적 리스크 거버넌스 하에서 사이버 리스크를 관리하기 위한 효과적 기제를 적절하게 운용해야 한다. 리스크 관리 전략에 있어 가장 효율적인 방법 중 하나는 시장을 통한 리스크 전가 기제인 보험이다. 사이버 보험시장은 전세계적으로 가장 빠르게 성장하고 있는 손해보험시장 중 하나로서, 특히 미국시장이 이러한 성장을 이끌고 있다. 이에 비하면 국내 시장은 규모가 매우 작고, 성장 가능성에 관한 전망도 긍정적이지 않은 상황이다. 국내 사이버 보험시장의 성장을 저해하는 요인은 다양하겠으나, 공급과 수요측면에서 살펴보면 다음의 몇가지를 이야기할 수 있다.

먼저, 공급측면에서는 사이버 리스크를 이해하고 상품화하기 위한 데이터가 매우 부족하다. 이미 미국시장 내에는 사이버 리스크 손실 데이터를 수집하여 상품화한 전문업체들이 관찰되고 있으며, 국제적으로 사이버 리스크 데이터 풀을 민관협력으로 구축하여 운영해야 한다는 논의가 진행되고 있다. 국내에서는 개인정보 유출, 랜섬웨어 등의 다양한 사이버 리스크 데이터를 수집할 수 있을만한 원천이 매우 제한적이기 때문에 보험료 및 지급준비금 추정의 정확성을 확보하기 쉽지 않다. 사이버 리스크 발생 원인을 규명하기 어렵다는 점이나 높은 상호연결 위험(Interconnected risk), 피해범위 산출 및 피해금액 결정의 불확실성 등이 존재한다는 점도 보험사들에게 사이버 보험시장 진입장벽을 높이는 문제로 작용한다. 수요측면에서는 사이버 리스크 인식에 관한 기업의 인식이 매우 낮다는 점인데, 특히 해킹, 랜섬웨어 등이 자신에게 발생하지 않을 것이라는 믿음, 즉 낙관 편향(optimism bias)이 강하게 작동하기 때문에 시장 수요를 제고하는데 어려움이 존재한다.

이러한 공급 및 수요 측면에서의 어려움을 극복하고, 사이버 보험시장을 활성화할 수 있는 방법에는 무엇이 있을까? 여러 접근법 중 본고에서 강조하고자 하는 한가지는 바로 사이버 위험평가 전문기관의 육성과 시장 생태계 조성이다. 사이버 리스크에 관한 언더라이팅은 매우 전문적인 분야라고 할 수 있으며, 사이버 리스크 노출 환경이 역동적이고, 상호 연결 위험이 높은 특성이 있기 때문에 사이버 보안에 관한 전문성을 갖추지 않으면 시장을 이해하기 어렵다고 할 수 있다. 실제 미국 사이버 보험시장을 관찰해보면 기존 원수사의 경우에도 사이버 보안 기능을 갖춘 사전 리스크 관리 솔루션(ex-ante risk management solution)까지 포괄하여 종합적인 사이버 리스크 컨설팅 서비스 형태로 진화하고 있다. 특히, 사이버 전문기관(cyber specialist)으로서 기술적 전문성과 우위를 확보한 사이버 보험 MGA 업체가 두드러지며, 이들이 실제 보험 라이선스를 획득하여 원수사로 전환(repositioning)하는 경우도 눈에 띈다.

이런 측면에서 사이버 위험평가 전문기관은 사이버 보험시장이 제대로 형성되지 않은 국내 시장에서 공급과 수요를 제고하는 토양으로 역할을 할 수 있을 것이다. 예를 들면, 사이버 리스크 취약층인 중소기업 대상으로 언더라이팅 서베이를 표준화하고, 업종별, 지역별 사이버 손실 사고 유형 표준화 및 시나리오 구성 등을 할 수 있다. 또한, 국책기관 및 보험사들과의 협력을 통해 IT 및 운영기술 데이터 풀을 구축하고, 각 보안 요소를 고려한 위험 가중치 평가 및 위험도 지수 개발을 추진해볼 수 있다. 마지막으로 포렌식(Forensic), 배상책임 범위 평가 등 사이버 리스크 사고 발생 대응 매뉴얼을 구축하여 사이버 손해사정 표준화에 기여할 수도 있다. 이러한 특화된 역할을 수행하는 사이버 위험평가 전문기관을 통해 보험사는 공급측면에서의 장벽을 낮추고, 적정 보험료를 산출할 수 있는 역량을 키울 수 있을 것이다. 수요측면에서는 보안에 취약한 중소기업의 사이버 리스크 이해를 제고하고, 종합적인 리스크 관리 솔루션을 통해 비용 효율적인 리스크 관리 의사결정을 유도할 수 있을 것으로 기대한다.

4. 맺음말

국제적으로 리스크 관리 및 보험분야에서 사이버 리스크 연구가 10년 이상 지속되어 왔음에도 불구하고 시장에서는 여전히 이를 이머징 리스크로 인식하고 있는 경향이 있다. 즉, 앞서 논의한 대로 정의, 분류, 데이터, 모형 측면에서 이머징 리스크의 특성이 여전히 두드러져 있고, 시장의 관심도 높지 않다는 것이다. 사회는 더 빠르게 디지털화 되어 가고, 금융, 비금융 할 것 없이 제반 산업에서의 디지털 전환 또한 COVID-19를 기점으로 드라마틱하게 이루어지고 있기 때문에 사이버 리스크 인식 수준과 관리체계 발전에 관한 논의가 좀 더 진지하고, 활발해질 필요가 있다. 선진 사이버 리스크 관리 환경을 조성하기 위해서는 우선, 업계 공통의 사이버 리스크 정의와 분류체계가 표준화되어야 하며, 이를 바탕으로 리스크 관리 체계를 발전시켜야 한다. 또한, 사이버 리스크 평가에 있어 데이터 확보는 경쟁력이며, 내, 외부 데이터 모두 적극적으로 수집하여 활용해야 한다. 이를 위해서는 협력적 데이터 풀(data pool) 구축, 사이버 손실 사건 탐지 및 보고 의무에 관한 법제화 등의 제도적 지원도 필요하다. 사이버 리스크 평가는 Firmographics, 리스크 계량 및 사이버 위협 인텔리전스 체계, 고도화된 손실 모델의 3단계 과정으로 구조화할 필요가 있으며, 사이버 리스크 전문 평가 기관을 육성하여 비용 효율적인 아웃소싱 네트워크를 구축하는 것이 효과적이다. 마지막으로 개별 기업의 사이버 리스크 관리 의사결정이 효과적으로 작동하도록 전사적 사이버 리스크 관리체계의 구축과 성숙한 사이버 보험시장 육성이 뒷받침되어야 한다. 이러한 사이버 보험시장 육성 및 사이버 리스크 관리 환경 조성을 위해 산·학·연이 협력할 수 있는 이니셔티브(initiative)가 형성되기를 기대해 본다.

[참고문헌]
● 정광민. 금융산업의 디지털 전환과 운영리스크: 은행과 보험산업 중심으로. 보험연구원 연구보고서21-7. (2021).
● Biener, C., Eling, M., and Wirfs, J. H. (2015), Insurability of Cyber Risk: An Empirical Analysis. The Geneva Papers on Risk and Insurance-Issues and Practice, 40(1), 131-158.
● Cebula, J. J., and Young L. R. (2010). A Taxonomy of Operational Cyber Security Risks. Carnegie-Mellon University. Pittsburgh Software Engineering Institute.
● CRO Forum. (2016). Concept proposal categorisation methodology for cyber risk. Amsterdam: The CRO Forum.
● Eling, M., and Jung, K. (2022). Heterogeneity in cyber loss severity and its impact on cyber risk measurement. Risk Management-An International Journal, 24(4), 273-297.
● Eling, M., Jung, K., and Shim, J. (2022). Unraveling heterogeneity in cyber risks using quantile regressions. Insurance: Mathematics and Economics, 104, 222-242.
● Flage, R. and Aven, T. (2015). Emergine risk-Conceptual definition and a relation to black swan type of events. Reliability Engineering & System Safety, 144, 61-67.
● Zeller, G., and Scherer, M. (2022). A comprehensive model for cyber risk based on marked point processes and its application to insurance. European Actuarial Journal, 12(1), 33-85.