[특별 기고] 김규정 에이온코리아 사장 | 사이버 위협 리스크에 긴장한 글로벌 기업, 외면하는 한국 기업
최근 한국인터넷진흥원(KISA)이 발표한 ‘랜섬웨어(ransomware·몸값 요구하는 악성코드) 피해 신고 건수’ 자료에 따르면 민간 분야를 대상으로 한 랜섬웨어 신고가 2018년 22건에서 2022년 325건으로 약 14배 가까이 증가했다. 이러한 사이버 리스크에 대해 기업들은 예방 및 대처를 위해 보안 강화에 힘쓰고 있지만, 여전히 미디어에는 여러 기업의 개인 정보 유출부터 전산망 오류까지 다양한 사건 사고가 끊임없이 보도되고 있다. 국내 실내 스포츠 회사가 랜섬웨어 공격에 따른 서버 디스크 파손으로 수일 동안 정상 운영에 어려움을 겪는 상황이 발생하기도 했다. 서버 복구를 위한 비용이나 사업 파트너 및 소비자에 대한 피해 보상은 바로 체감할 수 있는 손실이겠지만, 사업을 운영하는 입장에서는 이것은 빙산의 일각이다. 불가피한 영업 중단으로 인한 매출 손실은 물론 주주 및 소비자들과 오랜 기간을 구축해 왔던 신뢰 관계에 부정적 영향을 미치게 된다.
전 세계 리더들 "사이버 리스크 가장 큰 위험"
글로벌 선두 보험중개사 에이온이 최근 발간한 ‘2023 사이버 회복탄력성 보고서(Cyber Resilience Report)’에 따르면, 사이버 공격으로 발생한 피해의 약 66%는 공격받은 지 10일 이내에 입는 직접 손해와 관리 및 복구 비용의 형태로 나타난다. 즉, 기업들이 공격을 받은 지 10일 이내에 사이버 공격에 대응한다면 위기를 보다 더 효과적으로 관리할 수 있다는 뜻이다.
기업들은 사전에 잠재적 리스크를 분석해 정량화한 데이터를 바탕으로, 예방 및 대처 프로토콜을 구축하고 시뮬레이션하는 데 정기적으로 투자해야 한다. 또한 이 과정에서 경제, 산업 및 회사 내부 상황에 맞춰 설계한 최적의 보험 솔루션을 통해 효과적인 대응책을 마련해 두는 것도 필요하다.
최근 랜섬웨어 공격이 대기업보다 소규모 기업을 대상으로 이뤄지는 방식으로 변화하고 있다는 것도 주목해야 할 대목이다. 기존에는 대기업의 보안망을 뚫고 들어가 암호를 건 뒤 금전적 대가를 요구하는 방식이었다면 최근에는 상대적으로 방어력이 낮은 중소기업의 정보에 접근한 뒤 이를 공개할 것이라고 위협해 오는 방식이다. 공격 대상이 누구나 될 수 있으며 리스크로 인한 피해가 더욱더 방대해지고 있다는 뜻이다.
최근 4년간 사이버 위협은 더욱 빈번하게 발생하고 있으며 보다 더 정교해진 수법과 치명적인 피해가 나타나고 있다. 실제로 전 세계적으로 랜섬웨어 공격이 2023년 상반기에 전년 동기 대비 176% 급증했다. 수많은 글로벌 비즈니스 리더는 이미 이러한 심각성을 잘 인지하고 있다.
에이온은 2년마다 전 세계 리스크 전문가 및 임원을 대상으로 ‘글로벌 리스크 매니지먼트 설문 조사’를 실시하고 있다. 2007년을 시작으로 9번째로 진행한 2023년 설문 조사는 한국을 포함한 61개 국가 및 지역의 약 3000명을 대상으로 했다. 설문 조사 결과에 따르면, 글로벌 리더들이 가장 큰 위험 요소로 꼽은 것은 ‘사이버 공격 및 데이터 유출’이었다. 2026년에 가장 위협적인 리스크가 무엇일지 예상해달라는 질문에 대한 답변 역시 1위가 ‘사이버 공격 및 데이터 유출’이었다.
글로벌 기업들은 에이온과 같은 전문가 집단과 긴밀히 논의해 사이버 리스크에 적극적으로 대비하고 있다. 리스크 관리의 핵심은 사이버 회복탄력성을 갖추는 것으로 기업들 은 지속적으로 사이버 보안 현황을 파악하고 데이터를 기반으로 전략을 구축해 나가야 한다. 에이온은 ‘사이버 루프(Cyber Loop)’라는 모델을 개발, 많은 글로벌 기업이 사이버 리스크 관련 ‘주요 리스크는 무엇이며 어떤 요인으로 발생했는가’ ‘현재 적절한 조치를 취하고 있는가’ ‘보험 시장을 활용할 준비가 되었는가’ 등과 같은 질문을 통해 현황을 살피고 사이버 회복탄력성을 강화할 수 있도록 지원하고 있다. 모든 기업은 평가(assess), 완화(mitigate), 전가(transfer), 회복(recover)이란 루프 속에서 각기 다른 단계에 위치해 있다. 이 모든 과정이 서로 연결되고 순환되는 관점에서 리스크를 관리해 간다면, 기업 리더들은 비즈니스뿐 아니라 재정, 운영 및 평판 면에서 회사를 보호하는 체계적이고 지속 가능한 결정을 내릴 수 있을 것이다.
한국 기업, 무형 리스크 인식 낮아
한국 상황은 어떨까. ‘2023 글로벌 리스크 매니지먼트 설문 조사’에서 한국 결과만 보면 한국의 리더들은 가장 큰 위험 요인으로 ‘경쟁 증가’를 꼽았다. ‘시장 트렌드의 빠른 변화’ ‘배상 책임’ ‘규제·법률 변화’ ‘환율 변동’이 그 뒤를 이었다. 사이버 리스크는 10위에도 들지 못했다. 전 세계적인 사이버 위협의 증가세를 고려했을 때 매우 우려스러운 상황이다. 이는 무형 리스크의 위험성에 대한 국내 기업의 낮은 인식에서 기인한다. 한국인터넷진흥원 소속 한 연구위원에 따르면 국내 기업은 ‘사이버 사고의 발생 가능성이 작다’ ‘사이버 사고가 발생하더라도 손실이 크지 않다’ ‘사이버 사고가 발생하더라도 관련 법적 책임이 크지 않다’는 등 대표적인 세 가지 고정관념을 가지고 있다고 한다. 전사적 권한을 지닌 리스크 매니저가 부재하며 보험 가입이 주요 현안에서 밀려난 것도 이러한 인식의 영향을 받았기 때문이라 볼 수 있다.
사이버 보험의 필요성에 대한 공감대가 형성되지 않았는데 리스크 대비 기초 단계인 리스크 평가 모델을 구축하는 것은 너무 먼 이야기처럼 느껴질 수 있다. 지난 2020년 개인 정보 ‘손해배상 책임보장보험’의 의무 가입이 강화됐음에도 불구하고 보장 범위가 제한적이라 여전히 사각지대가 존재한다. 뿐만 아니라 사이버 보험 시장이 활성화되지 못한 탓에, 현재 국내에서 판매되고 있는 보험 상품은 디지털 공간에서 발생하는 다양한 위험에 대한 종합 담보보다는 정보 유출에 따른 배상책임 담보에만 집중돼 있다. 향후 증가하는 사이버 위험과 이에 따른 피해를 보장하기에는 미흡한 수준이다.
보험사들은 기업들의 비즈니스 지속 가능성을 지원하기 위해 피해 보상 방안에 그치지 않고 피해를 줄일 수 있도록 다양한 상품을 개발해야 한다. 그러나 사이버 리스크의 유형이 다양해지고 있는 상황에서 보험사만의 역량으로 리스크를 예측 및 분석하고 상품을 개발하는 데는 부담이 크다. 기업과 보험사가 상호 발전하기 위해서는 정부, 연구기관 및 보안 전문 업체 등 민관 협력이 뒷받침돼야 한다는 주장이 나오고 있는 이유다. 코로나19 상황 속 디지털 전환을 빠르게 이뤄냈던 역량을 가진 나라가 한국이다. 현재 가지고 있는 인프라와 역량과 경험 그리고 앞으로 사이버 보험을 적절히 활용해 나간다면 사이버 리스크 대응 역량도 글로벌 스탠더드 이상으로 키울 수 있다고 기대해 본다.
Copyright © 이코노미조선. 무단전재 및 재배포 금지.