이 보고서는 최근 기업이 직면한 사이버리스크의 양적·질적 변화, 그로 인한 사이버보험시장 내 수요 및 공급상의 변화와 보장공백을 분석하고, 동 보장공백에 대한 미국, 호주, 영국, 프랑스 등 사이버보험 시장을 선도하는 주요국의 대응을 검토하였다.
분석 결과, 2010년대 들어 사이버사고의 공격자는 개인 또는 범죄조직에서 국가·준정부 조직·테러조직으로, 공격 동기는 호기심·금전·과시욕에서 정치적·군사적 동기로, 공격표적은 개인 또는 보안이 취약한 중소기업에서 공급망 및 산업제어시스템 공격을 통한 대기업과 국가기반시설로, 피해 유형은 정보 유출 및 개인정보 침해에서 재물·신체·영업중단손해 등으로 확대되고, 피해심도는 통제가능한 수준에서 파괴적인 수준으로 진화하였다. 파괴적 사이버공격의 빈도 및 심도 증가와 기업의 사이버 관련 규제리스크 증가에 따라, 사이버보험에 대한 수요도 급격히 증가할 것으로 예상된다. 사이버리스크의 양적·질적 변화에 대응해 보험업계는 사이버보험 공급에 보수적 기조를 취할 것으로 보인다. 구체적으로, ① 사이버사고의 빈도 및 심도 증가, 대재해 가능성 등에 따른 보험업계의 공급 기조 변화, ② 암묵적 사이버담보의 언더라이팅 리스크 가시화와 그에 따른 포괄위험 담보방식 재물·배상책임보험의 사이버면책 확대 움직임, ③ 정보 유출 피해 등 배상책임과 비용보장에 집중된 단독 사이버보험의 비포괄성, ④ 2017년 낫페트야 공격으로 촉발된 국가배후 사이버공격에 대한 재래식 전쟁면책 적용 논란과 그로 인한 보험업계의 사이버 대재해 및 전쟁면책 움직임, 그리고 ⑤ 벌금 및 랜섬담보의 반공익성에 따른 규제 강화와 동 담보 제공 자제의 움직임 등이 관찰된다. 이에 따라 사이버사고로 인한 재물 및 영업중단손해, NDBI, 신체손해, 국가 배후 사이버공격, 사이버 대재해, 그리고 벌금 및 랜섬담보에 대한 보장공백이 커질 것으로 예상된다.
이에 세계 사이버보험 시장을 선도하는 미국, 영국, 프랑스, 호주 등에서는 자국에서 이미 운영 중인 공사협력 테러보험 프로그램을 통해 ‘일부 사이버공격’으로 인한 손해에 대해 재보험담보 및 유동성을 제공하는 방식을 취하고 있거나 논의 중이다. 이미 테러보험 프로그램이 존재하는 상황에서는 사이버사고를 동 프로그램의 손인으로 추가하는 것이 정책적으로 가장 용이한 접근일 뿐만 아니라, 사이버리스크에 대응한 공사협력 보험 프로그램을 새로이 구성하기에는 사이버리스크와 사이버보험 시장이 단기간에 급격하게 변하였기 때문으로 사료된다. 그러나 기존 테러보험 프로그램은 물리적 테러리즘과는 이질적인 사이버테러리즘의 특성을 반영하고 심각한 보장공백이 예상되는 사이버공격을 포섭하는데 있어 여러 한계를 보였다. 무엇보다도 문제의 사이버사고가 테러리즘 요건을 충족해야 하므로, 인간의 실수에 의한 대규모 사이버사고, 범죄조직의 대규모 금전 목적 랜섬웨어공격, 또는 국가 배후 사이버공격은 프로그램 적용대상에서 배제될 수 있다. 국가 배후 사이버공격, 경제적 목적의 사이버공격 등은 기존 ‘테러리즘’의 정의에 부합하지 않을 뿐만 아니라, 공격주체를 특정하기 쉽지 않아 특정 사이버공격을 ‘테러리즘’으로 인정하는 것에도 불확실성이 존재한다. 주요국은 이러한 한계를 이미 인지하고 있으며, 현 시점에서는 미국이 기존 테러보험 프로그램에 매몰되지 않고 사이버리스크에 대한 보장공백 해소방안을 적극적으로 탐색 중이다. 미국에서는 재난적 규모의 사이버사고, 국가 배후 사이버공격, 사이버공격으로 인한 NDBI(물적 손해를 동반하지 않은 영업중단손해) 등에 대한 정부의 재보험담보 제공을 심도 있게 검토하고 있다. 호주에서도 테러리스트의 사이버공격으로 인한 기업의 재물손해 및 영업중단손해에 대해 정부가 재보험담보 및 지급보증을 제공하는 방안이 현재 긍정적으로 논의 중인 가운데, 보장범위에 국가 배후 사이버공격을 포함될 수 있도록 ‘공격자에 상관없이 정치적·종교적·이념적 목적을 가진 악의적 사이버공격’으로 논의 범위를 확대하고 있다.
자연재해나 물리적 테러리즘과 달리, 사이버사고로 인한 피해는 국경이 없고, 손해보험은 업의 속성상 활발한 국경 간 거래가 불가피한 산업이라는 점에서, 전술한 사이버보험 시장 상황이 특정 국가에 국한된 것은 아니다. 특히, 국내 사이버보험은 세계 보험시장을 선도하는 주요 국가의 보험제도 변화, 손해율, 보험요율, 인수전략 등에 상당한 영향을 받기때문에 사이버리스크에 대한 보장공백의 문제가 특정 국가에 국한된 이슈는 아니다.
'정책칼럼' 카테고리의 다른 글
| 일본 기업의 ESG 경영 트렌드/류희숙.POSRI (0) | 2022.01.28 |
|---|---|
| 연준, 중앙은행 디지털통화(CBDC) 보고서 주요 내용/한국은행 (0) | 2022.01.28 |
| 공공임대주택 유형 통합의 추진 현황과 향후 과제/김강산.국회입법조사처 (0) | 2022.01.28 |
| 청정수소 생태계, 산업용 수소와 산업 간 협력 모델 주목/김영훈.POSRI (0) | 2022.01.28 |
| 2022년 클라우드컴퓨팅 트렌드 /김현우.한국지능정보사회진흥원(NIA) (0) | 2022.01.28 |