[ET단상] 기업 무너뜨리는 '사이버위협'과 사이버보험의 역할

사이버위협은 '언제'의 문제일 뿐, '만약'의 문제가 아니다. 조용히 치명적으로 침투하는 이 공격은 기습과 침투전 성격을 모두 갖고 있다. 외견상 평온해 보여도 내부는 침범당한 상태일 수 있다는 의미다.

실제 2018년 해커들이 예약 시스템에 침투해 약 5억명 고객 정보를 탈취한 M호텔 그룹 데이터 유출 사건은 장기간 지속됐지만 아무도 이를 감지하지 못했다. '사이버공격을 당했거나, 아직 모를 뿐'이라는 말은 단순 경고가 아니라 오늘날 기업 환경 현실이다.

최근엔 인공지능(AI)기술 진화와 지능형 랜섬웨어 공격 고도화로 글로벌적으로 위기가 심각해지고 있다. 작년 상반기 사이버범죄로 인한 글로벌 범죄 수익은 4억5000만달러에 달했다. 이는 전년 동기 대비 10% 증가한 수치다.

주요 기반시설에 대한 DDoS(서비스거부) 공격은 4년 새 55% 증가했고, 소프트웨어(SW) 공급망을 타고 확산되는 공격으로 인한 피해는 오는 2031년까지 1380억달러에 이를 것으로 전망된다. 사이버위협은 더 이상 기술 부서 문제가 아닌, 기업 경영 전체를 마비시킬 수 있는 핵심 리스크다.

이에 '사이버복원력(Cyber Resilience)'이라는 개념이 주목받고 있다. 사이버 복원력이란 단순한 보안 강화가 아니라, 사고 발생 이후 기업이 얼마나 빠르고 효율적으로 회복할 수 있는지에 대한 능력을 뜻한다. 세계경제포럼(WEF)은 올해 보고를 통해 '지정학적 불안과 AI기술 양면성이 사이버 공간 복잡성과 위험성을 가중시키고 있다'며 복원력 중심 전략 전환을 촉구한 바 있다.

다만 현실은 이상은 괴리가 크다. 사이버복원력의 중요성에 동의하는 기업은 95%에 달하지만, 12시간 내 복구 체계를 갖춘 기업은 33%에 불과하다. 56%는 사이버 대응 전략이 없거나 인지하지 못하고 있으며 절반 가까운 기업이 기본적인 보안 인증조차 미비한 상태다. 준비 부족이 위기를 키우는 구조다.

그렇다면 기업은 어디서부터 복원력을 키워야 할까. 이 질문에 대한 실질적인 해답중 하나가 바로 사이버보험이다. 많은 이들이 사이버보험을 단순 사고보상 수단으로 오해하고 있지만, 최근 사이버보험은 사고 이후 복구뿐 아니라 사전 진단과 예방 컨설팅까지 포함한 통합 리스크 관리 도구로 진화하고 있다.

예컨대 보험 가입 전 단계에서 보험사는 기업의 정보기술(IT) 인프라와 공급망, 직원 보안 인식 등을 평가해 '보안 취약 보고서'를 제공한다. 이는 기업이 자각하지 못했던 리스크를 조기에 발견하고 대응할 수 있게 만든다. 한 국내 제조업체는 사이버보험 계약 과정에서 이메일 서버의 백업 미비점을 지적받고 사전에 보완해 몇달 뒤 발생한 공격에서 피해를 최소화할 수 있었다.

또 사고 발생시 사이버보험은 즉각적 사고대응팀 파견, 법률 자문, 데이터 복구, 고객 통지 및 배상 대응 등 전방위 솔루션을 제공한다. 종합병원이 '예방·진단·치료' 전 단계를 포괄하듯 사이버보험도 기업이 위기를 극복하고 지속가능한 경영을 이어갈 수 있도록 돕는 역할을 한다.

보안 솔루션이 공격을 막는 도구라면, 사이버보험은 발생한 사고를 관리하고 회복하는 안전망이다. 디지털 시대 기업은 보안 솔루션만으로는 부족하다. 사후 회복 능력, 즉 사이버복원력이 경쟁력이 되는 시대다.

화재에 대비해 스프링클러와 소화기를 구비하고도 화재보험에 가입하듯, 사이버보험도 기업 지속가능경영을 위한 안전장치로 자리잡아야 한다. 사이버위협은 화마(火魔)만큼 위험하고 우리 일상 가까이에 있다. 사이버복원력이 기업의 필수 경쟁력이라는 관점에서 사이버보험은 지속가능 경영의 출발점이 될 수 있다.

권택인 한화손해보험 사이버RM센터장 taekin.gwon@gmail.com