2022 Lloyd's 사이버보험 Market Bulletin

해당 글은 Lloyd's 에서 발행한 사이버 보안 Market Bulletin 'State backed cyber-attack exclusions' 관련하여 Cordery Compliance에서 작성한 글을 요약한 내용입니다.

주의:
최선을 다하여 의역하였으나, 필자는 보험 전문가가 아니기 때문에 보험 관련 용어가 정확하지 않을 수 있습니다. 
잘못된 내용이 있다면 댓글로 남겨주세요.

 

개요

2022년 8월 16일, 세계 최고의 보험 시장인 Lloyd's of London은 사이버 보험에 대한 Market Bulletin을 발행했습니다. 해당 Market Bulletin은 2023년 3월 31일부터 발행(?)되는 Lloyd의 사이버 보험 정책들이 따라야 하는 새로운 요구 사항을 제시하여, Lloyd가 발행한 사이버 보험 정책에 state-sponsored 공격에 대한 보장이 포함되지 않을 것임을 분명히 했습니다.

 

시사하는 바

한 국가가 정부 차원에서 타 국가에 사이버 공격을 하는 일은 새롭지 않습니다. 오랜 기간동안 금전적 이익 혹은 타 국가의 기관들을 방해하기 위한 용도로 사이버 공격을 활용해 왔습니다. (북한, 러시아, 중국 등의 공격은 흔히 알려져 있지요.)

기존 보험의 범위에서 전쟁 행위는 이미 예전부터 제외되어 왔기 때문에, 이번 Lloyd 발표가 놀라운 일은 아닙니다. 이번 발표로 인해 기업들은 보험이 모든 문제에 대한 해결책이 아니라는 점을 다시 한 번 생각하게 되고, 자체적 보안 강화에 대한 필요성을 더욱 느낄 것입니다.

 

공격 배후를 어떻게 특정하나요?

그렇다면, 특정 사이버 공격이 국가 주도 공격이라는건 어떻게 알 수 있을까요? 전문가의 도움을 받아 특정 국가의 개입을 나타내는 힌트들을 찾을수는 있겠지만, 확신하기에는 어려움이 있습니다.

공격 배후를 증명 하는 게 어렵기 때문에 적절한 절차들을 마련하는 것이 핵심이 될 것입니다. 예를 들어, 조사에 도움이 될 수 있도록, 적절하고 효과적인 시스템 모니터링이 필요합니다. 또한 증거들을 분석할 수 있는 전문가의 도움 또한 필요할 것입니다.

언제나 그렇듯이, 공격에 대비하기 위한 가장 좋은 때는 공격이 이러나기 전입니다. 미리 준비해야하고, 보험사에 제출 할 증거를 수집하는 훈련을 통해 준비도를 확인해보는게 좋습니다.

 

공격을 당하면 무엇부터 해야하나요?

1. 사건의 성격과 내용 그리고 상황에 따라 제재 대상(공격자)에게 금액을 지급하는 행위는 국가 주도 공격의 명백한 증거로 간주될 수 있습니다. 따라서 보험사에서 해당 지불금을 충당할 가능성이 거의 없습니다. 귀책을 파악하는 것과 랜섬웨어를 통해 지급을 요구하는 당사자를 파악하는것은 여전히 어렵지만, 금액을 지불하기 전에 공격자를 먼저 파악하는 것이 현명한 방법입니다.
2. 또 하나의 중요한 고려사항은 사고 이후 조직에서 사용하는 메시징입니다. 흔히 기업의 PR 및 crisis management communications 전문가는 사고 발생 이후, 대중의 동정심을 얻고 SNS 상의 반발을 줄이기 위해 "복잡한 국가 주도 0-day 공격"(sophisticated nation-state 0-day attack)을 당했다고 주장하고 싶을 수 있습니다. 하지만, 이렇게 대응하면 보험사가 보장을 거부하거나, 최소한 조사가 진행되는 동안 지불을 지연시키는 결과를 초래할 수 있습니다. 따라서, PR 및 crisis management team은 사고 발생시 messaging을 어떻게 할건지 사전에 정해 두어야 합니다.

 

언제부터 적용되나요?

2023년 3월 31일로 부터 12개월 후인 2024년 3월 31일 이후에 만료되는 보험이 적용 대상입니다. 그 외 보험에는 필수적으로 적용하지 안하도 되지만, 앞으로 정책을 개정할 회사들을 이 새로운 약관을 제안 받을 가능성이 높습니다. 따라서 보험사로부터 제안 받은 약관을 확인 후, 리스크를 파악하고 리스크를 줄이기 위한 방법들을 고려해야합니다.

 

우리는 무엇을 할 수 있을까요?

우선, 보험 커버리지에 의존하는 것보다, 공격을 예방하는 것이 좋습니다. 리스크를 줄이기 위한 방법 몇가지를 소개합니다.

1. 임직원 및 하청업체 대상 교육 및 훈련: 변경사항에 따른 리스크 증가를 인지할 수 있도록 교육합니다.
2. 변경 사항으로 인해 높아진 리스크를 사이버보안 태세에 반영: 높아진 리스크가 사이버보안 태세에 반영되도록 소프트웨어 패치 적용 여부를 확인할 수 있는 시스템, MFA 등을 적용합니다. (제대로 된 MFA 시스템이 없는 경우, 많은 보험사들이 커버를 해주지 않습니다.)
3. 클레임 방어를 위한 준비: 공격을 완전히 피할 수는 없기 때문에 공격에 대비합니다. 좋은 변호사들을 미리 확보하는 등 클레임 방어에 필수적인 초기대처를 위해 준비하고, 침해사고 상황 훈련을 진행하는 것도 좋습니다. (침해사고 훈련 할 수 있는 사이트: https://www.corderycompliance.com/cordery-data-breach-academy-2-2/) 클레임 방어에 필수적인 초기 대응에 communications 팀의 역할이 아주 중요하기 때문에, 침해사고 연습 훈련 시, communications 팀이 꼭 포함되도록 합니다.
4. 공급업체 및 3rd party와의 계약서에 반영: 공급업체 및 3rd party와의 계약서를 면밀히 살피고, 침해 의심이 발견되면 즉시 알리도록 하는 처리자의 의무를 명시 해야합니다. 또한, 원인과 결과 파악에 필요한 정확한 정보를 얻기 위해 감사(audit) 권한을 확보하는 것도 중요합니다.
5. 랜섬 지급 전략 수립: 랜섬 지급 관련 전략을 사전에 수립합니다. (참고 글: https://bit.ly/ransompay)