미국 감시 단체는 사이버 보험이 '재앙적 사이버 공격'을 보장하지 않을 것이라고 우려하고 있습니다.

사이버 보험 시장은 최근 몇 년 동안 빠르게 성숙했지만 특정 주요 공격에 대해서는 미흡할 수 있다고 미국 정부 지출 감시 단체가 경고했습니다.

미국 정부 회계 감사국(GAO)은 중요 인프라에 대한 "재앙적인" 사이버 공격에 대한 보험에 대한 연방 대응을 촉구했습니다. 기능하는 보험 시장은 기업, 소비자, 그리고 GAO가 강조하는 것처럼 중요한 기반 시설 운영자에게 필수적입니다. 

감사를 하는 GAO 수조 달러 미국 정부는 매년 지출하며 민간 보험사와 미국 정부의 공식 테러 위험 보험인 TRIP(Terrorism Risk Insurance Program)가 사이버 공격으로 인해 발생하는 치명적인 재정적 손실을 보상하지 못할 수 있다고 경고합니다.

“사이버 공격은 치명적인 손실을 초래하더라도 테러로 인증되는 프로그램의 기준을 충족하지 못할 수 있습니다. 예를 들어 공격은 본질적으로 폭력적이거나 강압적이어야 인증을 받을 수 있습니다.”라고 GAO가 말했습니다.

랜섬웨어와 보험은 속성과 관련된 변수로 인해 까다로운 문제입니다. 랜섬웨어는 대부분 사이버 범죄자에 의해 발생하지만 피해자에게 수백만 달러의 피해를 입힌 일부 사건은 공식적으로 서방 정부가 러시아, 북한 및 중국 정부의 탓으로 돌렸습니다.  

일부 보험사는 이러한 사건이 법정에서 전쟁 행위로 해석될 수 있기 때문에 피해자에 대한 지불을 피하기 위해 이러한 공식 귀속을 사용했으며 사이버 보험 정책에서는 다루지 않습니다. 보험 정책에는 테러 행위가 포함되지만 여기에는 인증된 폭력 행위로 보장을 제한하는 조항도 있습니다.  

"정부의 보험은 사이버 공격이 정의된 기준에 따라 "테러리즘"으로 간주될 수 있는 경우에만 보장할 수 있습니다." GAO는 성명에서.

보험 문제는 이제 러시아의 지속적인 우크라이나 침공 이후 미국 정부의 더 큰 관심사가 되었습니다. 러시아와 러시아 기업에 대한 미국의 제재에 대응하여 크렘린이 지원하는 해커가 미국 조직에 대한 사이버 공격을 촉발할 수 있다고 우려하고 있습니다. 

그렇다면 기업을 위한 사이버 보험 시장이 기업을 지원하지 못할 때 미국과 GAO는 국가적 차원에서 무엇을 해야 할까요?

GAO는 "연방 보험 대응에는 보장 범위, 특정 사이버 보안 요구 사항 및 모든 시장 참가자의 양보가 있는 전용 자금 조달 메커니즘에 대한 명확한 기준이 포함되어야 합니다."라고 말했습니다.

GAO가 지적한 바와 같이 일부 보험 회사는 시스템 문제를 일으키는 사고로부터 자신을 보호하기 위해 보험 정책을 막고 있습니다. 예를 들어, 보험사는 기술적으로 전쟁 범주에 속할 수 있는 공격을 다루지 않습니다. 

GAO는 TRIP가 "테러로 인한 손실에 대한 정부의 지원책"이라고 말합니다. 사이버 보험과 결합하여 일부 보호 기능을 제공하지만 "시스템적 사이버 공격으로 인한 잠재적으로 치명적인 손실을 덮는 능력이 제한적"입니다. 

GAO는 “사이버 보험은 데이터 침해 및 랜섬웨어와 같은 가장 일반적인 사이버 위험의 비용을 상쇄할 수 있습니다. 

“그러나 민간 보험사들은 체계적인 사이버 사건으로 인한 잠재적 손실을 제한하기 위한 조치를 취하고 있습니다. 예를 들어 보험사는 사이버 전쟁 및 인프라 중단으로 인한 손실에 대한 보장을 제외하고 있습니다. TRIP은 다른 요구 사항 중에서 테러로 간주되는 사이버 공격으로 인한 손실을 보상합니다. 그러나 사이버 공격은 치명적인 손실을 초래하더라도 테러로 인증되는 프로그램의 기준을 충족하지 않을 수 있습니다. 예를 들어, 공격이 인증되려면 본질적으로 폭력적이거나 강압적이어야 합니다.”

GAO는 연방 기관의 사이버 보안 기관인 CISA(Cybersecurity and Infrastructure Security Agency)가 연방 보험청 국장과 협력하여 치명적인 사이버 공격과 이러한 위험으로 인한 잠재적 재정적 위험은 연방 보험의 대응을 정당화합니다.”