무디스 “크라우드 스트라이크 사태가 사이버보험 수요 촉진”

[한국공제보험신문=박종구 이사] 지난 19일 전 세계에 IT대란을 일으켰던 사이버 보안업체 ‘크라우드 스트라이크(CrowdStrike)’ 사태로 인해 사이버보험 시장이 확대될 것이란 무디스의 보고서가 나와 주목된다.

무디스는 이번 사태를 분석한 보고서를 통해 “최근 크라우드 스트라이크의 IT대란으로 발생한 사이버보험 청구의 주요 원인은 재산 피해가 아닌 영업 중단 배상책임(BI, Business Interruption)이 될 것”이라고 분석했다.

이번 사태로 인해 전 세계적으로 공항, 금융, 방송, 통신 등의 인프라가 동시다발로 마비되며 전례 없는 규모의 IT대란이 벌어졌으며, 수천개의 기업 및 공공 서비스, 정부 기관에 발생한 시스템 장애에 대한 경각심이 높아져 궁극적으로 사이버보험 가입이 증가할 것이란 설명이다.

무디스는 그러나 “이번 사건의 정확한 손실 규모를 평가하는데 어려움이 있으며, 사이버보험 약관의 문구도 표준화되지 않은 탓에, 어떤 고객이 손실을 입었고 그 손실이 보상받을 수 있는지 여부를 결정하는 데 시간이 걸릴 것”이라고 지적했다.

실제로 이번 사태에 대한 손실 추정치는 매우 다양하다. 보험서비스회사 파라메트릭스는 이번 사건으로 인한 경제적 손실이 54억 달러에 이를 것으로 예상했으며, 보험 보상 규모는 경제적 손실의 10%~20%(5억4000만~10억8000만 달러)에 불과할 것으로 예측했다.

반면, 사이버보험사 사이버큐브는 독립형 사이버 보험 시장에서 보험으로 보상받을 수 있는 손실을 4억~15억 달러 사이로 추정했다.

게다가 손실 규모 파악을 위한 변수들도 고려해야 한다. 많은 사이버보험은 BI 청구가 시작되기 전에 최소 대기 시간이 있다. 이는 일반적으로 8~12시간 사이이지만 약관에 따라 다를 수 있다.

영업 중단의 타이밍도 중요한 분쟁 요인이 된다. 영업 중단을 초래한 잘못된 업데이트는 7월 19일 04:09 UTC에 컴퓨터에 배포됐고, 약 80분 후인 05:27 UTC까지 온라인 상태였던 컴퓨터에만 영향을 미쳤다.

그 결과 아시아 태평양 지역 시스템이 유럽과 북미에 비해 더 큰 영향을 받았다. 아시아 태평양 지역은 낮 시간이어서, 새벽 시간인 유럽과 미국 시스템보다 더 많이 온라인 상태였기 때문이다. 다만, 사이버보험 보급률은 미국이 아시아 태평양 지역보다 높은 상황이다.

이밖에 사이버 보험 약관에는 클레임을 신청하기 전에 특정 수준에 도달해야 하는 면책금액이 포함돼 있다. 그리고 이번 영업 중단이 악의적인 행위가 아닌 시스템 장애로 인해 발생했다는 사실도 클레임에 영향을 미칠 수 있다.

무디스 보고서는 “이번 사건으로 인해 언더라이터들이 사건의 범위와 성격을 평가하고 시스템 장애 보장에 중점을 두어 요율과 보험조건을 변경할 것으로 예상된다”고 분석했다.

이어 “비록 보험사들이 개별 데이터 유출, 랜섬웨어 손실 및 업무 중단과 관련된 잠재적 보험 손실을 분석하는 능력을 향상시켰지만, 광범위한 중단을 분석하는 것은 여전히 어려운 일”이라고 덧붙였다.

무디스는 “사이버 모델링은 발전했지만, 위험이 끊임없이 진화하고 있어 손실 발생 기간과 사고 발생 가능성에 대한 불확실성을 야기한다. 크라우드 스트라이크 사태는 리스크 데이터 축적 및 모델링에 대한 추가 검토를 가속화하고, 사이버 보험에 대한 수요를 촉진할 것”이라고 말했다.