사이버 보험을 원한다면 지금 세분화가 중요한 이유

사이버 책임 보험이라고도 하는 사이버 보험은 고객 정보와 같은 민감한 데이터가 포함될 수 있는 데이터 유출 또는 사이버 이벤트 발생 시 비즈니스의 책임을 보장합니다. 여기에는 주민등록번호, 신용카드 및 계좌 정보, 운전면허증, 건강 기록과 같은 개인 식별 정보(PII)가 포함될 수 있습니다.

사이버 보험은 일반적으로 고객에게 데이터 유출 사실을 알리고, 영향을 받은 고객의 개인 신원을 복원하고, 손상된 데이터, 컴퓨터 시스템 및 네트워크를 복구 및 복구하는 데 드는 비용을 보상하는 데 도움이 됩니다. 사이버 보험은 일반 책임 보험과 범죄 보험에서 제외되는 경우가 많습니다.

일반적으로 사이버 보험은 브로커를 통하거나 통신사를 통해 직접 가입합니다. 문의 시 위험 프로필 및 보장 요건에 대한 여러 가지 질문이 포함된 신청서를 작성해야 합니다. 승인되면 이동 통신사 또는 중개인이 보험을 제안하고 약관, 보장 한도, 공동 보험 등을 알려줍니다.

실제로 사이버 보험이 필요한가요?

이에 대한 답을 찾으려면 몇 가지 질문을 스스로에게 던져보세요:

• 데이터 유출과 같은 사이버 이벤트가 기업의 자산과 운영 능력에 어떤 영향을 미칠 수 있을까요?
• 조직에 대한 위협이 발생한 경우, 금전적 손실을 입거나 갈취를 당하거나 귀사에서 발생한 사건으로 인해 고객에게 영향을 미칠 수 있나요?
• 지적 재산이나 고객 데이터를 잃어버리면 고객을 잃거나 다른 재정적 영향을 받게 되나요?

글로벌 기업부터 중소기업에 이르기까지 모든 유형의 조직은 기술을 사용하여 비즈니스를 수행하므로 어느 정도의 사이버 위험에 직면해 있는 것이 현실입니다.

기술이 더욱 복잡하고 정교해짐에 따라 위협도 증가하고 있습니다. 따라서 위험을 관리하고 완화하기 위해 사이버 보안 전략을 보완하기 위해 사이버 보험에 가입하는 조직이 점점 더 많아지고 있습니다.

사이버 보험 보안 요건이 점점 더 엄격해지고 있습니다.

미국 회계감사원은 2021년 보고서에서 사이버 보험을 선택하는 보험 고객이 2016년 26%에서 2020년 47%로 증가했다고 밝혔습니다. 같은 기간 동안 미국 보험회사의 사이버 공격 비용은 2016년과 2019년 사이에 거의 두 배로 증가했습니다. 그 결과 보험금 청구 건수 증가에 따른 보험사의 재정적 손실로 보험료도 크게 인상되었습니다.

최근 몇 년 동안 통신사들이 손실을 줄이기 위해 고객의 보안 준비 상태를 면밀히 검토하고 전문가에게 관점과 전문성을 제공하기 위해 태그를 지정하는 것을 직접 목격했습니다.

전미보험감독관협회(NAIC)는 2022년 재산/사상자 연례 보고서 사이버 보안 및 신원 도용 보충 보고서에서 다음과 같이 썼습니다:

사이버 보안 위험이 증가함에 따라 기업은 더욱 까다로운 인수 절차에 직면하고 있습니다. 보험사들은 사이버 위험과 관련하여 기업의 보안 통제, 내부 프로세스 및 절차를 더욱 철저하게 검토하고 있습니다. 또한 보험업자는 피보험자와 함께 일하거나 계약하는 제3자가 제시하는 피보험자의 위험을 심사할 때 더욱 신중을 기합니다.

통신사는 예방할 수 있었던 침해와 억제할 수 있었던 사고에 대해 비용을 지불하는 데 지쳐 있습니다. 비즈니스에 취약점이 많다는 것을 알고 있지만, 공급업체 및 서비스 제공업체와 협력하여 의미 있는 위험 완화를 제공할 수 있는 동급 최고의 보안 도구를 의무화하고 있습니다.

멀티팩터 인증(MFA)은 몇 년 전에는 있으면 좋은 기능이었지만 지금은 필수 사항이며, 이 기능이 없으면 사이버 보험 견적을 받을 수 없을 것입니다. 그 후 통신사들은 EDR 및 MDR과 같은 탐지 및 대응 도구를 의무화하기 시작했습니다.

이제 보안 침해가 불가피하다는 인식이 확산되면서 예방 및 탐지 기술과 달리 측면 이동 경로를 차단하고 필요한 통신만 허용하여 보안 침해의 확산을 막는 제로 트러스트 세분화(ZTS)를 의무화하기 시작했습니다.

제로 트러스트 세분화에 대한 자세한 내용은 여기를 참조하세요.

사이버 보험 정책에서 제로 트러스트 세분화가 점점 더 많이 요구되고 있습니다.

대부분의 침해 사고의 총 비용을 살펴보면, DFIR(디지털 포렌식 및 사고 대응)과 몸값 지불을 제외하고 가장 비용이 많이 드는 부분은 복구 비용입니다.

보험사와 규제 당국이 세분화, 심지어 중소기업으로 세분화하는 것을 추진하는 이유는 공격이 모든 디바이스가 아닌 일부 디바이스로만 확산되는 것을 방지하면 복구 비용이 크게 줄어들기 때문입니다. 그렇기 때문에 이제 중요 자산 또는 엔드포인트 (일반적으로 많은 침해의 시작점)에 대해 세분화가 필요한 통신사의 업데이트된 인수 패키지를 볼 수 있습니다.

다행히도 ZTS를 수행하고 침해 확산을 방지하는 경우 복구 비용을 크게 줄일 수 있습니다. 비숍 폭스가 최근 실시한 공격 에뮬레이션에 따르면 ZTS는 단독 탐지 및 대응보다 랜섬웨어 공격을 4배 빠르게 차단하며, 사고 후 복구에 걸리는 시간을 크게 줄여주는 것으로 나타났습니다.

한 중견 제조 회사가 랜섬웨어 공격을 받은 후 1,000대의 워크스테이션을 복구해야 하는 보험회사의 비용을 상상해 보세요. 만약 이 회사가 ZTS를 도입하여 공격이 확산되는 것을 막고 대신 워크스테이션 3개만 복구했다면 복구 비용 구조는 매우 달라집니다.

ZTS는 다른 도구처럼 탐지에 의존하지 않으며, 트래픽이 중요 자산에 도달하지 못하면 어떤 공격 기술을 사용하든 감염시킬 수 없습니다.

보험의 미래에는 보안 도구와 서비스 제공업체가 포함됩니다.

여러 파트너 및 통신사와 이야기를 나눈 결과, 사이버 보험의 미래는 보안 공급업체, 서비스 제공업체, 보험사가 함께 긴밀하게 협력하는 것이라는 데 동의했습니다.

이처럼 진화하는 위협 환경에서 민첩한 기업은 포괄적인 연속성 계획이 필요하며, 이는 올바른 도구를 갖추고 경우에 따라 NIST CSF, CIS 또는 CMMC와 같은 동급 최고의 프레임워크 중 하나를 채택하는 등 보안 전략에 대한 로드맵을 마련하는 것부터 시작됩니다. 신뢰할 수 있는 서비스 제공업체는 IT 리더가 사전에 우수한 보안 위생을 개발하고 조직에 의미 있는 영향을 미치는 보안 스택을 갖추도록 경고하는 데 도움을 줄 수 있습니다.

사이버 보험은 위험 전략의 핵심 요소여야 하지만 유일한 요소일 수는 없습니다. 부동산을 소유하고 있다면 화재 보험만 가입하고 화재 경보기와 화재 완화 제어장치는 가입하지 않으시겠습니까? 그렇지 않기를 바라지만, 그렇게 하더라도 실제로 화재 위험을 줄이는 제어 장치를 배포하지 않았다면 더 높은 보험료를 지불해야 할 것입니다.

사실 더 잘 준비된 기업은 그렇지 않은 기업보다 더 높은 요금을 지불할 것입니다. 이를 입증할 수 있다면 애초에 사이버 사고로부터 자신을 보호할 수 있을 뿐만 아니라 문제가 발생했을 때 통신사와 협력하여 비용과 복구 시간을 절약하는 데 큰 도움이 됩니다.

사이버 보험 비용을 절감하는 사전 예방적 보안, 일루미오 ZTS

ZTS는 언제 조직의 보안 전략의 일부가 되어야 하나요? 이미 MFA 및 EDR/MDR 제품을 사용하고 있다면, 아직 의무화되지 않았다면 ZTS를 우선적으로 고려해야 합니다.

다음 사이버 보험 정책 갱신 전에 한발 앞서 대응할 수 있을 뿐만 아니라,기존 탐지 도구의 체류 시간 약점을 줄여 효과를 강화하는 동시에 대응 역량을 크게 높일 수 있습니다.

사이버 보험 사업자로부터 세분화 의무를 받고 있는 경우, 지금 바로 문의하세요 를 통해 상담 및 데모를 요청하세요.