사이버 보험사는 무엇을 요구하나요?

대부분의 사이버 보험사는 보장 제공이나 갱신 전에, 귀사의 비즈니스에 몇 가지 핵심 보호 장치가 갖춰져 있는지 묻습니다. 흔한 예로는 이메일 및 중요한 계정에 대한 다중 인증, 흔히 MFA라고 부릅니다, 그리고 안티바이러스 또는 엔드포인트 탐지 및 대응(EDR), 정기적인 소프트웨어 패치, 백업, 직원 교육 등이 있습니다.

또한 원격 접속을 어떻게 처리하는지, 누가 관리자 권한을 갖고 있는지, 백업을 테스트하는지, 사기, 랜섬웨어, 또는 도난당한 장비 같은 사고에 대비한 계획이 있는지를 묻는 경우가 많습니다. 일부 보험사는 신청서에서 상세 질문을 할 수 있고, 다른 곳은 나중에 증빙을 요구할 수도 있습니다.

핵심은 이것입니다. 보험사는 완벽함을 요구하는 것이 아닙니다. 대개는 합리적인 통제 수준을 갖추고, 무엇을 가지고 있는지 알고 있으며, 누군가가 그 기본 사항을 적절히 유지 관리하고 있다는 점을 확인하려고 합니다.

사이버 보험은 특정 사고 이후 비용을 부담하는 데 도움이 될 수 있지만, 보장은 신청서의 답변과 보험 약관의 조건에 따라 달라집니다. 귀사가 어떤 통제가 “있다”고 말했는데 실제로 그렇지 않다면, 청구 과정에서 문제가 생길 수 있습니다. 이것이 사업주가 시간을 두고 답변이 정확한지 확인해야 하는 한 가지 이유입니다.

중소기업의 경우 이슈는 보험만이 아닙니다. 보험사가 묻는 동일한 항목들이, 좋은 관리형 IT 제공업체(또는 MSP)가 어차피 권장하는 같은 기본 사항인 경우가 많습니다. 이는 피할 수 있는 문제를 줄이고, 일이 잘못되었을 때 복구를 더 쉽게 만드는 실질적인 조치입니다.

요건은 업종과 주(state)별로도 달라집니다. 의료 사무소는 건강보험 양도 및 책임에 관한 법(HIPAA)과 관련된 질문을 받을 수 있습니다. 결제 카드를 처리하는 비즈니스는 PCI, 즉 결제 카드 산업 데이터 보안 표준을 물을 수 있습니다. 더 큰 조직에 판매하는 회사라면 많은 고객이 보안 통제를 검토할 때 사용하는 프레임워크인 SOC 2에 대한 이야기를 듣기도 합니다.

이메일 보안은 보험사들이 가장 먼저 보는 분야 중 하나입니다. 민감한 정보가 있는 모든 클라우드 앱뿐 아니라 Microsoft 365, Google Workspace에도 MFA를 원하곤 합니다. MFA는 사용자가 비밀번호만 입력하는 것이 아니라, 앱 코드나 하드웨어 키 같은 두 번째 단계로 로그인해야 한다는 뜻입니다.

또한 엔드포인트 보호에 대해서도 묻습니다. 엔드포인트는 노트북, 데스크톱, 서버 같은 장치를 말합니다. EDR(엔드포인트 탐지 및 대응)은 기본 안티바이러스보다 더 고급 도구입니다. 이는 장치에서 의심스러운 활동을 감지하고, IT 제공업체가 이를 조사하고 대응할 수 있는 방법을 제공합니다.

다른 흔한 주제는 패치(업데이트)입니다. 패치란 운영체제, 브라우저, 업무 소프트웨어, 방화벽, 기타 도구에 대해 보안 및 안정성 업데이트를 설치하는 것을 의미합니다. 보험사는 중요한 업데이트가 얼마나 빨리 적용되는지, 지원되지 않는 시스템이 여전히 사용 중인지 등을 물을 수 있습니다.

백업도 주요 초점입니다. 많은 캐리어(보험사)는 일상 시스템과 분리된 백업을 원하고, 이를 정기적으로 테스트하길 원합니다. 3-2-1 백업이라는 용어를 들을 수도 있습니다. 이는 데이터 사본을 3개 보관하되, 2가지 다른 유형의 매체에 저장하고, 1개 사본은 오프사이트 또는 그 밖의 방식으로 분리 보관한다는 뜻입니다. 어떤 정직한 제공업체도 무중단, 해킹이 불가능한 네트워크, 보장된 복구를 약속할 수는 없지만, 보험사는 복구 계획이 실제로 존재하는지 보길 원합니다.

액세스 제어도 중요합니다. 보험사는 종종 누가 관리자 권한을 갖고 있는지, 이전 직원이 얼마나 빨리 제거되는지, 원격 접속이 제한되고 보호되는지 등을 묻습니다. 또한 공급업체나 협력업체(컨트랙터)가 귀사의 시스템에 접근할 수 있는지, 그리고 그 접근이 어떻게 통제되는지에 대해서도 물을 수 있습니다.