보고서 정보
주관연구기관 |
상명대학교 산학협력단 SangMyung University |
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2013-11 |
과제시작연도 |
2013 |
주관부처 |
미래창조과학부 Ministry of Science, ICT and Future Planning |
등록번호 |
TRKO201500006854 |
과제고유번호 |
1711007679 |
사업명 |
방송통신정책연구 |
DB 구축일자 |
2015-06-13
|
DOI |
https://doi.org/10.23000/TRKO201500006854 |
초록
▼
4. 연구 내용 및 결과
1) 정보보호 보험의 개념정의
o 정보보호 보험은 사이버 공간의 여러 가지 위험으로부터 재정적인 손실을 전가하기 위한 보험 계약이라고 정의할 수 있음
o 인터넷침해사고로 발생되는 피해로부터 기업을 보호하기 위해서 취해지는 수단은 크게 자가 보호(self-protection), 자가 보험(self-insurance), 사이버보험(cyber-insurance)으로 구분됨
2) 정보보호 보험시장 현황 분석
□ 미국의 정보보호 보험시장
o 정보보호 보험의 등장
- 미국에서 사이
4. 연구 내용 및 결과
1) 정보보호 보험의 개념정의
o 정보보호 보험은 사이버 공간의 여러 가지 위험으로부터 재정적인 손실을 전가하기 위한 보험 계약이라고 정의할 수 있음
o 인터넷침해사고로 발생되는 피해로부터 기업을 보호하기 위해서 취해지는 수단은 크게 자가 보호(self-protection), 자가 보험(self-insurance), 사이버보험(cyber-insurance)으로 구분됨
2) 정보보호 보험시장 현황 분석
□ 미국의 정보보호 보험시장
o 정보보호 보험의 등장
- 미국에서 사이버 보험이 도입된 것은 1990년대 후반
- 초기에는 컴퓨터 시스템에 대한 배상책임만을 보장하였으나, 이후 시스템 자체손해, 프라이버시 책임, 정보유출 관련 제반 비용으로 담보 범위 확대
o 정보보호 보험시장의 성장
- ‘개인정보유출고지법‘ 시행(2003)에 따라 개인정보 유출사실을 개인에게 통지하게 되자, 기업은 고객의 개인정보 유출 위험을 줄이고자 보안장치나 보험가입과 같은 위험전가방법 강구 등을 추진하게 됨.
※ ‘개인정보유출고지법(Security Breach Notification Law)‘은 2003년 캘리포니아 주에서 처음 도입한 이후, 현재까지 46개 주에서 시행되고 있음.
- 미국은 유럽보다 소송이 일반화 되어 있어 사이버 리스크에 대한 위험인식이 높은것도 보험시장 성장에 영향을 줌.
o 미국 정보보호 보험시장 규모(Annual Gross Written Premium)
- 2012년 기준으로 미국 정보보호 시장 규모는 연간 13억 달러로 연간 GDP의 0.008%수준
- ‘09년 6억달러, ’10년 8억 달러에서 연간 수입 보험료는 매년 증가 추세
o 미국 기업들의 정보보호 보험가입 현황
- 사이버 침해사고의 증가에도 불구하고, 28%만이 정보보호 보험(network security/privacy liability)에 가입한 것으로 조사됨.
※ Towers Watson(2012), Risk and Finance Manager Survey
- 보험 미가입 이유는 기업의 IT부서/내부통제로도 적절하다(41%), 중요한 데이터의 노출이 일어나지 않는다(25%), 위험 전가 비용에 큰 관심이 없다(12%) 등으로 응답
- 따라서, 미국 내 정보보호시장도 활성화 되어 있다고 판단하기는 이름
□ 유럽의 정보보호 보험시장
o 정보보호 보험의 판매
- EU 개인정보보호 지침(Directive 95/46/EC) 제정 이후 각국이 개인정보 관련 법률을 재정비하며 정보보호 보험이 판매되기 시작
o 영국의 정보보호 보험 시장규모(Gross Written Premiums)
- 영국의 정보보호 보험 시장규모는 300~400만 파운드에 이르는 것으로 추정됨(한화 51~68억원, 1 파운드≒1,700원으로 계산)
o 정보보호 보험 활성화를 위한 유럽의 노력
- 유럽 네트워크 정보보안 전문기관인 ENISA(Europe Network and Information Security Agency)를 출범하여 범국가적인 노력을 기울임
- ENISA는 사이버 보험시장을 활성화하기 위한 정부조치의 필요성 언급
. 사이버보험의 의무화(Compulsory cyber-insurance)
. 사이버 리스크에 대한 국가재보험(Government re-insurance)
. 보험 상품에 대한 차등화방지 규제(Additional anti-discriminatory regulation)
. 보험자 인프라 디자인 설계(Insurable Infrastructure design): 피보험자의 기술적 조치(network topology, configuration and protocols)에 따라 보험 설계
□ 일본의 정보보호 보험시장
o 일본에서 정보보호 보험에 대한 관심 증가
- ‘03년 5월 ’개인정보 보호에 관한 법률‘이 제정․공포되면서 사회적으로 개인정보 취급에 관한 인식 증가
- 사업자들은 개인정보를 취급하는데 있어 리스크에 대응하는 차원으로 정보보호 보험에 가입
o 일본의 정보보호 보험시장 규모
- 일본의 정보보호 보험시장 규모는 ‘11년 기준 약 72억엔 정도로 추산되고, 정보보호 서비스 시장의 2.5%를 차지
o 일본의 정보보호 보험 활성화 노력
- 중소기업들이 상공회의소를 통해 저렴한 가격으로 개인정보유출배상책임보험에 가입하도록 유도하고, 부가적인 서비스도 제공
※ 3만엔(음식점)~21만엔(자동차판매점)의 저렴한 보험료로 보안컨설팅 무료제공
□ 국내 정보보호 보험시장
o 국내 정보보호 보험의 구분
- 정보보호 관련 국내 보험은 의무보험과 임의보험으로 구분함
o 의무보험
- 의무보험은 정보통신망법의 집적정보통신시설(IDC) 사업자, 전자금융거래법의 금융기관, 전자문서 및 전자거래기본법의 공인전자문서센터 등 특정 사업자가 의무적으로 가입해야 하는 보험을 말함.
o 임의보험
- 임의보험은 가입자의 자유의사에 따르는 보험으로 온라인 쇼핑몰 사업자, 고객정보를 다루는 업종 등 주로 인터넷사업자가 가입함.
o 국내 정보보호 보험 현황 및 시장규모
- ‘10년 12월 기준, 국내 기업중에서 정보보안 침해사고에 대비하여 보험에 가입하고 있는 사업체는 6.1% 수준(KISA, 2011 정보보호실태조사)
- 종업원수 1,000명 이상인 사업체는 21.9% 가입한 상태
- 금융․보험업은 37.1%, 방송통신․정보서비스․출판․영상업은 10.6% 가입
o 국내 손해보험사들의 정보보호 보험 상품현황
- 삼성화재, 메리츠화재, 한화손해보험, 흥국화재, 현대해상, LIG 손해보험, 동부화재, KOREANRE, AIG 등 9개의 손보사만이 보험 상품 보유
3) 보험요율의 개념과 보험요율의 영향
□ 보험요율(Premium Rate)의 개념
o 보험요율의 정의
- 보험요율은 보험료 산출을 위해 필요한 일정한 보험단위(unit of insurance) 또는 단위위험(exposure unit)에 적용되는 비율을 말함
- 가입자가 부담하는 보험료를 기준보험금액(보상금)에 대한 비율로 나타낸 것으로, 보험금(보험금)에 대한 계약자의 비용부담을 의미
- 요율 = f(배상금, 사업비, 순이익)
※ 요율은 산업 유형별로 다르고, 시장규모가 작으면 손해원가(배상금) 추정이 어려움.
※ 배상금과 사업비 비율은 일반적으로 60:40이고, 순이익은 사업비 내에 편성되며, 주로 5:40 비중으로 편성
o 정보보호 관련 보험상품의 요율 산출이 어려운 이유
- 자동차 보험이나 생명보험 등은 모수적인 통계가 많아 요율을 산출 하는데 어려움이 없지만, 정보보호 관련 보험 상품은 모수적인 통계가 많지 않아 적절한 요율을 산출하기 어려움.
. 특히, 국내의 경우 미국의 비해 상대적으로 기업의 수가 적고 기업별로 특성이 다르며, 이를 산업별로 다시 세분화 하면 동질적인 성격을 가지고 있는 기업은 그리 많지 않아 손해원가를 잡기 더욱 어려움.
. 이러한 이유로 정보보호 관련 보험의 요율산출은 손해원가를 기존의 데이터로 통계치를 도출하여 산출 하는 것이 아니라 판단법을 활용하여 요율을 어떻게 산정 할 것인가를 추정 할 수밖에 없는 실정임.
. 이렇기 때문에 현재 정보보호 관련 보험 상품을 판매하고 있는 기업들도 현재 자신들이 판매하고 있는 정보보호 관련 보험 상품의 요율이 적절한 것인지 아닌지에 대해 확신이 서지 않고 있는 실정임.
□ 요율분석의 시사점
o 요율의 1차적인 목적은 보험사가 이윤을 창출하기 위해서 ‘동일한 보장’에 대한 보험료를 산출하고자 하는 것임.
o 기대 보다 손해원가(보상금)이 클 수록 요율은 높아질 수 밖에 없음.
o 요율이 높아지면 ‘동일한 보장’에 대해 보험료가 오르는 것이지, 보상자체가 반드시 커진다고 할 수 없음.
o 보상이 커지는 것은 주로 보장범위, 사고유형, 사고규모 등에 따라 결정되므로, ‘요율’이 수요자에게 유리하다고 하더라도 수요자의 정보보호 보험 니즈가 없으면 보험이 활성화되기 어려움.
o 따라서, 요율이 보험 니즈에 선행적으로 영향을 주는 요인이라기 보다는, 가입이 활성화되면 수요자에게 유리하게 작용하도록 하는 후행적 요인임.
4) 국내 정보보호 보험시장 비활성화 요인
□ 수요측면의 비활성화 요인
o (낮은 손실비용) 침해사고 발생 시 잠재손실에 비해 실제 부담하는 손실비용이 적어, 굳이 보험에 가입하여 위험을 전가할 필요가 없는 환경
o (보상범위의 문제) 정보보호 보험은 대부분 1차적인 직접피해만 보상범위에 포함되기 때문에 보상범위에 대한 만족도가 낮음.
o (까다로운 가입조건) 까다로운 보험가입 절차도 가입시 장애요소
o (귀책사유 규명 어려움) 정보보호 사고에 대한 발생경위 및 귀책사유에 대한 규명이 어려워 보장에 대한 확신이 낮음.
□ 공급측면의 비활성화 요인
o (적은 자본) 기업의 정보보호 보험 수요가 낮아, 보험사 입장에서는 적은 자본으로 담보액을 제공해야 하는 현실
o (요율산정의 어려움) 수요가 낮다보니 데이터 축적이 어려워, 요율산출을 통한 합리적인 보험료 책정으로 이어지지 않고 있음.
o (보험사의 소극적 대처) 요율산출을 통한 합리적인 보험료를 책정 할 수 없기 때문에,현재 출시한 보험 상품에 대한 확신이 부족하여 적극적인 상품홍보 활동을 추진하지않고 있음.
□ 비활성화 요인의 악순환 구조
o 기업의 낮은 리스크 부담으로 보험수요가 적고
→ 데이터 축적이 이루어 지지 않아, 공급사(손해보험사)도 상품개발 및 홍보에 소극적
→ 정보보호 보험시장 위축으로 이어짐
→ 정보보호 보험 상품에 대한 신뢰 하락으로 보험 수요가 더 낮아지는 악순환 현상발생
5) 국내 정보보호 보험시장 활성화 방안
□ 정보보호 보험에 대한 수요 증대
o 정보보호 보험가입 의무화 대상자 확대를 통한 수요창출
o 보험가입 기업에 대한 인센티브 제공
o 중소기업 맞춤형 서비스 제공
o 피해의 심각성에 대한 인식제고 강화를 통해 기업 우호적인 법원 판결이 피해자 구제 중심으로 나올 수 있도록 사회적인 분위기 조성
□ 정보보호 보험 상품 공급 활성화
o 사이버 재난에 대한 국가재보험(Government re-insurance) 추진
o 데이터 축적을 통한 적절한 요율을 산출하고 합리적인 보험료 책정
o 지속적인 보험 상품 갱신을 통해 수요자의 니즈 충족 강화
o 정보보호 보험 컨설팅사 및 컨설턴트 육성
o 정보보호 보험 상품의 적극적인 마케팅 추진
□ 정보보호 보험시장 활성화의 선순환 구조
o 기업의 리스크 부담 증가
→ 투자 요인이 발생되어 보험 수요가 증가하고 이에 따른 데이터축적 발생
→ 합리적인 상품 설계 가능으로 인한 상품 홍보 강화로 상품 가입 증가
→ 상품 개발이 활성화 되고 보험전문가가 증가로 보험 시장의 활성화
5) 합리적인 피해액 산정 방안
□ 국내에서의 침해사고 피해비용 산정방식
o 직접비용(Direct Costs)과 간접비용(Indirect Costs)
- 직접비용: 특정 침해사고에 명확하게 연계(link)될 수 있는 비용으로서, 사고에 의해 발생하는 인력손실, H/W 손실, S/W 손실 등이 해당
- 간접비용: 특정 침해사고와 직접적으로 연계되어지지 않는 비용으로서, 다른 사고에의해서도 영향을 받을 수 있는 피해 비용
o 명시적 비용(Explicit Costs)과 묵시적 비용(Implicit Costs)
- 명시적 비용: 특정 침해사고를 예방하고, 탐지하고, 복구하기 위해서 침해사고 기간 동안 발생한 명백한 비용
- 묵시적 비용: 사고에 의해 파생적으로 발생하는 비용으로서, 침해사고에 의한 기업의 이미지 손실, 잠재적 법적 책임비용 등이 해당
o 침해 Layer별 세부피해비용 요소
- 영업이익 손실(Loss of Profit): 네트워크 또는 시스템이 정상 상태에서 얻게 될 영업 이익이 사고로 인하여 손실된 금액
- 생산성 손실(Loss of Productivity): IT를 활용하여 수행되던 업무의 정지로 인해, 비 효율적인 수단으로 대체함으로써 발생한 비용
- 복구비용(Cost of Recovery): 복구가 가능한 H/W, S/W, 데이터 등에 대해 외부 전문가 활용 또는 내부 자체인력을 통해 복구에 소요된 비용
- 주가가치 하락(Drop of Stock Price): 사이버 침해사고로 인해 영향을 받은 기업의 가치 손실
- 복구 불가능한 데이터의 가치(Cost of Lost Data): 복구가 불가능하도록 영구 손실된 데이터의 가치 비용
- 예방을 위해 투자한 비용(Preventive Cost): 여러 가지 침해사고를 사전에 예방하기위해 내부적으로 투입한 침해사고 예방비용
- 이미지 손실(Cost of Reputation Effect): 사이버 침해사고로 인해 영향을 받은 기업의 이미지 손실, 브랜드 가치 하락에 의한 손실
- 잠재적인 법적 책임비용(Legal Cost): 침해사고로 인해 발생하는 법적 책임비용(Legal Cost)으로 고객들에게 지급해야 하는 손해배상금이 해당
□ 합리적인 침해사고 피해액 산정을 위한 제언
o (전문가 협의체 구성) 보안경제성 분석포럼 운영을 통해 침해사고 피해를 신속하게 계량화하고 관리하여 피해의 심각성 전파
o (프로세스 정립) 침해사고 발생 시 피해액 산정을 위한 절차의 수립
o (정기적인 관리) 개별 사고 뿐만 아니라 연간 피해액을 산출하여 관리
※ 산업유형별 피해액 등도 산출하여 관리하고, 개별사고 발생시 활용할 수 있도록 Parameter 등을 매년 업데이트
Abstract
▼
4. Research Results
1) Analysis of Cybersecurity Insurance Markets
o United States - Though cyber incidents have been increased, only about 28% of companies had cyber-insurance policy (network security / privacy liability).
o Europe - Many countries have taken government action to overcome
4. Research Results
1) Analysis of Cybersecurity Insurance Markets
o United States - Though cyber incidents have been increased, only about 28% of companies had cyber-insurance policy (network security / privacy liability).
o Europe - Many countries have taken government action to overcome barriers for cyber-insurance and help establish a wider market for cyber-insurance wtith ENISA.
o Japan - Japan's cyber insurance market size is about 7.2 billion yen in '11. As compared with the market of information security services, Cyber-insurance market is about 2.5% of the market.
o Korea - 6.1% of companies had signed for cyber-security in 2010.
2) Barrier for cyber-insurance market in Korea
o On the demand side - lower loss costs, insurance coverage issues, not easy subscription, not easy to identify liability
o On the supply side - less capital, the difficulty of calculating the rate, the insurer's passive coping
3) Strategy for establishing a wider market for cyber-insurance
o On the demand side - strengthening compulsory cyber-insurance, providing incentives for subscribers, providing customized services for small and medium businesses companies, etc.
o On the supply side - Making Government re-insurance, accumulating data for calculating an appropriate and reasonable premium rates, continuously renewing cyber-insurance products to meet the needs of consumers through enhanced information security consulting, fostering cyber-insurance consultant and consulting companies, promoting aggressively cyber-insurance products.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.