최근 몇 년 사이 해커들의 타깃이 변화하고 있다. 

은행, 증권사, 카드사 같은 전통적 금융기관에서 보험사로 눈을 돌리고 있다. 

그 이유는 단순하다. 보험사는 한 사람의 인생을 총체적으로 들여다볼 수 있는 민감한 정보의 보고(寶庫)다.

주민등록번호, 직업, 수입, 병력, 심지어 가족력까지 계약서 한 장에 담겨 있다. 특히 생명·건강보험 상품은 병원 이상의 의료정보를 요구하기도 한다. 

국내 금융보안원은 “보험업권이 수집·보유하는 개인정보 및 건강정보가 타 금융업권 대비 다양하고 민감하다”고 2023년 보고서에서 밝힌 바 있다.

이처럼 정보의 가치가 크기 때문에 보험사는 해커들의 주타깃이 되고 있는 것이다.

최근엔 단순한 정보 유출을 넘어, 사이버 보험을 악용하는 정교한 범죄도 포착되고 있다. 

미국의 사이버 보험사 코얼리션(Coalition)은 2023년 리포트를 통해 ‘사이버 범죄자들이 보험 가입 기업을 특정해 공격을 설계하며, 보험금 청구 흐름까지 노리는 '이중 수익 모델(double extortion)'이 증가하고 있다’고 경고했다.

이러한 공격은 국내에서도 현실이 되고 있다. 올해 7월, 서울보증보험 내부 사고로 인한 개인정보 유출 의혹이 국회에서 논의되며, ‘개인정보 유출 방지법’ 개정안 추진의 계기가 되었다.

보험사가 사이버 보안의 중심에 놓이고 있음을 방증하는 사건인 것이다.

또한 보험사는 구조적으로 외부 연계 시스템이 많다. GA(독립대리점), 병원, 정비소, 손해사정 법인 등과의 API 기반 정보 교환이 일상적이다.

해커는 이들 중 보안이 취약한 제휴사를 먼저 침투한 후 보험사로 접근하는 공급망 해킹(Supply Chain Attack)을 즐겨 사용한다.

금융보안원이 발표한 2024년 보고서에 따르면, ‘보험사 대상 사이버 침입 경로 중 약 35%가 외부 협력채널을 통한 것으로 나타났다’고 분석했다.

문제는 보험업계의 보안 투자 여건이다. 한국정보보호산업협회 조사에 따르면 2023년 기준 금융권 중 보험업권의 IT 예산 중 보안 예산 비중은 1.2%로 가장 낮았다.

은행은 2.8%, 카드사는 1.9% 수준이었다. 특히 중소형 보험사 및 GA는 전담 보안 인력이 부재하거나, 외주 의존도가 높아 침해 대응 속도가 떨어진다.

이러한 상황에서 보험사 스스로 보안 역량을 강화하지 않으면 사이버 리스크는 고스란히 고객과 주주에게 전가된다.

더구나 보험사는 이제 ‘사이버 보험’이라는 상품을 통해 타 기업의 사이버 리스크를 보장해주는 공급자이기도 하다.

해커의 침입을 받아 고객 정보를 유출한 보험사가, 동시에 사이버 보험을 팔고 있다는 사실은 시장의 신뢰에 심각한 위협이다.

해외에선 이런 딜레마에 대비해 자체 보안 인증을 강화하는 보험사들이 늘고 있다.

AIG, AXA, Zurich 등은 ISO/IEC 27001과 같은 국제정보보호 인증을 자사 내부뿐 아니라 보험상품 인수 조건으로도 적용한다. 실제로 AIG는 고객사에 다중인증(MFA), EDR(엔드포인트 탐지·대응) 솔루션 구축 여부를 필수 점검 항목으로 요구하고 있다. 

국내에서도 금융감독원은 2024년부터 보험사에 ‘사이버 리스크 관리 실태평가’ 제도를 시범 

적용하며 내부 보안 통제 수준을 정량평가하고 있다.

사이버 공간에서 ‘위험’은 단순히 피해야 할 대상이 아니라, 관리하고 수익화해야 할 대상이 되었다.

해커들은 이 사실을 누구보다 먼저 알아차렸고, 지금 보험사를 향해 움직이고 있다.

이제 보험사도 변화해야 한다. ‘리스크’를 팔고 있는 산업이라면, 그 누구보다 ‘리스크’에 민감해야 하기 때문이다.