2018 Deloitte Insurance Outlook - 개인정보 이슈(GDPR), Cyber Insurance

오늘로 Deloitte Insurance Outlook 마무리를 해야겠다! 사실 RPA(Robotic Process Automation), CI(Cognitive Intelligence)에 관한 주제도 남아있지만, 요거는 기술적으로 깊이 들어가지 않는 이상 수박 겉핥기요 하나마나할 것 같아 일단 스킵하기로 했다. 오늘 글의 구조는 일단 

- EU에서 막 시행된 GDPR이 보험사들에게 시사하는 것이 무엇인지 알아보고

- 정보 보안이 중요해진 가운데 떠오르는 보험 상품인 Cyber Insurance

요렇게 된다. 굳이 하고많은 여러 나라의 개인정보보호법 중 GDPR을 뽑은 이유는, 개인정보 이슈는 하루가 다르게 현실이 변화하는 측면이 있으니 최신의 법을 참조하는 것이 좋겠다고 생각했기 때문이다. 또한 EU 전역에 적용됨에 따라 적지 않은 기업들이 영향을 받게 된다는 점도 중요하다. 

1. GDPR (General Data Protection Regulation)

GDPR에 대해 본격적으로 논의하기 전에, EU의 법 체계부터 간단히 짚고 넘어가자^[각주:1]. 

Regulations	구속력이 있는 법으로서, EU전역에 적용된다.
Directives	EU에 소속된 국가들이 법적으로 성취해야 할 어떤 목표를 명시한 것이다.  국가마다 해당 목표를 달성하기 위한 입법내용은 다를 수 있음.
Decisions	구속력이 있는 법이지만, 적용 대상이 명시된 특정 국가, 혹은 단체에 국한된다.
Recommendations	구속력�! � 없는 권고사항.
Opinions	구속력이 없음. 주로 법안이 시행될때 EU의 주요 기관에서 법안에 대한 시각을 담아 발행한다.

GDPR은 이 중 어디에 속하는 것일까? 맨 끝단어에서 알 수 있뜻 Regulation에 속한다. GDPR 전에는 EC일때 만들어진 Data Protection Directive가 있었는데, 이제 2018년 5월 25일부터 GDPR이 전면적으로 시행되며 해당 Directive를 대체하게 되었다. Directive에서 Regulation으로 법의 종류가 바뀌는 지점만 봐도 개인정보 이슈가 EU에서도 상당히 중요하게 다루어졌음을 추측할 수 있다. 

GDPR의 일반적인 내용은 매우 방대하기 때문에 이 글에서 다루는 것은 주제를 한참이나 벗어나는 일이 될 것이다. 하지만 GDPR의 전반적인 내용을 파악하고 싶다면, �! �리 정부에서 발간한 '우리 기업을 위한 유럽 일반정보 보호법 안내서'가 괜찮아 보였다. 2017년 4월에 나온 것이니 최종 가이드라인인데, 나도 전체적인 얼개가 어떤 것인지 파악하는데에 이 문서의 도움을 많이 받았다.

GDPR은 EU내에 사업장을 두고 있는 기업은 물론이고, EU 거주민들에게 물품과 서비스를 적용하는 기업에게까지 적용된다. GDPR에 따른 가장 변화 중 보험사들에게 가장 많은 영향을 끼칠 조항은 바로 Article 20이다. Article 20은 개인정보의 주체가 요구할 경우 정보를 제 3자에게 이전해야 한다는 내용을 담고 있다. 관련 조문의 원문을 그대로 가져오면 다음과 같다. 

원활한 이해를 위해 용어를 하나 정의하고 넘어가자면, Controller란 개인정보 처리의 목적 및 수단을 정하는 주체를 뜻�! �다. 흔히 말하는 위탁자-수탁자 중에서 위탁자 쪽과 �! ��깝다고 보여지지만 결정적인 차이가 하나 있다. 바로 직접 개인정보를 수집할 필요까지는 없다는 점. 수단과 목적만 정의하고 나머지는 제 3자에게 넘기더라도 Controller로 취급한다. 

Article 20

Right to data portability

1.   The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

(a) the processing is based on consent pursuant to poin! t (a) of Article 6(1) or point (a)^[각주:2] of Article 9(2)^[각주:3] or on a contract pursuant to point (b)^[각주:4] of Article 6(1); and

(b) the processing is carried out by automated means.

2.   In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

3.   The exercise of the right referred to in paragraph 1 of this Arti! cle shall be without prejudice to Article 17. That right shall not app! ly to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

4.   The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

이는 기존 보험회사들에게는 상당한 손실요인으로 작용한다. 

첫째, 구축해 놓은 data asset의 독점도가 더이상 유지되기 힘들 것이기 때문이다.^[각주:5] 반면 InsurTech(인슈어테크)들에게는 엄청난 희소식인데, InsurTech 입장에서는 기존의 데이터를 획득하는 것이 진입장벽이었기 때문이다. 

둘째, 어쩌면 더더욱 무서울 수도 있는 것으로 보험계약을 옮기는 �! �이 매우 손쉬워졌기 때문이다. 해약절차도 절차지만 보험 계약을 새로 체결하기 위해 온갖 가입정보를 또 다시 작성하는 것이 귀찮아서라도 옮기지 않은 사람들이 많을 것이다. 하지만 이제 고객은 '정보를 옮겨달라'는 요청만 하면 되고, 나머지는 귀찮은 일들은 보험사들의 몫이 되었다. 

Oliver Wyman에 따르면^[각주:6], 이러한 변화는 신규 진입자들과 기존 보험사들로 하여금 각각 이런 방식으로 세일즈 포인트를 만들어 낼 것이라고 한다. 

개인적으로는 이 표를 보고 조금 ! 갸우뚱하는 것들이 있었다. 첫번째, 두번째 항목에서! 기존 보험사들이 더 경쟁력이 있다고 표시되어 있는데, 과연 이것이 그럴까 하는 생각. 보험산업에 대한 신뢰도는 어느 나라나 그다지 높지 않다. 아래는 32개의 직업 중 보험설계사와 정치인의 직업 신뢰도를 나타낸 것으로^[각주:7], 어느 국가나 보험설계사의 신뢰도가 높지 않음을 알 수 있다. 물론 보험산업 그 자체와 보험설계사는 별개의 존재이다. 하지만 고객들이 접하는 보험사의 모습은 보험 설계사가 가장 주요하기 때문에, 여러 연구에서 보험 산업에 대한 신뢰도 척도로 보험 설계사에 대한 인식을 조사한다고 한다. 

솔직히 이 자료는 정치인의 순위가 더더욱 돋보이고 안습이라고 생각한다

GDPR의 규정을 심각하게 위배할 경우, 전세계 연간 매출액의 4% or 2천만 유로(2018년 8월 현재 환율로 258억원) 중 높은 금액을 과징금으로 내야 한다. 한국 보험사가 EU 시장에 진출하기 위해서는 Solvency2^[각주:8]와 GDPR에 발맞추는 것이 중요할 것 같다. 

2. Cyber Insurance

약간은 결이 다른 이야기이지만, 정보 보안 위협이 높아지는 것이 보험사들에게는 기회로 작용할 수도 있다. 기존의 손해보험에 Cyber attack로 인한 손실을 보상해 주는 조항을 넣는(standalone policy, 우리나라 말로는 특약이라�! �� 이해하면 되겠다) 형태의 보험이 많아지고 있는 것.! 이 시장의 선두주자는 단연코 미국이다. 2015년 기준으로 미국이 Cyber insurance 보험료 중 90%를 담당하고 있다^[각주:9]. 이러다보니 미국 시장의 성장세가 곧 전 세계 시장의 성장세라 해도 과언이 아닌데, Cyber insurance 시장의 성장세는 아래의 그래프와 같다. 짙은 막대그래프가 Market Size를 나타내고 있고, 회색 글씨는 Data breach의 수를 나타낸 것이다. 2011-2015년의 데이터만 연속적으로 기록되었으며, 상당한 성장세를 보이고 있음을 알 수 있다. (개인적으로, 자료도 없는데 왜 98년부터 나타냈는지 알 턱이 없다)

!

아무튼 가파르게 성장하고 있는 이 산업은 어떤 면모를 보일까? 첫째로, 사업체의 규모에 따라 가입률에 큰 차이가 있는데, 1bn이상의 매출액의 올리는 대기업 중 75%가 어떤 형태로든 이런 Cyber insurance에 가입해있는 반면, 중소사업체에서의 가입률은 5%정도에 그친다고 한다^[각주:10]. 섹터별로는 다음과 같이 Healthcare, Finance 산업군에서 Cyber insurance에 많이 가입했다^[각주:11].

그렇다면 회사들이 보험상품을 구�! �함으로서 보호받고 싶어하는 영역이 대체적으로 어�! �일까? 아래 자료는 전 세계에서 활동하는 270명의 보험 브로커에게 설문한 결과이다^[각주:12]. 정보 유출이 가장 큰 관심사임을 알 수 있다. (BI는 Business Interruption을 의미)

이쯤 되면 GDPR이 Cyber insurance에 미치는 영향도 궁금해 질 텐데, 브로커들의 응답은 내가 생각하기에는 다소 미온적이었다. GDPR이 관할하는 영역은 보험사가 고객의 개인정보를 어떻게 처리하느냐의 문제이고, 보험이 관할하는 영역은 고객의 개인정보가 불법행위로 인해 유출되었을때를 다루는 것이기 때문이 아닐까 생각한다.�! �

앞으로 Cyber insurance가 더더욱 성장하려면 어떤 난관을 헤쳐나가야 할까? 동일한 자료에 따르면 회사들이 보험 가입을 주저하게 되는 주요 이유는 다음과 같다고 한다. 첫번째 항목에서 보듯, 수많은 정보유출 사건에도 불구하고 아직 위험도를 인식하지 못하는 것이 가장 큰 이유임을 알 수 있다. (exposure = 위험에 노출된 정도) 그 다음 문제는 생소함이다. 어디까지가 보상 범위인지 명확하게 잡히지 않는다는 것. 

세번째, 비용문제�! �� 최근에 와서 좀 더 심해진 경향이 있다. 같은 양의 �! ��험금을 보장하는 데 있어서, Cyber insurance는 일반 손해보험보다 3~6배의 보험료를 지불해야 하며, 그마저도 아직 위험률을 평가하는 기법이 제대로 개발되지 않다보니 보험료가 제각각이라고 한다. 아래 자료의 Price Index에서도 보다시피 상승폭도 다른 보험에 비해 상당히 높다^[각주:13]. 

전체적으로는, 여러 난관들이 있지만 수요가 더 크지 않을까 생각한다. 우리나라 역시 2015년에는 신용정보법에 따라 은행, 지주회사, 신용조회회사 등이 20억 한도의 배상책임보험에 의무가입(2금융권의 경우 10억 한도)하! 도록 했고, 2018년 현재 그 범위를 정보통신제공자로 확대하는 법안이 통과되었다^[각주:14]. 우리나라 역시 손해보험 회사들에게 Cyber Insurance가 새로운 시장이 될 것 같다. 

1. https://europa.eu/european-union/eu-law/legal-acts_en [본문으로]
2. the data subject has given consent to the processing of his or her personal data for one or more specific purposes; [본문으로]
3. special category of personal data(성적 지향, 종교적! 신념, 노동 조합 가입 여부 등) 은 취급이 금지되는 �! �이 원칙이나, 예외가 되는 규정들을 열거한 부분이다. [본문으로]
4. processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; [본문으로]
5. Oliver Wyman, GDPR : The Door to the Future? [본문으로]
6. Oliver Wyman, GDPR the door to the future [본문으로]
7. 보험산업 신뢰도 제고 방안, 보험연구원 [본문으로]
8. 2016년부터 시행된 보험회사의 지급 능력에 대한 감독 제도. [본문으로]
9. Aon, Global Cyber Market Overview [본문으로]
10. 위와 동일 [본문으로]
11. Verisk, Cyber risk white paper [본문으로]
12. PartnerRe, 2017 Survey of cyber insurance market trend [본문으로]
13. OECD, Supporting an effective cyber insurance market, 그런데 상충되는 다른 정보도 있다. 위에서 응답했던 Broker들에 따르면 Cyber Insurance의 경쟁이 너무 격화되어서 제대로 된 가격산정보다는 치킨게임으로 흐르고 가고 있다는 인터뷰를 여럿 볼 수 있다. [본문으로]
14. http://news.einfomax.co.kr/news/articleView.ht! ml?idxno=3451034 [본문으로]

by CCL A from http://westfarthing.tistory.com/6

[광고] 보안이 필요한 메신저. 1개의 제품. 7개의 보안장치.