By admin 
Warren Buffett과 Berkshire Hathaway의 최고 보험 임원인 Ajit Jain이 최근 오마하에서 열린 회사의 연례 주주 총회에서 투자자들에게 보낸 메시지 중 하나는 사이버 보험이 현재 수익성이 있기는 하지만 거대 기업인 Berkshire에게는 여전히 알려지지 않은 것과 위험이 너무 많다는 것입니다. 보험 시장의 플레이어로서 완전히 편안하게 인수할 수 있습니다.
사이버 보험은 “매우 세련된 상품”이 되었다고 Jain은 연례 회의에서 말했습니다. 그리고 적어도 현재까지는 보험사에게 돈을 벌어주는 역할을 해왔습니다. 그는 현재 수익성이 “상당히 높다”고 설명했습니다. 전체 보험료의 최소 20%가 보험사의 주머니로 들어가게 됩니다. 그러나 버크셔에서는 에이전트에게 보내는 메시지가 조심스럽습니다. 주된 이유는 단일 발생으로 인한 손실이 어떻게 잠재적인 사이버 손실의 집합체로 나선형으로 나타나지 않는지 평가하기가 어렵기 때문입니다. Jain은 주요 클라우드 제공업체의 플랫폼이 “정지”되는 경우에 대한 가상의 예를 제시했습니다.
“그 집합 잠재력은 엄청날 수 있으며, 최악의 격차를 가질 수 없다는 것이 우리를 두렵게 합니다”라고 그는 말했습니다.
버핏은 “이런 종류의 딜레마가 사이버 이상으로 얽히는 곳은 없다”고 말했다. “한 번도 꿈꿔보지 못한 위험이 닥칠 수도 있고, 어쩌면 어딘가에서 지진이 일어나는 것보다 더 나쁜 위험이 닥칠 수도 있습니다.”
버크셔는 사이버 보험 사업을 하고 있습니다
업계 분석가들은 일반적으로 버크셔의 주의가 일부 타당하지만 사이버 보안 보험 시장의 전반적인 상태는 수익성이 높아지면서 안정화되고 있다고 말합니다. 그리고 Fitch Rating의 미국 보험 그룹 수석 이사인 Gerald Glombicki는 버크셔 해서웨이가 버핏의 주의에도 불구하고 사이버 보안 정책을 발표하고 있다고 지적합니다. Fitch의 분석에 따르면 Berkshire Hathaway는 이러한 정책을 발행한 회사 중 6위입니다. 버크셔가 최근 대규모 투자를 밝힌 처브(Chubb)와 AIG가 가장 크다.
“지금 바로 [cybersecurity insurance] Glombicki는 “여전히 많은 보험사에게 실행 가능한 비즈니스 모델입니다.”라고 Glombicki는 말했습니다. Glombicki에 따르면 이는 발행된 전체 보험 상품의 1%만을 차지하는 작은 시장입니다. 사이버 보안 사업은 너무 작기 때문에 보험 회사가 다양한 정책을 구현할 수 있는 여지를 제공합니다. 엄청난 양의 노출 없이 무엇이 효과가 있고 무엇이 효과가 없는지 확인할 수 있는 정책입니다.
버크셔, 처브, AIG는 논평을 거부했다.
“매우 불안한 예측불가능성의 요소가 있는데, 나는 그것이 어떤 것인지 이해합니다. [Buffett] 글롬비키는 “그러나 사이버 리스크를 완전히 피하는 것은 정말 어렵다고 생각한다”고 말했다. 그러나 아직까지 과실 여부를 지정하거나 정책의 경계를 테스트하는 중요한 소송은 없으며, 법원이 과실 여부를 판결할 때까지는 아직까지 큰 소송은 없었다고 덧붙였다. 경우에 따라 일부 보험사는 보다 신중하게 진행할 수 있습니다.
버핏 “회사 망할 수도 있다”
정책당 100만 달러 한도가 있더라도 많은 정책을 작성할 때의 문제는 “단일 이벤트”가 1,000개의 정책에 영향을 미치는 것으로 판명되는 경우입니다. 버핏은 “당신은 우리가 적절한 가격을 받을 수 없고 회사를 망칠 수 있는 글을 썼다”고 말했다.
현재 글로벌 보안 위험 관리 회사를 운영하고 있는 전 국토안보부 장관인 마이클 처토프(Michael Chertoff)와 같은 일부 저명한 지도자들은 일종의 정부 사이버 보안 백스톱을 요구했지만 대부분의 전문가들은 그것이 지금 당장 필요하다고 생각하지 않습니다. Glombicki는 연방정부가 어떤 역할을 할 수 있는지 조사하고 있지만 사건이 발생하기 전까지 개입은 일어나지 않을 것이라고 말했습니다.
그는 “모든 정부 개입은 아마도 크고 비용이 많이 드는 사이버 사고 이후에 일어날 것”이라고 말했습니다. “9·11 테러 이후 정부는 테러 위험 프로그램을 마련했습니다. 사이버 분야에서는 아직 이 정도 규모의 공격을 본 적이 없습니다. 아직 가능한 접근 방식을 생각하는 단계에 있습니다.”
사이버 보험 데이터는 성장과 시장 신뢰를 보여줍니다.
현재 작성되고 있는 사이버 보안 정책의 수는 적지만, 분석가들은 이러한 정책이 계속 유지될 것으로 예상하지 않습니다.
보험정보연구소(Insurance Information Institute) 대변인 마크 프리들랜더(Mark Friedlander)는 “요금이 하락하고 있는데 이는 시장의 안정성을 보여준다”고 말했다. 해당 데이터에 따르면 사이버 프리미엄은 향후 10년 동안 두 배로 늘어날 것으로 추산됩니다. 2022년 보험료는 총 119억 달러였습니다. Friedlander는 2025년까지 이 금액이 225억 달러로 두 배 증가하고 2027년에는 333억 달러로 증가할 것으로 예상한다고 말했습니다.
Friedlander는 “이것은 확실히 가장 빠르게 성장하는 보험 부문 중 하나입니다. 이전보다 더 많은 회사가 사이버 보안 정책을 작성하고 있습니다”라고 Friedlander는 말했습니다. 이는 보험사들이 보다 정교한 인수 및 요율 안정화에 대한 신뢰를 갖고 있기 때문입니다. 그는 2023년 3% 하락에 이어 2024년 1분기 사이버보안 보험료가 6% 하락한 것을 보험사가 사업 진출에 대해 더 자신감을 갖고 있다는 분명한 신호라고 언급했습니다.
Friedlander는 “자동차나 재산과 같은 대부분의 상업 보험이 모두 증가했기 때문에 감소세가 상당합니다. 이는 안정성의 신호이자 청구 심각도의 감소입니다”라고 Friedlander는 말했습니다.
그리고 더 많은 보험사가 위험 가격을 책정할 수 있는 도구와 데이터를 갖추고 있기 때문에 시장에 진입하고 있습니다. “적절한 속도로 할 수 있다면 해당 보도를 작성하게 될 것입니다”라고 Friedlander는 말했습니다.
‘당신은 돈을 잃고 있어요’
버핏과 그의 최고 보험 책임자는 이에 동의하지 않습니다. 버크셔가 사이버 보험으로 더 큰 움직임을 보이는 것은 보험 “손실 비용”(판매된 제품의 비용이 잠재적으로 될 수 있음)입니다. Jain은 손실이 현재까지 “상당히 잘 억제되어 있다”고 말했습니다. 지난 4~5년 동안 정책 달러의 40센트를 초과하지 않았습니다. 그러나 그는 덧붙였습니다. “모자를 쓰고 무엇을 말할 수 있을 만큼 데이터가 충분하지 않습니다. 진정한 손실비용은.”
Jain은 대부분의 경우 Berkshire의 대리인은 특정 고객 요구 사항을 충족하기 위해 작성해야 하는 경우를 제외하고는 사이버 보험 작성을 권장하지 않는다고 말했습니다. 그리고 그렇게 하더라도 Jain은 그들에게 다음과 같은 메시지를 남겼습니다. “아무리 청구하더라도 사이버 보험 정책을 작성할 때마다 돈을 잃고 있다는 점을 스스로에게 말해야 합니다. 우리는 귀하가 지불하는 금액에 대해 논쟁할 수 있습니다. 다시 지고 있지만, 그것으로 돈을 벌 수 없다는 사고방식을 가져야 합니다. 그리고 나서 우리는 거기에서 출발해야 합니다.”
Google Cloud는 위험이 과장되고 있다고 말합니다.
구글 클라우드(Google Cloud)의 비즈니스 위험 및 보험 책임자인 모니카 쇼크라이(Monica Shokrai)는 사이버 위험이 빠르게 변화하고 있기 때문에 체계적인 방식으로 보험에 가입하기에는 너무 예측하기 어렵다는 인식이 있다고 말했습니다. 그러나 그녀는 인식이 현실과 일치하지 않으며 위험은 대체로 관리될 수 있다고 덧붙였습니다.
“우리는 이 주제에 대해 워렌 버핏과 같은 견해를 갖고 있지 않습니다.”라고 그녀는 말했습니다. Google의 관점에서는 대부분의 사이버 손실은 기본적인 사이버 위생을 통해 예방하거나 완화할 수 있습니다.
Shokrai는 “보안을 이해하면 통제력이 훨씬 더 좋고 위험을 더 쉽게 관리할 수 있는 위치에 도달할 수 있습니다.”라고 말했습니다. 한편, 국민 국가의 파괴적인 공격은 별도의 범주에 속하며 드물었습니다. 보험사는 특정 재난을 제외함으로써 이미 잠재적 위험으로부터 예방하고 있습니다. 많은 사이버 보안 정책에는 국가 공격에 대한 적용 면제가 있습니다.
Shokrai는 “그들이 하려고 하는 것은 광범위한 사건이 발생하는 경우 탄력성과 용해력을 유지하는 것입니다. 이를 관리하기 위해 수행한 작업은 제외됩니다”라고 Shokrai는 말했습니다. 여기에는 중요한 인프라, 사이버 전쟁 및 기타 광범위한 파괴적인 사건이 포함됩니다. .
모호함과 주관성이 남아 있습니다. 누군가가 국가와 공식적으로 관련되어 있지는 않지만 보조적인 물류 지원을 받았을 수 있는 외국 기반 갱단의 사이버 공격 피해자라면 어떻게 될까요? 보험회사가 국가 배제를 발동할 수 있나요? Shokrai는 사건의 속성을 분류하는 것이 보험 회사들 사이에서 많은 논쟁을 불러일으키는 주제라고 말합니다. Shokrai는 “이것은 보험 회사들 사이에 큰 논쟁거리입니다. 이는 명확성이 필요한 중요한 구별입니다.”라고 말했습니다.
일부 전문가들은 버핏 같은 투자자나 버크셔 같은 보험사들이 겁을 먹은 것은 업계 마진을 둘러싼 모호함 때문이라고 말합니다. 그러나 지금까지 사업은 전반적으로 건전한 것으로 입증되었습니다. 지난 몇 년간 진화하는 시장을 연구해 온 터프츠 대학교 플레처 스쿨(The Fletcher School)의 사이버 보안 정책 부교수인 조세핀 울프(Josephine Wolff)는 “이것은 여전히 많은 보험사에게 실행 가능한 비즈니스 모델입니다.”라고 말했습니다. 그러나 그녀는 사업이 실행 가능하다는 믿음이 상황이 지속적으로 변하지 않는다는 것을 의미하지는 않는다고 덧붙였습니다. 최근 몇 년 동안 보험 회사가 막대한 보상금을 지불한 랜섬웨어 급증을 지적했습니다. 특히 여전히 사업을 성공시키기에는 충분하지 않습니다. 대부분의 발행자에게는 수익성이 없습니다.
사이버 보안을 전문으로 하는 캘리포니아 소재 관리 서비스 제공업체인 L3 Networks의 공동 창업자인 Steve Griffin에 따르면 사이버 보험은 전체 생태계를 더욱 안전하게 만드는 데 도움이 됩니다. 정책에 따라 기업은 보장 범위를 확보하기 위해 특정 사이버 표준을 준수해야 하며, 보장 범위에 등록하는 기업이 많을수록 전체 시스템이 더욱 안전해집니다. 그리고 기업이 몇 가지 기본적인 사이버 보안 보호 장치를 갖추고 있지 않으면 청구가 거부될 것이라는 사실을 알고 있다면 이를 마련하려는 인센티브로 작용합니다.
버크셔는 사업이 성장할 것이라고 믿고 있지만 어떤 비용이 드는지는 확실하지 않습니다. Jain은 “내 추측으로는 어느 시점에서는 이 사업이 거대한 사업이 될 수도 있지만 막대한 손실과 연관될 수도 있다”고 말했습니다.
버핏은 “대부분의 사람들은 보험에 가입할 때 유행하는 어떤 것에든 가입하고 싶어한다는 점을 말씀드리고 싶습니다. 그리고 사이버 문제는 쉬운 문제입니다”라고 말했습니다. “많이 쓸 수 있습니다. 에이전트는 그것을 좋아합니다. 그들은 자신이 작성한 모든 정책에 대해 커미션을 받고 있습니다. … 인간의 본성은 대부분의 보험 회사가 매우 흥분할 것이고 에이전트는 커미션을 받을 것이라고 말하고 싶습니다. 매우 신나고 매우 패셔너블하며 흥미롭습니다. 찰리처럼 [Munger] 쥐약일 수도 있겠네요.”
그리핀은 버핏의 주의를 이해하지만 위험 전망에 대한 세대 간 격차를 보고 사이버 보안 보험 부문에 대해 낙관적입니다.
“아마도 워렌 버핏은 젊었을 때 사이버 보안 보험을 기회라고 불렀을 것입니다.”라고 그는 말했습니다.
정정: 사이버 보안 보험료는 2023년 3% 감소에 이어 2024년 1분기에도 6% 감소했습니다. 이 기사의 이전 버전에서는 2023년 감소를 잘못 기재했습니다.