2025년 7월, 맥도날드는 예상하지 못한 문제에 직면했다. 채용 지원자 모집과 선별에 사용하던 AI 기반 채용 플랫폼 ‘맥하이어’와 관련된 보안 문제였다. 패러독스.ai가 개발한 시스템에서 초보 수준의 보안 취약점이 존재했다. 매장 운영자가 사용하는 백엔드 시스템에서 아이디와 비밀번호 모두 ‘123456’이 허용됐고 다중 인증도 적용되지 않았다. 결과적으로 약 6,400만 명 지원자의 개인정보가 노출 위험에 놓였다. 다행히 보안 연구자 이안 캐럴과 샘 커리가 취약점을 발견해 맥도날드에 알렸다.

기업이 충분한 보안 점검 없이 AI 도구를 빠르게 도입하면서 유사한 보안 사고는 반복적으로 발생하고 있다. IBM 보고서는 AI 도입 속도가 보안과 거버넌스 체계 구축보다 빠르게 진행되고 있다고 분석했다. 지난해 기업의 13%가 AI 모델 또는 애플리케이션과 관련된 침해 사고를 보고했고 8%는 시스템이 침해됐는지조차 파악하지 못하고 있다고 답했다.

보험업계도 상황을 인식하고 있다. 다수 보험사는 약관 문구를 강화하고 보험료를 인상했으며 일부 AI 관련 사고를 명확히 보장 제외 대상으로 설정했다. 위험 구조가 충분히 이해되지 않은 영역에 대한 노출을 줄이기 위한 조치다. 사이버보안 업체 델리네아(Delinea) 조사에 따르면 응답자의 42%가 AI 오용 및 책임 문제와 연계된 보장 제외 조항이 사이버 보험 약관에 포함됐다고 답했다.

그러나 변화가 한 방향으로만 진행되는 것은 아니다. 보험사는 강력한 보안 체계를 구축한 기업에는 보험료 할인 등 혜택을 적용하고 있다. 86%의 기업이 AI 기반 보안 도구를 활용한 결과 보험료 할인 또는 크레딧을 받았다고 답했다.

보안 기업 가이드포인트 시큐리티 보험 전략 부문 부사장 네이트 스퍼리어는 “AI는 위험 요소이면서 동시에 기회”라고 말했다.

사이버 보험사, 위험 평가 방식 바꿔

AI가 기업 운영 전반에 깊이 적용되고 공격자에게도 활용되면서 사이버 보험사는 위험 평가 방식을 재설계하고 있다. 많은 보험사가 단순 설문이나 자기 확인 방식에서 벗어나 보안 통제 체계가 실제로 모니터링·테스트·강제 적용되는지에 대한 증거를 요구하기 시작했다. 델리네아 보고서에 따르면 보험 가입 또는 갱신 이전에 내부 보안팀과 IT 보안팀의 공식 검토를 요구하는 보험사는 77%로 나타났다. 1년 전 56%에서 크게 증가한 수치다.

그러나 검토 절차만으로 충분하다고 보지 않는 흐름도 확산되고 있다. 사이버보안 보험 업체 코얼리션(Coalition)의 글로벌 사이버 포트폴리오 언더라이팅 총괄 마이클 필립스는 “선도적인 사이버 보험사는 단발성 신청서 평가 방식에서 벗어나 기업의 공격 표면과 보안 통제를 지속적으로 평가하는 방식으로 이동하고 있다”라고 설명했다.

코얼리션은 보험 인수와 사고 보상 업무 외에도 사이버 보험 상품에 사이버 보안 서비스를 함께 제공한다. 보험 가입 기업은 인터넷에 노출된 시스템의 취약점을 지속적으로 감시하고 경고를 제공하는 도구와 함께 보안 전문가 자문과 위협 인텔리전스를 이용할 수 있다. 기업의 보안 수준과 보험 보장 범위를 직접 연결해 사고 발생 빈도와 피해 규모를 줄이려는 전략이다.

AI가 현대 기업 운영 전반으로 확산되면서 보험사의 검토 범위도 넓어지고 있다. 스퍼리어는 “보험사는 기업이 기업 내부에서 AI를 어떻게 활용하는지, 어떤 통제 체계가 존재하는지, 어떤 업무에 사용되는지, 사용 권한을 가진 인원이 누구인지, 단순한 업무 효율화 도구인지 또는 고객 서비스의 핵심 구성 요소인지까지 확인하려 한다”라고 설명했다.

보장 범위와 약관 문구 변화

AI가 광범위하게 활용되면서 보험사는 계약서를 다시 작성하고 있다. 어떤 사고를 보장하고 어떤 사고를 제외하는지 더욱 명확하게 규정하려는 움직임이다. 일부 보험사는 AI 보장 특약을 도입했고 일부는 보장 제외 조항을 추가했다. AI 관련 위험은 예측이 어렵고 대규모 피해로 이어질 가능성이 있기 때문이다. 보험사는 정확한 위험 산정이 어려운 손실까지 부담하려 하지 않는다.

빠르게 변화하는 기술에 맞는 약관 문구를 설계하는 작업은 복잡하다. 스퍼리어는 “보험사는 AI 관련 사고 데이터가 충분하지 않기 때문에 어떤 위험 요소를 구체적으로 규정해야 하는지 완전히 파악하지 못한 상태”라며 “일부 보험사는 신중한 접근을 위해 광범위한 보장 제외 조항을 적용하고 있다”라고 설명했다.

그러나 지나치게 광범위한 제외 조항은 기업에 불리하게 작용할 수 있다. 필립스는 “현재 AI는 성공적인 사이버 공격에서 흔히 사용되는 요소가 됐다”며 “공격 과정에 AI가 활용됐다는 이유만으로 보험사가 랜섬웨어 사고 보장을 거부할 가능성도 존재한다”라고 말했다.

문제는 약관 구조에서도 발생한다. 많은 사이버 보험 계약은 생성형 AI가 대중화되기 이전에 작성됐다. 이후 보험사는 기존 계약에 AI 관련 조항을 추가했다. 과거 계약과 새로운 조항이 결합된 구조는 혼란을 유발할 수 있다. 필립스는 “약관 설명이 명확하지 않으면 보험 가입 기업은 기존과 동일한 보호를 받는다고 생각하지만 실제로는 그렇지 않을 수 있다”라고 지적했다.

기업과 보험 중개사는 약관을 면밀히 검토하고 실제 상황에서 어떻게 적용될지 논의해야 한다. 보험 갱신 이전 단계에서 AI 관련 사고 시나리오를 가정해 보장 범위에 어떤 영향을 미칠지 검토하는 과정이 필요하다.

스퍼리어는 “특정 시나리오는 일부 보험 영역에는 영향을 주지 않지만 다른 영역에서는 보장 제외로 나타날 수 있다”며 “AI 보장 범위를 명확히 하는 시점은 사고 발생 이후가 아니라 보험 갱신 과정”이라고 말했다.

보안 체계 입증 기업, 사이버 보험료 인하

보안 체계가 우수한 기업은 보험 비용을 낮출 수 있다. 이를 위해서는 AI 기반 보안 도구를 활용해 이상 징후를 조기에 발견하거나 사고 대응 시간을 수 시간에서 수 분 수준으로 단축한다는 사실을 입증해야 한다. 스퍼리어는 “보험사 입장에서는 보험금 지급 규모가 줄고 복구 속도가 빨라진다는 의미”라고 설명했다.

보험료 할인은 보통 24시간 보안 모니터링 체계를 구축한 기업에 적용된다. 스퍼리어는 “엔드포인트 탐지 및 대응과 같은 탐지 솔루션은 이미 보험사가 요구하는 기본 조건이 됐다”며 “다음 단계는 경고를 지속적으로 모니터링하고 신속하게 대응할 수 있는 체계를 구축하는 것”이라고 말했다.

가까운 미래에는 AI 기반 보안 체계가 보험 가입 조건이 될 가능성도 있다. 다중 인증이나 엔드포인트 탐지 및 대응이 필수 보안 요소가 된 흐름과 유사하다. 스퍼리어는 “구형 보안 도구에 의존하는 기업은 보험료 상승 또는 보장 범위 축소를 경험할 가능성이 있다”라고 말했다.

dl-itworldkorea@foundryco.com