보험료 인상은 고객이 vpn을 사용하기 때문인가요?

우리 고객 중 한 명이 사이버 보안 보험료가 인상되었다고 알림을 받았습니다.

보험사 측은 “가격 인상은 더 높은 위험의 자가 호스팅 VPN 사용 탐지에 의해 추진되고 있습니다”라고 밝혔습니다.

저는 그들에게 Watchguard SSLVPN과 RADIUS 인증이 Active Directory 보안 그룹에 연동되어 있다고 설명했습니다. 그 위에 DUO를 MFA로 사용하고 있어, 사용자가 퇴사하면 모든 보안 그룹에서 제거되고 계정이 비활성화되어 VPN에 접근할 수 없다고 했습니다.

그들의 답변은 다음과 같았습니다:

“자가 호스팅”은 내부 네트워크 리소스 접근을 위한 보안 연결을 가능하게 하는, 사설 서버에서 운영되는 VPN을 의미합니다. VPN이 일반적으로 더 안전한 원격 연결 방법으로 여겨지긴 하지만, 온프레미스 솔루션은 클라우드 기반 솔루션보다 관리가 어렵고 내부 IT 팀에 의해 소홀히 다뤄지는 경우가 많습니다.

많은 보험 제공업체와 협력했지만, “자가 호스팅 VPN”이 위험으로 여겨지는 것은 이번이 처음입니다.

혹시 이 문제를 경험한 적이 있거나, 이것이 보험사의 일종의 견제인 것인지 궁금합니다.

보험사와 기술 담당자와 이야기를 나눴습니다. 그들은 Cisco ASA, Watchguard, Sonicwall, Palo Alto를 포함한 온프레미스 VPN 제공업체의 블랙리스트를 가지고 있다고 하더군요. 위험이 아닌 것으로 간주하는 공급업체는 Sophos, Connectwise(??) 등 몇몇이라고 했습니다.

우리 VPN 설정, 퇴사 과정 등을 검토했지만, 그들은 아무 문제 없다고 했지만, 모든 보험 고객에 대해 한 가지 규칙이 있으며 그 결정은 상위 경영진에게서 나온 것이라고 했습니다.