Skip to main content
Marsh logo

아시아 데이터센터 수명 주기 리스크 관리 및 보험 프로그램: 알아 두어야 할 모든 것

아시아 태평양 데이터센터 시장은 2023년부터 2028년까지 연평균 12%(CAGR)의 성장률을 기록하여 2028년에는 535억 8천만 달러 규모에 이를 전망입니다.1 아시아 역내 최대 시장은 싱가포르와 홍콩으로, 싱가포르는 173메가와트(MW), 홍콩은 79메가와트(MW)의 저장 용량을 갖춘 데이터센터를 건설 중이며 이를 통해 그 입지를 강화하고 있습니다.2 한편 일본, 인도네시아, 베트남은 해저 케이블 네트워크 연결성 및 네트워크 확장에 힘입어 자국 데이터센터 시장의 성장을 모색하고 있습니다.

성장 추세인 아시아 데이터센터의 이면에는 상호 연결된 리스크 요인이 자리하고 있으며 진화를 거듭하고 있는 이러한 리스크들은 데이터센터 밸류체인(예: 데이터센터 개발사, 운영기업, 입주사)의 숙명적인 해결 과제입니다.

아시아 데이터센터 밸류체인 현황

데이터센터 밸류체인의 첫 번째 구성요소는 공간을 임대해주고 일반적으로 네트워크 용량 및 전력, 서버 냉각 장치까지 제공하는 임대인이라 할 수 있습니다. 임대인이 제공하는 구성은 최저 전력사용효율(Power Usage Effectiveness, PUE) 등급 등 특정 사양 및 규제 기준을 충족해야 합니다. 다음으로는 공간을 임차하는 임차인, 즉 IT 장비를 설치하여 데이터센터 시설의 일상적인 운영을 관리하는 클라우드 벤더 또는 정보통신 기업 등의 데이터센터 운영회사가 있습니다.

한편 주요 테크기업 및 정보통신기업, 해외 클라우드 서비스 제공업체들은 밸류체인 전반을 망라하는 기업 BOO(build-own-operate, 건설-소유-운영) 접근방식을 채택하고 있습니다. 이 모델을 적용하면 건설 프로세스를 선제적으로 관리 및 간소화하고, 데이터센터 운영의 보안 및 성능을 보장할 수 있습니다. 아시아의 일부 개발회사들은 부동산투자신탁(REIT)을 통해 데이터센터 관리에 다양한 모델을 활용하기도 합니다.

데이터센터 밸류체인의 상호 연결성을 감안할 때, 견실한 사업 연속성과 책임 리스크 관리 및 보험의 필요성이 중요하게 대두되고 있습니다.

데이터센터 개발회사, 운영회사 및 임차인의 당면 리스크는 무엇일까요?

데이터센터는 사업에 필수적인 시설로, 높은 가용성을 필요로 합니다. 보통 데이터센터는 인프라 가용성에 따라 네 등급(1~4등급)으로 나뉩니다. 고장 허용 한계가 가장 낮은 4등급 데이터센터의 개발회사와 운영회사, 임차인은 데이터센터 수명 주기(계획, 설계, 건설, 운영 및 평가)에 대해 중대 손실에 대한 안전을 보장받기 위해 최상급의 견고한 리스크 완화 및 전가 솔루션을 이용합니다.

Data centre management: Risk and solutions matrix

건설 단계의 리스크

건설 단계에서는 프로젝트 소유 기업과 하청 기업이 건설 전위험(CAR) 및 제삼자 배상책임(TPL) 보험 보장을 확보하기 위한 거의 모든 계약이 표준에 따라 준비되는 한편, 사모 기업을 비롯한 비소구 프로젝트 금융 기관은 프로젝트 작업의 물리적 손상으로 인한 프로젝트 지연의 재무 리스크를 완화하기 위해 자금 조달 당사자가 가동 지연(DSU) 보험 요소와 함께 이러한 CAR 보험을 구매하기를 기대합니다.

특히 완성된 데이터센터에서는 즉각적이고 상당한 수익 흐름이 발생할 수 있고, 이는 지연의 대가가 크다는 것을 의미하기 때문에, DSU 총액을 신중하게 평가하여 적절한 보장을 확보할 필요가 있습니다. 동시에 DSU 보험의 불필요한 과잉 부담은 대출 기간의 보험료 비용이 높아지는 결과를 초래하는 만큼, 향후 운영 모델(임대, 코로케이션 등)에 반영되어야 합니다.

데이터센터 프로젝트에 입찰하는 하청 기업은 계약상 배상책임 리스크에 특별히 주의하고, 위험 분석 기법을 비롯한 엄격한 입찰 요건을 충족하는 세부 정보를 입찰 문서에 포함해야 합니다. 하청 기업은 데이터센터의 설계와 건설에 따르는 부가적인 어려움을 잘 이해하고 이에 대비한 견고한 계획을 수립했다는 것을 입증해야 하며, 아시아 외 지역(예를 들어 미국)에 본사를 둔 프로젝트 당사자와의 건설 계약을 체결 시 차이점을 잘 알고 있어야 합니다.

아래의 주요 리스크 제목을 클릭하여 각각의 리스크 유형과 상응하는 보험에서 고려할 사항에 대해 자세히 알아보세요.

물리적 리스크

아시아의 데이터센터 중 싱가포르, 홍콩과 같은 도시 국가에 있는, 대체로 5~7층 높이의 데이터센터에만 존재하는 물리적 리스크가 있습니다. 미국과 유럽에서 볼 수 있는 면적이 넓고 저층인 데이터센터에 비해 이러한 ‘수직형’ 데이터센터는 공기 흐름과 냉각에 대한 필요성이 높고 이 때문에 열과 화재로 인한 물리적 손상 리스크도 좀 더 높지만, 리스크 엔지니어링을 통해 이를 완화할 수 있습니다.

또한 데이터센터는 전력 수요가 높아서 자연 재해를 입기 쉬운 장소에 위치할 수 밖에 없는 경우가 많습니다. 물리적 기후 리스크 모델링과 리스크 엔지니어링이 태풍, 폭염, 홍수 등 기상 이변의 영향 완화에서 중요한 해결책이지만, 2020년에 Uptime Institute가 시행한 설문 조사에 따르면 데이터센터 운영회사의 36%가 아직 데이터센터의 기후변화 취약성을 정식으로 평가하지 않은 것으로 나타났습니다.3 이 조사는 견고한 데이터센터 리스크 관리 및 비즈니스 연속성 계획의 필요성을 잘 보여줍니다.

보험사들은 물리적 리스크를 보장하는 재산 및 특종 보험을 인수하기 전에 최신의 정확한 밸류에이션과 더불어 기존의 손실 후 권고사항(있는 경우)에 따른 조치가 시행되었는지 확인하기 위한 리스크 조사의 시행을 요구할 것입니다.
사이버 리스크

다양한 리스크에 대비하는 데이터센터 보험에서 보험사들이 까다롭게 살피는 공통된 요소 중 하나는 피보험자가 효과적인 사이버 보안 전략을 마련했는지 입니다. 이러한 사이버 보안 전략에는 사람, 프로세스, 기술이 결합된 견실한 리스크 관리 및 지속적 개선과 감시 요소가 포함되어야 합니다.

또한 데이터센터 소유 기업과 운영회사는 데이터의 무단 이용 및 공개를 방지하고, HIPAA, GLBA, FISMA, GDPR과 같은 규제 프레임워크 내에서 시설을 운영하며, PCI DSS와 같은 업계 표준을 준수하고, 백업 및 데이터 복구 관련 모범 사례를 지속적으로 적용하여 데이터 침해와 고객 데이터 손실을 예방하기 위해 법적, 계약상 의무나 암묵적 의무를 숙지해야 합니다.

사이버 리스크 회복력을 갖추기 위한 첫 단계로는 데이터센터 이해관계자가 현 시점의 사이버 리스크 대비 수준과 전반적인 사이버 성숙도를 자체적으로 정확하게 평가할 수 있는 사이버 보안 자가진단을 시행하는 것이 적절합니다. 평가에서 얻은 인사이트를 바탕으로 사이버 보안 태세를 개선하고, 필요하면 Marsh의 숙련된 리스크 자문가의 조언을 토대로 적절한 수준의 사이버 보험 및 임원(D&O) 배상책임 보험에 가입하여 스스로를 보호하고 면책하기 위한 적절한 조치를 취할 수 있습니다.

보안 리스크

아시아의 데이터센터에 물리적 보안 리스크 사건이 발생할 가능성이 낮더라도, 개발회사와 운영회사는 인프라를 고의적으로 파손 및 손괴하려는 시도에 저항하는 능력을 갖추어야 합니다. 싱가포르 통화청(MAS)의 기술 리스크 관리 가이드라인은 잠재적인 보안 위협과 데이터센터의 운영 약점을 식별하고 견고한 테이터 센터 보안 관리 체계의 수립을 위한 보호의 수준과 유형을 결정하기 위해 데이터센터 운영회사에 위협 및 취약성 리스크 평가(TVRA)를 시행할 것을 권고하며, 싱가포르 외에 몇몇 국가가 이러한 가이드라인을 가지고 있습니다.4 뿐만 아니라 싱가포르 정부 데이터를 호스팅하는 데이터센터는 싱가포르 인프라 보호법이 적용되어 싱가포르 경찰이 시행하는 보안 내재화 규정 준수 대상이 될 가능성이 높습니다.

이러한 모범 사례는 보안에 민감한 다른 고객의 데이터를 호스팅하고자 하는 데이터센터 소유 기업과 운영회사가 부가 가치 제공 장치로서 적용을 적극 권장합니다.

물리적 보안 리스크의 몇 가지 예로는 도난, 사제 폭발물을 이용한 테러 공격 그리고 무단 침입, 외부 공격, 사보타주로 인한 방화가 있습니다. TVRA에는 데이터센터 건물 인프라, 내부 시설, 경계 및 주변 환경에 대한 검토가 포함되어야 합니다. 또한 리모델링 및 충돌 방지 방벽 등 방호물 설치뿐 아니라 사이버 공격을 통해 액세스 자격 증명을 취득하거나 데이터센터에 대한 물리적 공격 통로를 원격으로 열어두지 못하도록 사이버 하이진 및 통제 장치를 검토하고 개선하는 조치가 통합적으로 포함되어합니다.5

 

지속가능성 리스크

기후가 따뜻한 곳에서는 더 집중적인 냉각이 필요하여 데이터센터의 에너지 수요와 탄소 배출량이 증가한다는 점으로 인해 운영회사가 친환경 활동과 의무를 수행하는 것이 더욱 어려워집니다. 실제로 Sunbird의 보고서에 따르면 대체로 데이터센터의 서버 중 삼분의 일 가량이 사용한 지 4년이 넘은 것이라고 합니다. 이처럼 노후한 서버는 데이터센터가 소비하는 전체 에너지의 65%를 차지하면서 총 성능에서는 4%만을 담당합니다.6

싱가포르의 경우 지금부터 신규 데이터센터는 “최고 수준의 자원 효율성 및 탈탄소화 능력”을 갖춰야 합니다. 여기에는 1.3 이상의 PUE 요건이 포함됩니다. 개발회사와 운영회사는 신규 벤더와 협력하거나 기존 시설에 에너지 효율 및 냉각 설비를 추가하는 리모델링 시 제삼자 및/또는 계약상 배상책임 보장을 통해 리스크를 완화하는 것을 고려해야 합니다.

기후변화 관련 재무정보 공개협의체(TCFD) 또는 자연 관련 재무정보 공개협의체(TNFD) 보고를 요구하는 금융 기관과 주식 거래소가 늘어남에 따라, 데이터센터 주주들은 환경, 사회, 거버넌스(ESG) 리스크 관리 전략의 일환으로 탄소 상쇄의 역할을 평가하고 ESG 리스크를 기업 리스크 관리 전략에 포함해야 합니다.
제삼자 배상책임 리스크

또한 데이터센터는 다른 부동산 자산군에 비해 제삼자 리스크 익스포저가 큽니다. 데이터센터 운영회사는 건설 제삼자 배상책임, 고객에 대한 서비스 수준 약정 및 의무를 비롯한 제삼자 배상책임 리스크 익스포저에 각별한 주의를 기울여야 합니다. 데이터센터의 예기치 못한 중단으로 인해 운영회사가 고객 손실을 책임져야 하는 경우, 사이버 보험과 오류 및 누락(E&O) 보험이 필요한 보장을 제공할 수 있습니다

제삼자 배상책임 리스크에 대한 보장을 확보하는 것은 간단한 일이 아니며, 리스크 자문가가 보장 공백을 방지하는 데 도움이 될 수 있습니다. 특히 배상책임 보험에서 보호, 보관 또는 통제(CCC) 중인 타인재산의 손상을 제외하는 조항과 관련하여, 당사는 계약 조건, 고객 보험 요건 및 주 법률이 보험사의 책임 수준에 영향을 미칠 수 있다는 것을 확인하였습니다. 이 경우, 영업 배상책임 보험(Commercial General Liability)과 사이버 보험을 적용할 수 있습니다.

비즈니스 중단(BI) 리스크

많은 산업에서 데이터센터가 기업 운영의 필수 요소가 되었습니다. 데이터센터를 소유하든 임대하든 데이터센터 이용에는 복잡한 비즈니스 중단과 우발적 비즈니스 중단 리스크가 내포되어 있습니다.

데이터센터 서비스가 중단되면 소득의 직접적 손실이나 벤더나 서비스 제공 업체에 영향을 미치는 우발적 손실이 초래될 수 있으며, 추가 인력, 초과 근무 및 장비 대여 비용과 데이터센터 손실이 심각한 손실로 악화될 위험을 완화하는 데 드는 비용을 비롯하여 사건 후 데이터센터 운영 재개에 추가 비용이 들어가는 것은 말할 것도 없습니다.

특히 싱가포르, 홍콩, 도쿄처럼 성숙한 시장이 아닌 지역에서 5G 보급이 확산되면서 데이터센터 수요가 늘어날 것으로 예상됩니다. “비중심지”에 위치한 이들 데이터센터는 예기치 못한 중단이나 인적 오류로 인한 문제에 대한 리스크 익스포저가 더욱 큽니다. 이들 시장에 진출하고자 하는 이해관계자는 리스크 자문가의 전문성을 빌려 예비 용량 활용 능력을 평가하는 등 리스크를 정확히 정량화하고, 보험 중개 전문가를 통해 적절한 보험 보장을 확보할 수 있습니다.

신규 시장에 진출하거나 다국적 기반을 가진 데이터센터 개발회사와 소유 기업은 BI 리스크를 인플레이션 및 환율 변동을 감안하여 적절히 보장하기 위해 자산 밸류에이션과 BI 신고 가액도 주기적으로 검토하여 청구 발생 시 과소 보험의 불이익으로 인한 미보장 손실의 가능성을 최소화해야 합니다. 이를 위해 검증된 데이터와 경험을 보유한 당사 자문 부서의 밸류에이션 서비스팀 및 포렌식 컨설턴트가 보험사에 제시할 적절한 자산 가치, BI 신고 가액 및 최대 면책 기간을 정확히 판단할 수 있도록 도와드립니다.

 

데이터센터 리스크의 경감과 보장을 위한 파트너

시장 지식, 데이터, 분석 역량과 광범위한 보험사 및 사모 기업 네트워크와 더불어 아시아의 건설, 기술, 부동산, 사모 분야에 대해 광범위하고 심층적인 리스크 자문, 완화, 리스크 재무 및 청구 전문 지식을 갖춘 Marsh는 여러분이 데이터센터 수명 주기의 모든 단계에서 긴급한 문제를 식별하고 해결하도록 도와드립니다.

아시아 데이터센터의 리스크: 사각 지대 해결 웨비나

복잡한 리스크 및 보험 환경에서 데이터센터 투자를 안전하게 지키세요

오늘 예약하여 편하게 상담하세요. Marsh 담당자는 계약을 강요하지 않습니다.

Sources

1 Asia Pacific Data Centre Market Report 2023: Demand for High-Density Data Centers by Businesses is Augmenting Sector Growth. Research and Markets. (2023). https://www.globenewswire.com/news-release/2023/03/03/2620074/28124/en/Asia-Pacific-Data-Centre-Market-Report-2023-Demand-for-High-Density-Data-Centers-by-Businesses-is-Augmenting-Sector-Growth.html

2 APAC Data Centre Update: H2 2022. Cushman & Wakefield (2022). https://www.cushmanwakefield.com/en/singapore/insights/apac-data-centre-update

3 Extreme weather affects nearly half of data centers. Uptime Institute (2021). https://journal.uptimeinstitute.com/extreme-weather-affects-nearly-half-of-data-centers/

4 Technology Risk Management Guidelines. Monetary Authority of Singapore (2021). https://www.mas.gov.sg/-/media/MAS/Regulations-and-Financial-Stability/Regulatory-and-Supervisory-Framework/Risk-Management/TRM-Guidelines-18-January-2021.pdf

5 Hackers Scored Data Centre Logins for Some of the World’s Biggest Companies. Bloomberg (2023). https://www.bloomberg.com/news/features/2023-02-21/hackers-scored-corporate-giants-logins-for-asian-data-centers#xj4y7vzkg

6 Top 40 Data Centre KPIs. Sunbird. (2020). https://www.sunbirddcim.com/ebooks/top-40-data-center-kpis

Our People

Placeholder Image

Larry Liu

Communications, Media, and Technology (CMT) Industry Leader, Marsh Asia

  • China