지난해 북한 해커의 소행이라고 알려진 컴퓨터 네트워크 해킹으로 소니 영화사가 1억 달러의 손실을 입을 수도 있었다. 하지만 소니는 피해와 관련해 그 액수의 3분의 1 정도만 지출했다. 사이버보험에 들었기 때문이다. 수십억 달러 규모의 글로벌 보험 시장에서 성장하고 있지만 거의 알려지지 않은 분야다. 이제 기업들이 데이터 보안을 대하는 방식에 일대 변화를 가져오고 있다.

사이버보험 고객은 소니뿐이 아니다. 포천 500대 기업 중 거의가 사이버보험에 가입했다. 아메리칸 인터내셔널 그룹(AIG), 리버티 뮤추얼 보험, 그리고 트래블러스 보험 등 여러 보험사에서 사이버보험을 취급한다. 실제로 ABI 리서치의 조사에 따르면 사이버보험 시장은 올해 약 20억 달러에서 2020년에는 100억 달러까지 성장할 것으로 예상된다. 가입자들은 통상적으로 사이버 공격으로 발생하는 피해에 대해 보호를 받는다. 보험사는 흔히 가입자에게 최선의 안전수칙을 따르도록 한다. 예컨대 비밀번호의 수시 변경, 데이터의 분류 보관, 정기적인 피싱(phishing, 개인 금융정보 ‘낚시’) 테스트 일정 수립 등이다.

미국 사이버보안연맹의 마이클 카이저 대표는 “사이버보험 시장의 폭발적인 성장이 예상된다”며 “사업장에서 일어나는 모든 일을 책임져야 하는 것처럼 기업은 사이버보험에도 가입해야 한다”고 말했다.

지난 11월 초 앱 보안업체 베라코드가 설문조사 결과를 발표했다. 상장기업 이사와 임원 10명 중 9명은 고객 데이터 보안에 ‘합당한 노력’을 기울이지 않을 경우 기업에 책임이 있다고 본다. 연방거래위원회(FTC)가 과거 수립한 규정에 따르면 ‘합당한 노력’을 이루는 요소는 상황에 따라 다르다. 하지만 전액 보상을 받으려면 가입자가 특정 요건에 부합해야 한다는 것은 두 말할 필요도 없다. 적어도 보험사의 관점에서 해커는 허리케인 같은 새로운 재해다. 보험사들은 기존의 자연재해 피해 예측방식과 유사한 모델에 입각해 고객의 경제적 손실을 예측한다.

리스크 모델링 업체 AIR 월드와이드는 400여 보험사와 재보험사의 의뢰를 받아 대규모 해킹의 발생 확률에 기초해 고객의 연간 손실을 추측한다. 미국 뉴저지 해안을 강타하는 허리케인 피해를 예상할 수 있듯이 도시 전력망을 마비시키는 사이버 공격에 대비할 수 있다.

“재산 측면에선 우박방지 지붕재를 깔았는지, 다시 말해 피해가 적은지 조사한다”고 AIR 월드와이드의 스콧 스트랜스키 수석 연구원은 말했다. “사이버 측면에선 유출된 데이터가 암호화되거나 해커에겐 사실상 가치가 없을지 모른다. 하지만 동종 기업 직원들보다 소셜미디어 이용도가 훨씬 높다면 소셜미디어 공격을 더 많이 받는다.”

1992년 65명의 희생자와 260억 달러의 재산피해(당시 물가 기준)를 초래한 허리케인 앤드류는 사이버 공격으로 치면 아마존 클라우드에 대한 한 달 간의 공격이라고 스트랜스키 연구원은 평한다.

그는 “아마존 클라우드는 해커에게 무공훈장과 같은 과시용 표적”이라며 “수만 개 기업이 한꺼번에 업무중단 사태를 겪을 수 있다”고 설명했다. “허리케인 앤드류는 작은 지역에 몰려 있는 집들을 파괴한 강력한 폭풍이었다. 밀집도가 높으면 그만큼 대형 피해가 발생할 위험이 크다. 미국·독일·중국 지역 전체의 소형 은행들로부터 대형 마트에 이르기까지 모두 조업이 중단된다.”

대다수 사이버보험 계약은 조업 중단 피해도 보상해 준다.

국제 보험사 ‘비즐리 브리치 리스판스(Beazley Breach Response)’에선 2013년 이후 사이버보험 계약이 매년 30%씩 증가해 왔다고 보험 인수인 폴 밴티크가 말했다. “미국 대기업의 경우 보험에 가입하거나 가입을 검토했다. 지금은 중소기업도 사이버 공격에 노출됐음을 인식하고 있다.”

정기적인 보안 업데이트부터 해킹 피해 고객 통보와 불가피한 대외 이미지 타격의 수습(또는 적어도 완화)까지 갖가지 관련 사업 비용을 보험으로 보상받을 수 있다. 사이버 갈취까지 보상해주는 보험상품도 많다. 기업들이 자신들의 데이터를 되찾으려면 수천 달러 대의 ‘몸값’을 지불하는 방법밖에 없는 경우다. 그리고 요즘 어느 때보다 기승을 부리는 신종 악성코드도 보험 대상이다.

밴티크 인수인은 “5년 전만 해도 노트북 컴퓨터 분실, 백업 데이터 실종, 직원의 부정행위가 주된 문제였다”며 요즘엔 사이버 갈취가 꽤 흔해졌다고 설명했다.

소니 영화사는 해킹 공격을 당하기 전 마시 보험사에 6000만 달러짜리 사이버보험을 든 것으로 알려졌다. 해킹 피해가 “보험으로 충분히 처리되는 수준”이며 그 비용이 “우리 예산에 큰 타격을 줄 정도는 아니다”고 마이클 린튼 CEO가 지난 1월 로이터 통신에 말했다. 전문가들은 피해 규모를 1억 달러로 추정했다. 소니 측은 지난 3월 금융·IT 시스템 복구 비용 3500만 달러를 자비로 부담해야 한다고 밝혔다.

보험사들은 보험 가입을 받기 전에 그 회사 방화벽의 안전성을 테스트하고 싶어 한다. 보안 전문업체에 의뢰해 해당 기업이 악성 코드나 ‘분산 서비스 거부’(DDoS, 대량의 데이터를 동시에 보내 시스템을 마비시키는 수법) 공격에 얼마나 오래 버티는지 조사한다. 대응 방식을 보면 그 회사의 사이버 보안 능력 그리고 그에 따라 보험을 제공하는 데 따르는 재무 위험을 평가할 수 있다.

“어느 날 어떤 네트워크에 특정한 봇넷(원격 조종되는 컴퓨터 네트워크)이 나타났다가 다음날 사라진다면 그 회사가 감염되기는 했어도 효과적으로 대처했다는 의미다”고 AIG, 에이스, 원비컨 등 여러 보험사를 고객으로 둔 비트사이트 테크놀로지스의 아이러 샤프 글로벌 보험 담당 본부장이 말했다. “특정 바이러스가 한 네트워크에서 50~60일 동안 진을 치고 있으면 그 회사에는 바이러스를 감지하거나 대처하는 첨단 시스템이 갖춰져 있지 않다는 것이다.”

비트사이트 테크놀로지스는 최소 3만3000개가 넘는 기업의 데이터베이스를 보유하며 SSL 보안 인증서, 스팸 활동, 피싱 방지 조치와 기타 수천 가지 변수 등에 대한 테스트를 실시한다(하지만 해커나 정보기관 사이에서 인기 있는 침투 테스트나 개입적인 소프트웨어 방식은 사용하지 않는다고 한다).

2013년 대형 할인점 타겟이 해킹당해 2억4800만 달러의 피해를 입었다. 그중 보험으로 보상받은 금액은 9000만 달러에 불과했다. 그것은 미국 내 모든 매장의 계산대에 잠복해 있던 악성 소프트웨어가 해킹이 발견되기 몇 달 전에 이미 알려진 위협이었기 때문일 수 있다. 이어 DIY 체인점 홈데포도 타겟을 공격한 것과 비슷한 종류의 악성 코드에 공격당해 4300만 달러의 손실을 봤다고 신고했다. 이때도 보험사에서 받은 보상금은 1500만 달러뿐이었다.

T모바일 같은 이동통신사도 신용정보 업체 익스페리언 같은 제휴사들이 적절한 대책을 갖추도록 할 책임이 있다. 앞서 해커들이 익스페리안의 네트워크에 침투해 1500만 T모바일 고객의 개인정보를 빼돌렸다. 제3의 공급사 등이 해커들에게 침입 통로를 열어줘 훨씬 규모가 크고 완벽한 대응태세를 갖춘 조직을 공략하는 교두보 역할을 하는 경우도 적지 않다.

“소방안전은 검사를 실시하고 장비를 점검하면 그만이지만 사이버 보안은 훨씬 더 복잡하다”고 베라코드의 공동창업자이자 최고기술책임자인 크리스 위소팰은 말했다. “트럭 운수업자라면 어떤 일에 주의를 기울여야 하는지 특정한 표준이 있다. 앞으로 기업들은 소프트웨어 제공사나 제3의 공급사에 책임이 있을 경우 공급망에도 그에 상응하는 주의 의무를 요구할 것으로 예상된다.”

요컨대 미국 기업계에서 사이버 공격에 대한 보험은 예외라기보다 원칙으로 자리 잡아가고 있다. 해커들 덕분에 새로운 산업이 형성되고 있는 셈이다.

- JEFF STONE IBTIMES 기자 / 번역 차진우

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지