사이버 전쟁이 일상으로 들어오고 있는 때다. 천문학적 피해를 이미 기업들은 보고 있다. 이 때문에 사이버 보험 상품들이 보안 솔루션보다 높은 인기를 구가했던 때도 있으나 지금은 혼란기다. 사이버 전쟁이라는 것이 명확히 규정되지 않았기 때문이다.

[보안뉴스 문정후 기자] 사이버 전쟁은 이미 우리의 디지털 대문들을 두들기기 시작했다. 아니, 이미 우리의 일상 안으로 들어와 존재감을 드러내고 있다. 사이버 공간이 거의 모든 국가들의 ‘군사 작전 영역’이 되어버린 지 오래되었지만, 아직 이 영역에서의 ‘전쟁 선포’란 어떤 형태를 띄어야 하고, 어떤 내용을 담고 있어야 하는지에 대해서는 도무지 의견이 하나로 모아지지 않는다.


사이버 영역에서의 전쟁 선포를 규정한다는 건 철학적, 의미론적, 법적 고찰을 모두 포괄하는 것으로, 가까운 미래에 확고한 결론이 나기는 힘들 것으로 보인다. 즉 국가 지원 해커가 분명해 보이는 세력이 다른 나라의 사기업을 공격해 정보를 빼왔는데, 사회적 혼란 같은 걸 야기하지는 않았을 때, 이를 사이버전이라고 불러야 하는지 말아야 하는지 우리는 아직 결정하지 못하고 있다. 그렇기 때문에 사이버 보험 상품으로 보상을 하기가 애매해지고 있다.

오바마 전 미국 대통령의 경우 2014년 소니 픽쳐스 엔터테인먼트(Sony Pictures Entertainment)에서 발생한 파괴적인 랜섬웨어 및 정보 공개 협박 공격을 두고 ‘사이버 반들리즘’이라고 묘사했다. 하지만 이 공격을 실행한 것이 북한 정부라고 공식적으로 발표되자 당시 오바마 행정부는 북한에 대한 새로운 제재를 발동시켰다. 당시 의원이었던 존 맥케인(John McCain)은 이러한 북한의 행위를 두고 ‘새로운 형태의 전쟁’이라고 말하기도 했다. 이러니 소니의 보험사는 보상금을 지불할 수밖에 없었다. 하지만 모든 사이버전 피해 기업들이 이런 혜택을 받지는 않을 것이다.

2016년 7월, 위의 북한 제재가 시작되고서 약 18개월이 지난 시점, NATO는 사이버 공간을 ‘군사 작전의 영역(domain of operations)’임을 인정했다. NATO가 동맹들의 영토와 영해, 영공을 방어하듯이 사이버 공간도 그렇게 방어할 것이라는 뜻이었다. 그럼에도 ‘사이버전’ 그 자체에 대한 정의를 명확히 하지는 않았다. 카네기국제평화기금(Carnegie Endowment for International Peace)은 2020년 보고서를 통해 “이런 불명확성 때문에 사이버 보험 시장이 제대로 성장하지 못하고 있다”고 주장하기도 했다.

2017년, 100개의 사이버 보험 정책들을 분석했을 때 사이버 테러리즘이나 사이버 전쟁과 관련한 항목을 가진 것은 13개에 불과했었다. 그런 가운데 낫페트야(NotPetya) 사건이 발생했다. 시카고의 식품 제조사인 몬델레즈 인터내셔널(Mondelez International)이 당해 1억 달러 이상의 피해를 입었고, 스위스의 취리히보험(Zurich Insurance Group)은 이를 제대로 보상하지 않았다. 그로 인해 촉발된 법정싸움은 아직도 진행되고 있다. 이 판결은 앞으로 보험사의 보상 문제에 대한 기준을 제시할 수 있을 것으로 예상된다.

하지만 그 판결이 언제 날지도 모르고, 판결이 나는 동안 사이버 사고는 계속해서 일어날 것이며 보험사와의 마찰도 충분히 예상 가능하다. 그래서 로이드(Lloyd)와 같은 회사는 미리 움직이기 시작했다. 2021년 11월 로이드는 사이버전 행위로 인한 고객의 피해를 보상해주지 않기로 결정하며, 그에 대한 설명문을 자세하게 작성해 발표한 것이다. 한 마디로 사이버전과 사이버 보험에 대해 탐구한다는 건 안개 속을 거니는 것 그 자체와 같다. 본지는 네 명의 사이버 보안 전문가들을 만나 안개 속을 같이 산책해 어둠을 조금이나마 밝히고자 했다.

낫페트야, 사이버전과 보험의 충돌을 예고하다
2017년 6월 발생한 낫페트야의 공격들은 원래 우크라이나의 기업들을 노리고 시작됐었다. 하지만 그 공격력은 세계 곳곳으로 퍼져 나가 엉뚱한 곳에서 피해를 일으켰다. 낫페트야라는 이름은 2016년에 등장한 페트야(Petya) 랜섬웨어에서 나왔다. 낫페트야는 페트야 랜섬웨어인 것처럼 보이지만 사실은 피해자의 시스템을 파괴하기 위한 목적으로 운영되고 있었기 때문에 ‘페트야가 아니다’라는 의미의 ‘낫페트야’로 명명된 것이다.

결과적으로 낫페트야는 60개가 넘는 나라에서 100억 달러 이상의 피해를 일으켰다. 2018년 2월 7개 국가(미국 포함)에서 낫페트야의 배후에 러시아의 해킹 그룹이 있다고 공식 발표하며 러시아를 강력하게 규탄했다. 러시아는 이러한 의혹에 부인으로 일관하고 있다.

취리히보험 vs. 몬델레즈
이러한 상황에서 취리히보험은 낫페트야에 당해 1700개의 서버와 2만 4천여 대의 랩톱의 데이터가 삭제되는 피해를 입은 몬델레즈에 보상금을 지불하지 않겠다고 했다. 왜냐하면 낫페트야 공격은 타국의 정부 기관이나 주권을 가진 자들이 일으킨, “전쟁과 흡사한, 혹은 그에 준하는 행위”였기 때문이라고 취리히보험은 설명했다. 전쟁에 의한 피해를 무슨 보험사가 보상해주느냐는 것이었다.

하지만 몬델레즈 측에서도 할 말은 있었다. 보험 정책에는 “전자 데이터나 프로그램, 소프트웨어에 대한 물리적 손실과 피해(악성 코드나 침투로 인해 야기된 물리적 손상과 피해를 포함)”이라는 문구가 버젓이 적혀 있었기 때문이다. 이 때문에 취리히보험 측도 처음의 “피해 보상은 없다”는 입장을 바꿔 “일부 보상은 가능하다”로 노선을 변경했다. 그러다가 다시 그 말을 취소하고 보상할 수 없다는 입장으로 회귀했다. 몬델레즈 측은 2018년 10월 일리노이즈 주 법원에 이의를 제기하며 취리히보험을 고소했다.

낫페트야가 우크라이나와 러시아 간 지정학적 충돌 때문에 파생된 무기이자 위협 요소인 건 사실이다. 하지만 그 전쟁 행위를 했던 러시아가 일부러 미국의 몬델레즈라는 기업을 노리고 공격을 실행했을 가능성은 아주 낮다. 머나먼 땅에서 일어난 전쟁 행위 때문에 부수적 피해가 발생한 건데, 이를 실제 물리적 전쟁과 같은 상황으로 상정하여 보험료를 책정해도 괜찮은 걸까? 러시아가 미국의 몬델레즈를 노리고 본사에 미사일을 쏘아서 맞춘 것과 낫페트야 사건이 본질적으로 같다고 말할 수 있을까? 만약 미국 정부가 이를 전쟁 행위로 규정하지 않고 넘어갔다면 보험사는 어떤 보상을 해줘야 했을까?

머크 vs. 에이스손해보험
몬델레즈와 취리히보험의 판결을 기다리는 와중인 2022년 1월 뉴저지의 법원은 대형 제약회사인 머크(Merck)의 손을 들어주는 판결을 내렸다. 머크도 낫페트야 사건의 피해 기업 중 하나였고, 보험만 20개가 넘는 회사의 상품에 가입한 상태였다. 머크가 입은 피해는 대략 7억 달러에 달한다고 머크는 주장하고 있다. 그런데 법원은 20개 보험사 중 하나인 에이스손해보험(Ace American)에 14억 달러를 보상하라고 명령을 내렸다.

판결의 이유는 간단했다. 보험사 정책에 적힌 “전쟁 행위는 피해 보상에서 제외된다”는 내용 중 “전쟁”은 실제 총과 미사일과 같은 무기가 사용되는 상황, 즉 보다 전통적인 개념의 전쟁만을 뜻한다는 게 법원의 해석이었다. 적국의 미사일이 데이터센터 건물에 날아들어 폭발했다거나 국가가 침략을 당하는 바람에 회사마저 문을 닫게 된 상황이 예외 사항이라는 것이지 낫페트야 사건을 지칭하는 건 지나친 해석이라는 게 법원의 입장이었다.

사이버 전쟁에 대한 보험사들의 정의
런던의 유명 보험사 로이드는 2021년 11월 사이버 전쟁과 관련된 사건이 발생했을 때 보험사가 보상을 할 수 없는 이유를 조목조목 발표했다. 사이버 전쟁이라는 정의되지 않은 분야를 헤매던 보험 업계에 한 줄기 희망의 빛이 되는 사건이었다. 물론 로이드는 자사 보험 설계사 개개인들이 고객들과 약속을 할 때 유연성을 부여해주기 위해 그러한 발표를 했다고는 했지만 보험 업계는 그렇게 받아들이지 않았다. 사이버 전쟁과 관련된 피해에는 보상을 해 줄 수 없다는 산업 전체의 입장을 대변하는 상징적 문서가 되어버린 것이다.

로이드는 해당 문서를 통해 사이버 전쟁을 다음과 같이 정의하고 있다. “한 국가에 해로운 영향을 지대하게 끼치는 국가들 사이의 사이버 작전 수행 행위로, (기존의) 전쟁, 사이버 전쟁 혹은 사이버 작전 운영의 정의에 의해 제외되지 않는다.” 또한 특정 상황이 사이버 전쟁에 해당되느냐 아니냐를 판단하는 데 있어 국가의 공식 발표가 결정적인 역할을 하지 않는다고도 썼는데, 이 역시 위 정의와 같은 맥락에서 꽤나 중요한 선언이라고 볼 수 있다.

어드바이저스미스(AdvisorSmith)의 CEO인 아드리안 막(Adrian Mak)은 “앞으로 많은 보험사들이 로이드와 비슷한 내용의 항목을 추가할 것”이라고 예상하고 있다. “결국 로이드가 정의한 사이버 전쟁이나 그 외 다른 선언문을 통해 볼 수 있는 건, 사이버 전쟁 행위냐 아니냐, 혹은 보상 대상이냐 아니냐는 보험사가 직접 결정하겠다는 의지입니다. 국가 정부 기관이 관련 법을 제정하지 않는 이상 보험사와 고객 간 계약 문구의 해석이 가장 중요한 요소가 될 겁니다.”

보험 업계는 이러한 로이드의 움직임을 환영하고 있는 듯 하지만 일각에서는 ‘이렇게 사이버 전쟁 행위에 대한 보상을 피해가려고 하면 누가 보험 상품을 사겠는가?’라고 우려스럽게 묻기도 한다. 아드리안 막도 비슷한 의견을 표현한다. “사이버 전쟁이 점점 일상으로 다가오는 때입니다. 그런데 이렇게 보험사가 적극적으로 발을 빼기 시작하면 가입에 망설이는 사람이 늘어날 수밖에 없습니다. 정말 보험에 들고 싶고, 정말 사이버 전쟁이 걱정되는 기업이라면 보험사와 끈질기게 협상할 수밖에 없습니다.”

정부와 법조계가 보는 사이버 전쟁
사이버 전쟁에 대한 의견은 다양하게 나오고 있다. 사이버 전쟁은 특수한 형태의 전쟁이니 새롭게 정의해야 한다는 목소리도 있고, 기존의 전쟁과 같은 맥락과 개념에서 정의되어야 한다는 사람들도 있다. 베리굿시큐리티(Very Good Security)의 분석가이자 싱크탱크의 구성원인 케네스 기어스(Kenneth Geers)는 “사이버 전쟁에 대한 세계 공통의 유일한 정의라는 건 앞으로도 없을 것”이라고 말한다. “원래 국가들이란, 온갖 수단과 방법을 통해 적국과 동맹국을 움직이게 하죠. 조약을 맺거나, 협박을 하거나, 제재를 가하거나, 회담을 하거나 하면서요. ‘사이버’라는 것도 그러한 수많은 도구와 전략 중 하나일 뿐입니다. 굳이 사이버 전쟁의 개념을 전 세계가 하나로 통일할 필요가 있을까요?”

미국 회계감사원의 금융 시장 부문 국장인 다니엘 가르시아디아즈(Daniel Garcia-Diaz)는 “자신만의 정책을 수립하고, 이를 통해 사업 행위를 하려면 사이버 전쟁이라는 개념이 명확해져야 할 필요가 있다”고 말한다. 즉, 다른 업계는 모르겠지만 보험 업계만큼은 ‘사이버 전쟁의 정의’가 필요하다는 것이다. “사이버 전쟁이라는 것이 명확히 규정되지 않으면 보험사가 고객과 계약을 하면서도 돈을 얼마나 내야 하는지 정확히 모르게 되고, 따라서 사업적으로 불리한지 유리한지를 판단하기 힘들게 됩니다. 그런 문제가 아니라면 사이버 전쟁의 정의를 서둘러 낼 필요가 없지요.”

사이버 전쟁의 최근 정의들
그럼에도 이미 국제 사회는 여러 회합과 논의를 통해 사이버 전쟁을 규명하기 위해 노력하고 있다. 대표적인 것이 ‘부다페스트 협약’, ‘탈린 매뉴얼’, ‘국제 질서와 ITC 분야에 관한 2015년 UN 보고서’, ‘사이버 외교 툴박스’다. 이런 노력들은 ‘사이버 전쟁의 공식 정의가 필요하다’는 걸 은연 중에 인정하고 있긴 하지만, 모든 필요와 궁금증을 충족시켜주는 건 아니다. 일단 사이버 전쟁으로 벌어지는 재산과 기물의 피해에 대해서는 다루지만 경제적인 손실을 전반적으로 다루지는 않는다. 사이버 보험 업계가 가장 필요로 하는 대목이 없다는 것이다. 또한 ‘사이버 전쟁의 정의’는 여전히 모호한 채로 남겨두고 있다.

기어스는 “사이버 전쟁의 의미는 아직 유연할 수밖에 없다”고 말한다. “사이버 전쟁을 위한 해킹 행위는 반드시 전쟁의 총성이 울리기 전에 일어나죠. 즉 평화의 기간에 속한 시기에 발생한다는 겁니다. 그리고 꼭 정부나 군사 기관에서만 피해가 일어나는 것도 아닙니다. 민간 네트워크를 통해서도 공격이 자행될 수 있고, 심지어 민간 단체를 노릴 수도 있습니다. 다양한 형태를 취한 공격이 전쟁처럼 보이지 않는 기간에 일어나니, 광범위한 정의를 내릴 수밖에 없습니다.”

가르시아디아즈는 “사이버 전쟁 행위라고 해서 반드시 물리적 피해를 동반하는 것도 아니”라는 점을 지적한다. “물리적인 피해가 없을 경우, 보험사들은 보상을 해 주지 않으려 할 겁니다. 이 역시 사이버 전쟁과 사이버 보험 상품 사이의 애매한 지점입니다.”

학계가 바라보는 사이버 전쟁과 사이버 보험
그런 가운데 미국의 회계감사원은 2021년 사이버 보험 정책들에서 흔히 사용되는 문구와 정의들의 문제에 대한 보고서를 발표한 바 있다. 보고서를 통해 회계감사원은 “사이버 테러리즘이나 사이버 전쟁에 해당하는 사건을 판단 및 규정할 근거가 될 국제적인 합의가 없는 상태”라고 밝혔다. 그러면서 “이 때문에 사이버 보험 정책의 문구와 해석이 다양해질 수밖에 없고, 그래서 보상 지급 문제가 계속해서 분쟁으로 이어지게 될 것”이라고 썼다.

하지만 이러한 내용은 이미 2019년 56개 사이버 보험 정책 문서들을 분석한 연구 결과를 통해서도 언급된 바 있다. 보다 정확히는 “2015년부터 보험 업계는 사이버 전쟁 행위를 보상 대상에서 제외한다는 데에 합의하고 있으면서도 사이버 전쟁 행위가 무엇인지는 각자가 정의하고 있는 상황”이라는 내용이다. ‘사이버 사건이 전쟁 행위인지 아닌지, 보상을 해 줄지 말지는 우리가 결정하겠다’는 로이드의 입장문이 괜히 나온 게 아닌 것을 알 수 있다.

보험 산업 내 싱크탱크인 제네바협의회(Geneva Association)는 2020년 보험 업자들이 공통적으로 사용할 수 있는 용어들을 제안했다. 현재 통용되고 있는 상태로는 사이버 공간에서 일어나고 있는 각종 악성 행위들이 ‘사이버 전쟁’과 ‘사이버 테러리즘’ 사이 어딘가에 표류하게 될 뿐이라는 것을 인정하면서였다.

제네바협의회는 사이버 전쟁을 “국가 정부가 자행하는 악성 행위이며 공식적인 선포를 수반한다”고 정의했다. 사이버 테러리즘에 대해서는 “정치적이거나 종교적이거나 철학적인 이상을 고취하기 위해서 행해지는 악성 행위”라고 정의했다. 악성 행위지만 전쟁 선포가 없으면 ‘적대적 사이버 행위’이며, 따라서 보험사들이 보상 대상으로서 제외시키지 말고 제대로 평가해야 한다고 못을 박기도 했다. 하지만 이에 대한 업계 반응은 아직도 천차만별이다.

사이버 전쟁으로부터 스스로를 보호하기
현 시점에서 사이버 전쟁 행위로부터의 방어 방법 중 최고는 ‘능동적인 사이버 위생 실천 사항 지키기’이다. 이는 회사의 돈을 노리는 사이버 범죄자들의 공격을 차단하거나 피해를 최소화하기 위해 지키는 보안 실천 사항들과 그리 다르지 않다. 데이터를 자주 백업하고, 다중 인증 장치를 도입하고, 소프트웨어 패치를 빠르게 진행하며, 임직원들을 교육시키는 것 말이다. 또한 공격 시나리오를 미리 마련함으로써 사건 대응의 시간을 줄이는 것 역시 반드시 해야 하는 일이다.

딜로이트의 사이버 부문 책임자인 다니엘 수(Daniel Soo)는 “포렌식 기술이 발전하고, 용어의 정의가 점점 하나로 맞춰져 감에 따라 보다 합리적이면서 효과적인 방어 방법이 나올 것”이라고 얘기한다. 기어스는 “지정학적 상황에 대한 안테나를 낮추지 말아야 한다”고 말한다. “사이버 전쟁 혹은 그에 준하는 공격 행위는 반드시 지정학적 사건들과 관련이 있습니다. 외교 사태, 국가 간 긴장감 고조, 각종 도발 행위에 동반되는 게 지금의 사이버 전쟁이라는 겁니다. 국제적으로 사업을 하는 기업들이라면 특히나 각 사업부가 위치한 지역의 상황들을 민감하게 파악해야 합니다.” 다니엘 수는 여기에 더해 “사법부나 유관 기관과 긴밀한 관계를 유지하는 것도 중요하다”고 권장한다.

사용자 기업 입장에서는 불편하더라도 보험사와 계속해서 대화를 해야 한다. 보상을 안 해 주려는 자와 보상을 받으려는 자 사이의 대화가 평화롭게 이어질 수 없다. 하지만 지금처럼 서로가 미지의 땅을 건너고 있을 때, 이런 불화는 필요한 것이다. 다니엘 수는 “정책 내용을 꼼꼼하게 읽고 조금이라도 불분명한 부분이 있으면 죄다 질문을 하라”고 권한다. “그 뜻을 서로가 분명히 이해하고 합의해야 합니다. 그런 대화의 기록들도 서로가 남겨두고요. 일단 지금은 한쪽의 일방적인 주장만으로 결론이 나서는 안 되는 때입니다. 보험사도 마찬가지고, 가입 기업도 마찬가지입니다.”

3줄 요약
1. 사이버 전쟁 행위 늘어나면서 사이버 보험 업계 내 혼란이 짙어짐.
2. 사이버 전쟁 행위란 무엇인가에 대한 명확한 정의가 내려지지 않았기 때문.
3. 지금으로서는 보험사와 고객사, 정부 기관의 끝없는 대화와 합의가 필요.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>