낫페트야에 당한 몬델레즈는 보험사에 보상을 요청했다가 거절을 당했다. 보험사는 전쟁 행위에 해당하는 공격에 당했기 때문에 보상 예외 대상이라고 주장했다. 몬델레즈는 보험사를 고소하며 재판이 시작됐고, 5년이 지난 지금까지도 판결이 나지 않고 있다.

[보안뉴스 문가용 기자] 오레오 쿠키와 리츠 크래커로 유명한 회사 몬델레즈 인터내셔널(Mondelez International)이 사이버 보험사와의 오랜 법정 공방을 마무리 짓는 분위기다. 사건은 2017년 낫페트야(NotPetya) 사태로까지 거슬러 올라간다. 몬델레즈는 피해를 입었고, 이에 사이버 보험사에 보상을 요청했지만 보상 요건이 되지 않는다는 답을 들었다. 그 후 지금까지 공방이 이어져 왔다.


몬델레즈 대 취리히아메리카보험(Zurich American Insurance) 법정 공방은 2018년에 시작됐다. 낫페트야 사건이 세계를 뒤흔든 직후였다. 재판 과정에 대해서 대중들에게 공개된 내용은 거의 없다가 최근 들어 둘 사이에 협의가 이뤄졌다는 소식이 나오기 시작했다. 협의라는 건 둘이 옳고 그름을 끝까지 갈랐다는 건 아니다. 이제 더 법정에서 만나지 말고 타협을 하자는 데 동의했다는 뜻일 뿐이다. 그러므로 이 사건은 사이버 보험 문제가 얼마나 해결이 어려운가를 잘 나타내는 사례가 됐다.

낫페트야는 선전 포고 없는 전쟁 행위였나?
이 지난한 법정 공방의 핵심 쟁점은 당사 간 계약서였다. 특히 어떤 경우에 보상을 하지 않아도 되는지가 명시된 조항에서 불꽃 튀는 공방이 있었다. 취리히아메라카보험 측은 ‘전쟁 행위로 인한 피해는 보상하지 않는다’는 규정을 가지고 있었고, 낫페트야 사건은 전쟁 행위에 해당한다고 해석하고 있었다.

그럼 이쯤에서 낫페트야 사건에 대해 복기해 볼 필요가 있다. 미국 정부는 2018년 낫페트야 사건을 두고 “역사상 가장 파괴적이고 가장 많은 손해를 일으킨 공격”이라고 명명했다. 낫페트야는 우크라이나에서 먼저 피해를 일으키고 전 세계로 퍼졌다. 65개국의 기업들이 이 낫페트야 때문에 마비됐고, 그 총 피해액은 수십억 달러에 다다르는 것으로 알려져 있다.

낫페트야가 이렇게 빨리 퍼질 수 있었던 건 NSA의 해킹 도구였다가 유출된 이터널블루(EternalBlue) 덕분이었다. 이터널블루는 MS SMB 파일 공유 방식을 악용하여 자가번식하는 기법을 탑재하고 있었다. 페덱스(FedEx), 머스크(Maersk), 머크(Merck) 등 굵직한 기업들이 다수 희생양이 됐다.

몬델레즈의 경우 낫페트야에 당해 1700여 대의 서버와 2만 4천여 대의 랩톱들이 일제히 마비됐다. 정상적인 업무가 불가능했고, 장비 복구에 들어가는 비용과 다운타임 동안 사업 행위가 이뤄지지 않아 발생한 피해액 등 총 1억 달러 이상의 피해를 입은 것으로 집계됐다. 사이버 보험에 가입되어 있어 다행이라고 생각했지만, 취리히 측은 상황을 검토하더니 한 푼도 보상할 수 없다는 답신을 보내왔다. 주권을 가진 주체가 벌인 적대적 행위는 예외라고 명시되어 있음을 강조하면서 말이다.

사실 취리히 측의 주장이 허황된 것만은 아니다. 일단 미국을 비롯해 세계 여러 정부와 기업들이 낫페트야 공격은 러시아 정부와 첩보 기관이 저지른 짓이라고 규정하고 있었기 때문이다. 또한 러시아 입장에서 적대적인 국가를 노린 공격이었고, 러시아는 당시에도 이미 하이브리드전이라는 개념을 적극 실천하는 나라로 알려져 있었다. 전쟁으로 규정해도 될 만한 사안들이 속속 발굴되었던 것이다. 다만 몬델레즈라는 표적을 러시아가 전쟁을 수행하듯 노린 것은 아니었다. 몬델레즈는 엉뚱하게 휘말린 것이었다.

몬델레즈는 취리히아메리카보험 측이 예외 조항들에 대하여 처음부터 명확하게 설명하지 않았다고 주장했다. 어떤 부분을 보상할 수 없고 어떤 부분을 보상할 수 있는지 애매하게 내버려두었다는 것이다. 실제로 몬델레즈가 서명한 보험 상품 내에는 “모든 물리적 손실과 피해로 이어질 수 있는 위험과 ”을 커버한다는 문장이 있는데, 여기에는 “기계 코드나 명령의 악의적인 개입으로 인해 발생한 전자 데이터, 프로그램, 소프트웨어의 손실과 피해”도 포함된다고 명시되어 있다. ‘모든’이라는 단어가 거기 있으면 안 되는 것 아니냐는 게 몬델레즈의 주장이다.

중소기업을 대상으로 한 사이버 보험 서비스를 제공하는 카우벨사이버(Cowbell Cyber)의 캐롤린 톰슨(Caroline Thompson)은 “확실히 보험 정책의 문구가 애매한 구석이 있어 멘델레즈의 주장에도 힘이 실린다”는 의견이다. “사이버 공간에서의 위협이 계속해서 진화하고 있는 지금, 보험 상품이 어디서부터 어디까지 커버가 되는지를 분명히 하는 건 그 어떤 회사에 있어서도 가장 어려운 문제입니다. 특히 전쟁 행위는 제외한다는 내용은 문장으로 담아내기도, 쌍방 간 같은 내용을 이해하기도, 실제 상황에서 적용하기도 무척이나 어렵습니다. 게다가 IT 요소들 간 상호의존성은 점점 높아지고 있고, 지정학적인 갈등은 고조되고만 있으니 말이죠. 어느 보험사나 이 부분에서 어려움을 겪고 있으며 간단히 해결될 일이 아닙니다.”

전쟁은 예외?
전쟁 행위는 예외로 둔다는 규정이 실천하기에 까다로운 이유는 무엇인가? 제일 먼저는 특정 사이버 공격이 전쟁 행위였다고 증명하는 것 자체가 어렵기 때문이다. 전쟁 행위라는 데에 모두가 동의하려면 사이버 공격의 주체가 누구였는지, 그리고 그 주체 배후에 있는 세력이 누구였는지까지가 기본적으로 밝혀져야 한다. 여기에 더해 공격이 의도적으로 이뤄진 것인지, 피해자가 실제 표적이었는지까지도 알아내야 하는데, 이는 사실 공격자의 마음에 담긴 문제라 합의에 이르기가 여간 어려운 게 아니다.

공격의 주체와 그 배후 세력을 알아내는 건 과학적인 방법과 절차만으로 구성되지 않는다. 기본적인 기술 정보들에 온갖 지정학적, 역사적, 정치외교학적 맥락과 메타데이터까지 같이 따라붙어야 사건의 큰 그림이 그려지고, 그것을 바탕으로 가장 확률이 높은 자를 지목하는 게 사이버 보안에서는 일반적이다. 따라서 100% 확신할 수 없다. 사이버 공격자들은 이를 잘 이해하고 있고, 따라서 전혀 다른 공격자가 공격을 실행한 것과 같이 꾸미기도 한다. 한 사건에 보안 전문가마다 다른 배후 세력을 지목하는 것도 종종 있는 일이다.

보안 업체 크라우드섹(CrowdSec)의 CEO인 필립 휴미우(Philippe Humeau)는 “애초부터 사이버 보안 사건의 범인을 높은 확률로 지목할 수 있다는 전제 하에 법정 공방이 진행되는 것처럼 보인다는 것이 가장 놀랍다”는 입장이다. “실력이 좋은 사이버 범죄자들은 자신들의 흔적을 꽤나 잘 감추고, 따라서 100% 확신을 가지고 진범을 지목하는 게 불가능에 가깝다는 건 잘 알려진 사실입니다. 게다가 어느 정부 기관이 ‘잘 찾았소. 우리가 한 짓이오.’라고 순순히 인정하겠습니까? 그리고 요즘 사이버 공격은 단일 국적자 단체에 의해 벌어지는 경우가 거의 없습니다. 용병을 구하거나 공격 대행 서비스를 적극 활용하죠. 한 그룹 내에 여러 국적을 가진 자들이 있는 건 이제 너무나 흔한 일입니다. 그러므로 법정에서 한 사건을 두고 특정 국가가 저지른 공격임을 증명할 방법은 아직 존재하지 않습니다.”

휴미우는 설명을 이어간다. “만약 다수의 국가가 한 국가를 범인으로 지목하는 것만으로도 그 국가의 혐의가 인정되고, 따라서 전쟁 행위로 판결을 내릴 만한 근거가 될 수 있는 시스템이라면, 그건 또 그것대로 문제가 있습니다. 왜냐하면 일반적으로 국가가 다른 국가를 범인이라고 공표하기까지 밟아야 하는 법적, 행정적 절차는 꽤나 복잡하고, 그렇기 때문에 여러 국가들이 그런 복잡한 절차를 거친 후에 또 다시 공식적으로 의견을 모은다는 건 시간이 대단히 오래 걸리는 일이기 때문입니다. 게다가 다수결로 전쟁 범인을 결정하게 된다는 것 자체가 너무 위험합니다.”

사이버 보험 상품, 막다른 골목에 다다랐는가?
톰슨은 이번 공방이 갖는 의미를 현대 사이버 공간의 현실에 비추어 생각해 볼 필요가 있다고 말한다. 사이버 공격과 위협의 절대적 양이 지나치게 많아지고 있고, 그 중에서 국가의 지원을 받는 공격 단체의 악성 행위도 빠르게 늘어나고 있는데, 보험사가 커버할 수 없는 예외 규정만 계속 연구하다 보면 사실 보험이 갖는 의미가 퇴색되는 것 아니냐는 것이다. 데이터 보안 회사 테온테크놀로지(Theon Technology)의 법률 자문인 브라이언 커닝햄(Bryan Cunningham)도 여기에 동의한다. “보험사들이 보상할 수 없는 항목만 체계적으로 늘린다면, 보험이 필요없게 될 것입니다.”

그렇기 때문에 이번 재판의 결과나 합의의 결과가 취리히 측에 많이 웃어주는 쪽으로 가게 된다면 보험 업계 전체에 좋은 일은 아닐 것이라고 그는 보고 있다. “재판 내용이 공개됐는데 취리히의 주장에 손을 든 판사들이 많았다거나, 앞으로 비슷한 재판이 벌어질 때 보험사의 예외 규정이 승소하는 경우가 많아진다면 장기적으로 사이버 보험 상품 가입자가 줄어들 것으로 예상하고 있습니다. 그리고 판사들도 이러한 점을 생각하지 않을 수 없다고 봅니다. 그래서 개인적으로는 몬델레즈가 좀더 유리한 입장에서 합의를 하지 않을까 생각합니다.”

보안 업체 이뮤니웹(ImmuniWeb)의 CEO 일리야 콜로첸코(Ilia Kolochenko)의 경우 조금 다른 시각을 가지고 있다. 예외 규정이 많아진다면 사이버 범죄자들이 반드시 이 부분을 노릴 것이라는 게 그의 전망이다. “그래야 랜섬웨어 등으로 공격했을 때 피해자의 피해가 더 커지고, 그렇기 때문에 협상 테이블에서 공격자들이 유리한 고지를 선점할 수 있게 되거든요. 예를 들어 기술력 좋은 사이버 범죄 단체의 경우 특정 국가의 APT를 사칭해 공격하면 어떻게 될까요? 보험사가 ‘전쟁 행위┖라고 주장하겠죠. 그러므로 보상할 수 없다고 하고요. 피해 기업과 보험사 간 신뢰가 파탄날 겁니다.”

예외 규정, 아직 풀리지 않는 문제
사실 몬델레즈와 취리히아메리카보험 이전에도 낫페트야와 관련된 공방이 있었다. 머크와 에이스아메리카보험(ACE American Insurance) 사이의 다툼이 바로 그것이다. 여기서도 보험사는 머크의 피해를 보상해 줄 수 없다고 주장했고, 머크는 보험사를 고소했다. 이 사건의 경우 지난 1월 뉴저지 주 대법원이 ‘전쟁 행위’라는 건 물리적인 행동력이 수반되는 전통적 의미의 전쟁에서나 적용되는 표현이라고 선을 그었다. 따라서 보험사가 14억 달러를 보상해 주어야 한다는 게 최종 판결의 내용이었다.

이런 판례가 있음에도 몬델레즈가 끝까지 가지 않고 타협을 봤다는 것이 의아하다는 게 보안 업계의 반응이다. 이 때문에 위의 전문가들과 다르게 취리히 측에 힘이 실리는 방향으로 재판이 진행됐을 가능성이 높다고 점치는 사람들도 제법 존재한다. 그래서인지 전쟁 행위는 보상할 수 없다는 입장을 더욱 강력하게 고수하는 보험사들도 아직 다수 남아 있다. 지난 8월 런던로이드(Lloyd’s of London)은 2023년 4월부터 국가 정부 기관이 사주한 전쟁 행위에 대해서는 피해 보상이 나가지 않을 거라고 발표했던 것이다. 이런 피해들까지 다 보상하면 보험사는 재앙과 같은 피해를 입게 된다고 런던로이드는 주장했다.

커닝햄은 “예외 규정에 힘을 주는 사이버 보험사와 예외 규정을 하나 둘 삭제하려 하는 보험사가 있다”며 “어느 쪽이 더 현명한 결정을 한 것인지는 시간이 지나야 알게 될 것”이라고 말한다. “개인적으로 보험사들이 보상을 해 주지 않는 경우들을 자꾸만 만들어내는 게 그리 긍정적으로 보이지 않습니다. 자충수에 가깝습니다.”

3줄 요약
1. 낫페트야 사건으로 촉발된 몬델레즈 vs. 취리히아메리카보험, 드디어 협상에 성공한 듯.
2. 전쟁 행위는 보험으로 커버가 되지 않는다는 취리히 측의 주장, 통했을까?
3. 현재 보험 업계는 예외 규정 강화하는 부류와 약화하는 부류로 갈리고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>