무브잇 사태 때문에 증권거래위원회는 개발사에 대한 조사를 시작했다. 개발사인 프로그레스소프트웨어는 보험사가 주는 보상금으로 어느 정도의 손해를 충당할 계획이다. 보험 업계가 사건의 추이를 지켜보고 있다.

[보안뉴스 문정후 기자] 최근 미국의 증권거래위원회(SEC)는 소프트웨어 개발사인 프로그레스소프트웨어(Progress Software)를 조사하기 시작했다. 최근 발생한 ‘무브잇 사태’ 때문이다. 무브잇(MOVEit)은 기업용 파일 전송 프로그램으로, 세계 여러 기업들이 사용하고 있는데 최근 여기서 발견된 제로데이 취약점을 통해 클롭(Cl0p) 랜섬웨어라는 사이버 범죄 그룹이 수많은 기업들의 민감한 데이터를 탈취하는 데 성공했다.


프로그레스소프트웨어 측은 사이버 보험사로부터 1500만 달러의 보상금을 받아내려 한다고 증권거래위원회 측에 알렸다. 그러면서 보험사와 금액을 조율하는 중이다. 프로그레스소프트웨어 측에서 무브잇 사태로 인해 수백만 달러가 필요할 것이라는 건 쉽게 추측이 가능하다. 각종 소송이 시작될 것이고, 벌금도 물어야 할 것이며, 브랜드 가치가 크게 훼손되는 등 굵직한 돈 나갈 곳이 많을 것이 분명하기 때문이다. 게다가 무브잇 사태 이전에도 프로그레스소프트웨어는 또 다른 보안 사고로 인해 각종 소송에 휘말린 상태였다. 아직 이 사건에 대해서는 명확히 밝혀진 바가 없다.

높은 보험료, 낮은 보상
현재 사이버 보험사들은 보안 사고에 대한 과거 데이터를 충분히 갖추고 있지 않다. 당연히 사이버 보안 사고에 대한 리스크 모델도 가지고 있지 않다. 가지고 있어도 부실하기 짝이 없다. 그러니 사이버 보험사들은 리스크 평가 방식과 산출법을 계속해서 바꾸고 또 바꾸는 상황이다. 작은 사건 하나하나가 전체 보험 업계를 뒤흔드는 구조라는 것이다. 보안 업체 태니엄(Tanium)의 수석 고문인 마이크 밀렌더(Mike Millender)는 “프로그레스소프트웨어가 보험사를 통해 1500만 달러를 받아낸다면, 사이버 보험 업계 생태계 전체에 영향이 있을 것”이라고 보고 있다.

“당연하지만 전반적으로 보험료가 낮아지는 것보다 크게 올라갈 가능성이 높겠지요. 보험사들도 기업이니 이윤을 내야 하는데, 지금 상태의 리스크 평가 모델을 가지고는 손해만 볼 가능성이 높다는 평가를 내부적으로 할 것이라고 봅니다. 여기에 더해 보험 가입자의 보안 상황을 평가하는 방식에도 변화를 줄 것으로 예상합니다. 확인 항목이 늘어날 것이겠고, 항목을 충족시키지 못할 때 보험료가 크게 올라갈 겁니다.”

밀렌더의 예상은 사실 예상이 아니라 현실이다. 이미 사이버 보험료는 큰 폭으로 오르는 추세다. 그러면서도 보상의 대상이 되기에 충분한 경우들은 점점 적어지고 있다. 아이덴티티 관리 플랫폼 개발사인 델리니아(Delinea)가 조사한 바에 의하면 사이버 보험료가 50% 이상 올랐다고 말하는 보험 가입 업체가 2/3를 넘었다고 한다. 이 기업들 모두 “보상 범위는 줄어들었다”고 말했다.

보안 업체 비아쿠(Viakoo)의 CEO 버드 브룸헤드(Bud Broomhead)는 “사이버 보험의 비용이 빠르게 늘어나는 이유는 크게 세 가지”라고 꼽는다. “데이터 침해 사고가 빈번해지고 있어 피해 기업들이 느끼는 부담감이 커지고 있고, 기업 임원진들이 져야 할 책임 또한 커지고 있으며, 보험 하나 정도는 있어야 보안을 진지하게 여기는 기업이라는 여론이 형성되고 있습니다. 이래저래 보험이 필수품처럼 변하고 있으며, 그에 따라 보험료가 올라가는 것이죠.”

하지만 사이버 보험 시장이 성숙해져 감에 따라 이러한 상황은 변할 것이라고 브룸헤드는 내다보고 있다. “앞으로 보험 시장에 영향을 주는 요인들이 바뀔 거라고 봅니다. 그것이 뭐가 될지는 아무도 예측할 수 없을 것이고요. 다만 어떤 것에 영향을 받든 사이버 보험 비용은 계속해서 올라가고, 보상 범위는 계속해서 줄어든다는 커다란 흐름 자체는 그대로 유지될 거라고 생각합니다. 그러다가 자동차 보험이나 의료 보험처럼 충분한 데이터가 쌓이고, 리스크 평가 모델이 어느 정도 확정되면 안정기가 찾아올 겁니다.”

사이버 보험사 vs. 보안 팀
현재 가입 희망 기업이 있을 때 사이버 보험사가 가장 먼저 확인하는 건 ‘리스크 프로파일’이다. 어떤 리스크를 가지고 있는지 낱낱이 파헤치는 것이다. 그 중 사이버 사건과 관련된 것에 무엇이 있는지 알아내고, 그 결과를 가지고 보험료를 산정한다. 프로그레스소프트웨어와 보험사 사이의 일이 어떤 식으로 결론이 나든, 이번 무브잇 사태 이후 리스크 프로파일 확인 과정이 훨씬 빡빡해질 것이라고 보안 업체 옵티브(Optiv)의 보험 서비스 책임자 다라 깁슨(Dara Gibson)은 예상한다.

“최근 사이버 보험사들은 가입 희망 기업의 보안 팀들과 면밀하게 소통합니다. 그런 트렌드가 이미 시장 내에 자리를 잡았습니다. 보험사와 보안 팀 간 협력 체계와 소통은 계속해서 단단해질 것이며, 그에 따라 보안 담당자들도 보험을 고려하고, 보험사도 보안을 고려하여 업무를 결정하는 흐름이 정착할 거라고 봅니다. 둘이 한 때는 앙숙과 같은 관계였는데 앞으로는 계속해서 가까워질 거라는 뜻입니다.”

글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>