랜섬웨어 사건이 늘어나면서 보험사의 움직임이 심상치 않다. 악사라는 거대 보험사는 랜섬웨어 공격자들에게 돈을 지불하면 보상하지 않겠다고 선포하기도 했다. 그래서 보험사에 직접 물어보았다. 지금 업계 분위기가 어떠냐고.

[보안뉴스 문가용 기자] 콜로니얼 파이프라인(Colonial Pipeline)은 랜섬웨어 공격으로부터 복구하기 위해 4400만 달러를 범죄자들에게 지불했다. 그리고 보험사로부터 보상을 기다리고 있는 상태다. 프랑스의 보험사인 악사(AXA)는 프랑스 조직해 한해 이렇게 범죄자들에게 돈을 지불하는 랜섬웨어 피해 고객들에게는 보험을 적용하지 않을 것이라고 발표했다. 이런 사건들이 겹치면서 보험사와 랜섬웨어의 관계에 대한 의문들이 쏟아지기 시작했다.


보험사들은 랜섬웨어의 위험성과 적정 수준의 대처를 어떻게 평가해야 할까? 어느 선까지 보상을 해 주어야 하고 해 주지 말아야 할까? 보스턴의 보험사인 코버스 인슈어런스(Corvus Insurance)의 CEO 필 에드먼슨(Phil Edmundson)을 만나 이야기를 들어 보았다.

보안뉴스 : 보험사의 ‘리스크 모델’에 랜섬웨어는 어떤 영향을 주는가?
에드먼슨 : 보험사로서 사이버 범죄자들의 활동을 면밀히 관찰하고 모니터링 한다. 다양한 곳으로부터 랜섬웨어로 인한 피해자들의 지불과 관련된 최신 정보들을 받고 분석하기도 한다. 공격자들의 최신 전략과 기술도 우리의 관심사다. 솔직히 말해 랜섬웨어 사건은 정말로 많이 일어나는데, 세상에 알려지는 건 극소수다. 알려진 것보다 보험사와 랜섬웨어는 보다 자주 맞닥트리게 되어 있다.

랜섬웨어 사건이 상당히 많이 일어난다고 하는데, 그 많은 사건을 일으키는 공격 단체는 20개가 조금 넘는 수준이다. 랜섬웨어 전문 단체 하나하나가 대단히 많은 사건들을 일으킨다는 것이다. 이 단체들은 고유의 이름을 내걸고 활동하는데, 그래야 다른 단체들과 자신들을 구분 지을 수 있고, 피해자나 고객들에게 신뢰를 줄 수 있기 때문이다. 그런 작은 요소들이 공격 성공률에 어느 정도나 영향을 미치는지도 분석하려고 한다.

보안뉴스 : 보통 보험사들은 랜섬웨어 피해에 대해 어떤 식으로 접근하고 보상하는가?
에드먼슨 : 우리 회사는 조금 특이해서 일반적인 사례로 보기는 힘들다. 코버스는 자체적으로 위험 및 보안 수준 분석 소프트웨어를 개발해 사용하고 있다. 이 때문에 고객사에서 먼저 취약점들을 찾아낼 수 있고, 랜섬웨어 공격에 대해 보다 능동적인 방어 전략을 펼칠 수 있게 된다. 물론 완벽한 방어를 할 수 있는 건 아니다. 보안 솔루션 회사는 아니니까. 다만 그것이 우리의 접근법이라는 건데, 모든 보험사가 이렇게 하지는 않는다.

고객들이 랜섬웨어 피해를 우리에게 알리면 제일 먼저 하는 일이 있다. 고객사에서 해야 할 일들이 무엇인지 알려 주는 것이다. 정부나 산업의 유관 기관에 해당 사실을 알리는 것과, 고객들에게 고지하는 것, 복구 계획을 수립하는 것 등이다. 요즘 기업들은 데이터를 충분히 백업하고 있다. 사업이 중단되는 시간을 최대한 줄이기 위해서다. 우리는 보험사로서 복구 시간을 줄이는 방법이 더 있는지 확인해 알려 주기도 한다. 그 다음으로는 금전적 손실을 함께 계산한다.

보안뉴스 : 정말 어쩔 수 없는 경우 범죄자들에게 돈을 지불하기도 한다. 그 어쩔 수 없는 경우란 보통 무엇인가? 범인들에게 돈을 지불했을 때의 장점과 단점은 무엇인가?
에드먼슨 : 어려운 질문이다. 콜로니얼 파이프라인 해킹 사고를 예로 들어 보자. 콜로니얼 측은 범인들에게 돈을 내기로 결정했다. 그리고 복구 키를 돌려 받았다. 결과론일 수 있지만, 그 복구 키는 제대로 작동하지 않았다. 콜로니얼이 보유하고 있던 백업을 활용하는 편이 더 좋았겠다는 평가가 뒤늦게서야 나오고 있다. 돈을 내긴 했지만, 사실 아무런 실효를 거두지 못한 사례다.

보험사로서 우리는 고객들에게 돈을 내라 마라 말하기 힘들다. 다만 사업이 하루만큼 중단되었을 때 일어나는 손실을 빠르게 분석하고 계산하라는 권고는 강력하게 하는 편이다. 거기서부터 범인들에게 돈을 내느냐 마느냐를 최대한 객관적으로 계산할 수 있게 된다. 이러한 분석 없이 범인들이 제시한 금액을 보면, 마냥 커 보이거나 마냥 작아 보인다. 최대한 정확히 계산해 금액의 크기를 정확히 판단할 수 있어야 한다. 물론 이러한 산출이 가장 어려운 부분이고, 누구도 정확히 계산했다고 장담하기는 힘들다.

보안뉴스 : 악사가 최근 랜섬웨어 범죄자들에게 지불한 돈은 보상하지 않겠다고 발표했다. 다른 보험사들도 이를 따라갈 것이라고 보는가?
에드먼슨 : 이미 여러 보험 업체들이 보상 프로그램에 여러 가지 제한을 두고 있고, 범죄자들에게 돈을 지불하는 것을 금지 사항으로 정하고 있기도 하다. 그렇지 않은 보험사들도 아마 범인들에게 돈을 지불한 경우 보상금의 50%만 지불한다는 식으로 정책을 바꿀 것으로 본다. 랜섬웨어 피해 보상의 조건이 보다 까다로워질 것은 분명해 보인다. 결국은 범인들에게 간 돈은 보험사가 책임지지 않는 방향으로 가게 될 거라는 뜻이다.

현재 랜섬웨어 공격의 증가로 보험 업계는 바쁘게 움직이고 있다. 혼란스럽기도 하다. 확실한 건, 이러한 상황에 대비가 되어 있는 건 아니었다. 어떤 보험사도 여유롭게 미리부터 준비한 모습을 보여주고 있지 않다. 그렇기 때문에 종국에는 보험 업계가 악사와 같은 결정을 하게 될지라도, 지금 당장은 이걸 기회로 삼아 악사보다 더 너그럽게 보상해 주는 보험 상품을 만들어 시장에 내놓는 회사가 나타날 것이다. 그리고 꽤 많은 고객사들이 악사에서 나와 그런 보험사에 가입할 것이다.

보안뉴스 : 다들 말하는 것처럼, 범인들에게 돈을 지불하는 건 랜섬웨어 시장을 키우는 꼴이 될까?
에드먼슨 : 그 이론에 나도 동의하는 편이다. 적어도 지금 당장은 말이다. 하지만 모두가 동의하는 ‘일반론’은 아닌 것으로 보인다. 보험 상품이 보장해 주는 것보다 훨씬 높은 금액을 범인들에게 요구 받아도 내는 조직들이 다수 존재한다. 앞으로도 ‘범인들에게 돈을 주고 문제를 해결하자’는 방식을 선택하는 조직들은 계속해서 나타날 것이다. 각자의 상황과 처지가 다양하므로, ‘범인들을 육성한다’는 반론 하나로 모두를 설득하기는 힘들다.

보안뉴스 : 랜섬웨어는 보험 업계에 또 어떤 변화를 불러 일으킬까?
에드먼슨 : 고객들이 최근 들어 자주 요구하는 것 중 하나는, 우리 보험사더러 보안 업체의 역할을 해 달라는 것이다. 보험 계약을 맺기 전 보험사가 사전 보안 능력을 평가하니, 그 과정에서 취약점을 찾아내 달라는 요구가 많아지고 있다. 고객의 요구를 어떻게 묵살하겠는가. 그래서 우리도 계약 내용에 따라 보안 평가 보고서를 고객사에 주기적으로 제출하기도 한다. 여기 저기 구멍이 있다고 알려주면 그들이 뭐라고 대답할까? 막아달라고 한다.

이건 보험 업계가 보안 업계의 기능을 탑재해야 할 것이라는 뜻은 아니다. 보험 업계가 고객사의 보안 강화를 위해 조언을 하면, 그걸 듣고 반영할 고객사들이 늘어난다는 뜻이다. 3년 전과 지금을 비교하면, 고객사들이 우리의 보안 조언을 듣는 자세가 정말 많이 바뀌었다. 보험사가 보안 업체가 되지는 못한다. 그러나 기본적인 보안 관련 조언 정도는 할 수 있어야 할 것이라고 본다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>