사이버 보험 운영 방식의 큰 변화는 거대 제약 회사인 Merck에 대한 공격으로 시작되었습니다. 아니면 다른 곳에서 시작된 걸까요?
2017년 6월, NotPetya 사건이 약 40,000대의 Merck 컴퓨터를 강타하여 데이터가 파괴되고 몇 달에 걸친 복구 프로세스가 불가피했습니다. 이 공격은 Mondelēz와 Maersk를 포함한 수천 개의 다국적 기업에 영향을 미쳤습니다. 전체적으로 이 멀웨어는 약 100억 달러의 피해를 입혔습니다.
NotPetya 멀웨어는 두 가지 Windows 취약점, 즉 NSA에서 유출된 디지털 스켈레톤 키인 EternalBlue와 Windows 시스템에서 사용자 비밀번호를 수집하는 Mimikatz 익스플로잇을 악용했습니다.
이 멀웨어는 사용자의 조치 없이 감염되어 네트워크 내부에서 수평 이동하며 매우 빠르게 확산되며, 때로는 1분 이내에 네트워크를 다운시키도록 설계되었습니다. 일단 실행되면 마스터 부트 레코드를 덮어쓰고 부팅을 방해합니다.
랜섬 노트는 암호 해독에 대한 지불을 요구했습니다. 하지만 이를 위한 메커니즘이나 계획은 없었습니다. 그 목적은 피해자들에게 랜섬웨어에 감염되었다고 확신시키는 것이었습니다. 실제로 NotPetya는 복구 경로 없이 데이터를 파괴하기 위해서만 존재했습니다.
Merck는 이 공격으로 인한 비용이 14억 달러에 달할 것으로 추정했습니다. 이러한 비용에는 일시적인 생산 능력 손실뿐만 아니라 복구에 필요한 장비 및 신규 IT 고용 비용이 포함되었습니다.
이 회사는 Ace American과 17억 5천만 달러에 달하는 '모든 위험' 보험에 가입했습니다. 그러나 회사는 NotPetya가 러시아/우크라이나 전쟁에서 시작되었기 때문에 '전쟁 행위' 제외 조항에 따라 비용을 지불할 필요가 없다고 주장하며 이들의 청구를 거부했습니다.
Merck는 2019년 11월에 Ace American을 고소했습니다. 이들의 사건은 주로 이번 공격이 국가의 공식적인 조치의 결과가 아니며 Merck는 분쟁의 현장 밖 방관자에 불과하다는 주장에 중점을 두었습니다. 뉴저지 고등법원 판사 Thomas J. Walsh가 Merck의 손을 들어주었습니다.
Ace American은 항소했고, 주 항소법원은 정부의 적대적 행위 또는 호전적 행동으로 인한 손실에 대한 보장을 제외하는 보험 약관의 전쟁 제외 조항이 이 사건에 적용되지 않는다고 판결했습니다.
양측은 2024년 1월 5일 보험사와 비밀리에 합의에 도달했습니다.
다른 주요 기업들도 비슷한 법적 시나리오를 거쳐 적은 금액이기는 하지만 합의에 이르렀습니다.
이 사건의 결과는 완전히 예측할 수 있는 것도 아니고 반드시 직관적인 것도 아니었습니다. NotPetya 자체는 전쟁에서 시작되었다고 널리 믿어지고 있습니다. 전쟁은 러시아 정부(특히 러시아 군사 정보 기관 내의 Sandworm 해킹 그룹)에 기인하며, 해당 갈등에서 러시아의 목적을 달성하려는 목적으로 우크라이나에서 시작된 것으로 추정됩니다.
비록 사이버 전쟁 행위였을 가능성이 높지만, 이 공격은 이후 우크라이나 외부의 전 세계 기계로 확산되어 부수적 피해라고 할 수 있는 피해를 초래했습니다.
사이버 보험에는 일반적으로 전쟁 제외 조항이 포함되어 있습니다. 예를 들어, The Lloyd's Market Association(LMA)은 사이버 전쟁 배제 조항에 대한 지침을 발표했습니다. 그들은 특정 상황에서 실제 전쟁 외 국가들이 수행하는 사이버 작전에 대해 제외 조항이 적용되지 않을 것이라고 권고합니다. 예를 들어 사이버 공격이 분쟁 지역 밖에서 발생했거나 비즈니스가 의도된 공격 대상이 아닌 경우입니다.
법원의 판결은 Lloyd의 지침과 일치하여 전쟁 배제 조항이 NotPetya 공격 상황에는 적용되지 않는다는 결론을 내렸습니다.
하지만 이 판결은 의미심장했습니다. 가장 정교하고 피해를 주는 사이버 공격 중 일부는 국가가 라이벌이나 적을 공격하기 위한 조치의 결과입니다. 보험 회사가 이러한 피해를 입히는 국가가 후원하는 사이버 공격에 대해 표준 전쟁 제외 조항을 사용할 수 없는 경우, 보험 회사는 앞으로 정책을 조정하거나 가격을 인상하거나 두 가지 모두를 수행해야 합니다.
사이버 보험 환경은 최소 10년 동안 변동되었습니다. 점점 더 많은 비용이 드는 사이버 공격으로 인해 보험 고객들은 보험료 인상, 더 엄격한 인수 요건, 보험 적용 범위 축소 등의 피해를 입었습니다.
이러한 변화는 몇 년 전 랜섬웨어 추세를 포함하여 사이버 공격 환경으로 인해 발생했습니다.
Swiss Re Institute에 따르면 전 세계 사이버 보험료는 2018년 50억 달러 미만에서 올해 180억 달러로 증가했습니다.
기업은 적용 범위를 완전히 확보하기 위해 점점 더 엄격한 지침에 따라 사이버 보안 하우스를 확보해야 했습니다. 보험 회사들은 보험 적용 대상을 승인하는 데 더 오랜 시간이 걸리고 있으며 더욱 까다로워지고 있습니다.
보장 범위는 특정 상황에서 보장을 무효화하는 제외 항목이 증가하면서 부분적으로 좁혀지고 있습니다(특히 '전쟁 제외'가 큰 예외였습니다).
Merck의 합의로 사이버 보험 정책에서 전쟁 제외 사항을 정의하는 문제에 업계의 이목이 집중되었습니다. 보험 회사들은 특히 2022년에 이미 시작된 추세인 전쟁 제외에 대한 표현을 더욱 엄격하게 할 가능성이 높습니다.
그리고 보험 구매자들 사이에서도 관심이 바뀌고 있습니다. 기업은 보험 제공업체를 고려할 때 제외 사항, 대기 기간, 보험 한도 및 기타 요소를 면밀히 검토해야 합니다. 또 다른 중요한 요소는 지정학적 사건의 결과로 기업이 피해를 입거나 표적이 될 수 있는지 여부를 추정하고, 국가가 후원하는 심각한 사이버 공격이 발생할 경우 제외로 인해 대금을 받지 못할 수 있는 방법을 고려하는 것입니다.
그리고 무엇보다도 실제 사이버 보안, 특히 자동화 도구와 AI에 집중해야 합니다.
Merck 및 관련 소송 및 합의가 사이버 보안 보험의 비용, 정책, 제외 및 한도의 변화에 크게 기여할 것으로 보이지만, 더 큰 영향을 미치는 요인은 일반적으로 사이버 공격의 정교함과 비용이 증가하고 있다는 것입니다.